WatchGuard. Про ThreatSync

Про ThreatSync (XDR)

ThreatSync — це служба WatchGuard Cloud, яка надає функціонал розширеного виявлення та реагування (XDR - eXtended Detection and Response) для мережевих пристроїв WatchGuard (Firebox та точок доступу) і продуктів Endpoint Security. Ця служба:

• Надає користувацький інтерфейс, призначений в першу чергу для фахівців з реагування на інциденти.

• Відображає виявлені загрози як інциденти.

• Корелює події для створення нових виявлень загроз.

• Дозволяє фахівцям реагувати на виявлені загрози та аномальну поведінку за запитом або налаштовувати автоматичні реакції.

ThreatSync+ NDR розширює існуючий функціонал ThreatSync в WatchGuard Cloud та пропонує покращене виявлення та реагування на мережеві загрози, ідентифікацію мережевих пристроїв та розширену звітність для Firebox, брандмауерів сторонніх виробників та LAN-інфраструктури.
ThreatSync+ SaaS дозволяє вам відстежувати, виявляти та звітувати про активність у сторонніх SaaS та хмарних середовищах, таких як Microsoft 365.

ThreatSync — це функція уніфікованої безпеки WatchGuard, яка входить до складу таких ліцензій:

• Firebox Total Security Suite (TSS)

• Access Point USP Wi-Fi Management

• WatchGuard EPDR

• WatchGuard EDR

• Advanced EPDR

Чим більше продуктів WatchGuard ви використовуєте, тим ширшу видимість та розширені функції XDR ви отримуєте.

Кореляція

ThreatSync забезпечує розширені можливості виявлення загроз шляхом кореляції даних з таких продуктів безпеки WatchGuard:

• Firebox: Щоб надсилати дані до ThreatSync та отримувати дії, Firebox має працювати під управлінням Fireware v12.9 або вище та бути доданим до WatchGuard Cloud для ведення журналів та звітності або хмарного управління.

• Точки доступу: Щоб надсилати дані до ThreatSync, точки доступу повинні працювати під управлінням прошивки v2.0 або вище та мати ввімкнений моніторинг Airspace.

• WatchGuard Endpoint Security (Advanced EPDR, EPDR, EDR та EDR Core)

ThreatSync використовує такі події для кореляції:

• Складні постійні загрози (APTs - advanced persistent threats), виявлені в мережі та знайдені на кінцевій точці або Firebox

• Шкідливе програмне забезпечення, виявлене в мережі та знайдене на кінцевій точці або Firebox

• Шкідливе мережеве з'єднання, пов'язане з процесом на кінцевій точці або Firebox

• Шкідливі точки доступу (Rogue та Evil Twin), виявлені Airspace Monitoring на точках доступу, керованих WatchGuard Cloud

Інтерфейс керування ThreatSync представляє ці корельовані події як інциденти для перегляду та керування.

Рівні ризику та оцінки ThreatSync

ThreatSync автоматично призначає кожному інциденту оцінку ризику інциденту, яка відображається на сторінках Monitor > Summary та Monitor > Incidents, а також оцінку ризику кінцевої точки, яка відображається на сторінці Monitor > Endpoints.

Оцінка ризику інциденту

Оцінка ризику інциденту визначає серйозність інциденту.

Рівень ризику поділяється на такі категорії, залежно від оцінки ризику:

• Критичний — оцінки 9 або 10

• Високий — оцінки 7 або 8

• Середній — оцінки 4, 5 або 6

• Низький — оцінки 1, 2 або 3

ThreatSync розраховує оцінку ризику для інциденту на основі алгоритму, який корелює дані з кількох продуктів та служб WatchGuard.

Різні оцінки ризику в кожному рівні ризику вказують на відносну серйозність інциденту та надають фахівцям з реагування на інциденти рекомендації щодо того, які інциденти слід розглядати в першу чергу. Наприклад, якщо ThreatSync призначає одному критичному інциденту оцінку ризику 9, а іншому критичному інциденту оцінку ризику 10, рекомендується спочатку переглянути 10, оскільки він представляє вищий ризик.

Оцінка ризику кінцевої точки

Фахівці з реагування на інциденти можуть використовувати оцінки ризику кінцевих точок, щоб дослідити, чи становить пристрій загрозу для мережі. Оцінки ризику відображаються у вигляді числового значення в квадратному значку поруч із кінцевою точкою у списку кінцевих точок.

Рівень ризику кінцевої точки поділяється на такі категорії, залежно від оцінки ризику кінцевої точки:

• Критичний — оцінки 9 або 10

• Високий — оцінки 7 або 8

• Середній — оцінки 4, 5 або 6

• Низький — оцінки 1, 2 або 3

ThreatSync визначає оцінку ризику для кінцевої точки на основі оцінок ризику інцидентів, пов'язаних з кінцевою точкою за останні 30 днів. Значення найвищої оцінки ризику інциденту, виявленого на кінцевій точці за останні 30 днів, є значенням оцінки ризику кінцевої точки. Наприклад, якщо на кінцевій точці протягом 30-денного періоду є два відкритих інциденти, один з оцінкою ризику інциденту 9, а інший з оцінкою ризику 7, оцінка ризику кінцевої точки дорівнює 9.

ThreatSync використовує лише нові та прочитані інциденти для визначення оцінок ризику кінцевих точок, а не закриті інциденти. Коли виникає новий інцидент або інцидент закривається, ThreatSync перераховує оцінку ризику кінцевої точки. Після виявлення нового інциденту перераховані оцінки ризику кінцевої точки можуть з'явитися в ThreatSync протягом кількох секунд.

Інтерфейс керування ThreatSync

Для налаштування та моніторингу ThreatSync використовується інтерфейс керування ThreatSync в WatchGuard Cloud. Щоб підключитися до WatchGuard Cloud, перейдіть на сайт cloud.watchguard.com та увійдіть у систему, використовуючи облікові дані свого облікового запису.

Налаштування ThreatSync

Щоб налаштувати ThreatSync, виберіть Configure > ThreatSync.

Налаштування ThreatSync

Користувачі з підпискою можуть використовувати такі сторінки для налаштування ThreatSync в WatchGuard Cloud:

• Політики автоматизації: На сторінці "Політики автоматизації" ви налаштовуєте політики для автоматичного виконання дій щодо певних інцидентів. Для отримання додаткової інформації перейдіть до розділу "Про політики автоматизації ThreatSync".

• Налаштування пристрою: На сторінці "Налаштування пристрою" ви можете вибрати, які пристрої надсилатимуть дані про інциденти до ThreatSync. Для отримання додаткової інформації перейдіть до розділу "Налаштування параметрів пристрою ThreatSync".

• IP-адреси, заблоковані ThreatSync: На сторінці "IP-адреси, заблоковані ThreatSync" ви можете розблокувати IP-адреси, які були заблоковані дією ThreatSync. Для отримання додаткової інформації перейдіть до розділу "Керування IP-адресами, заблокованими ThreatSync".

Моніторинг ThreatSync

Щоб відстежувати ThreatSync, виберіть Monitor > Threats. Сторінка "Summary" відкривається за замовчуванням як для постачальників послуг, так і для передплатників.

Використовуйте ці сторінки для моніторингу ThreatSync в WatchGuard Cloud:

• Сторінка Summary: Сторінка Summary надає знімок активності інцидентів для вашого облікового запису. 

• Сторінка інцидентів: Сторінка інцидентів показує список інцидентів за певний період часу та дозволяє виконувати дії для усунення інцидентів. 

• Сторінка кінцевих точок: Сторінка кінцевих точок надає огляд активності інцидентів за певний період часу на основі кінцевих точок та дозволяє виконувати дії для усунення інцидентів на кінцевій точці.

Усунення інцидентів

Коли продукт або служба WatchGuard виявляє загрозу безпеці, вона може вжити заходів для запобігання загрозі. Наприклад, Firebox може заблокувати шкідливу IP-адресу, або програмне забезпечення Endpoint Security може ізолювати пристрій. В інтерфейсі керування ThreatSync автоматичні відповіді на інцидент відображаються на сторінці "Відомості про інцидент". Для отримання додаткової інформації перейдіть до розділу "Перегляд відомостей про інцидент".

У ThreatSync існує два способи усунення інцидентів:

• Вручну дії, що виконуються користувачем у ThreatSync: Під час моніторингу загроз, виявлених ThreatSync, та перегляду відомостей про інциденти ви можете вирішити вжити заходів вручну для усунення інциденту або скасувати дію, вжиту автоматично продуктом або службою WatchGuard. Наприклад, ви можете заблокувати IP-адресу, видалити шкідливий файл або ізолювати комп'ютер. Під час перегляду інциденту ви можете вручну виконувати дії з різних місць в інтерфейсі керування ThreatSync.
  
  

• Дії, що виконуються автоматично політикою автоматизації: Ви можете налаштувати політики автоматизації для автоматичного виконання дій щодо інцидентів, які відповідають визначеним вами умовам. Наприклад, ви можете створити політику автоматизації для автоматичного видалення файлів, пов'язаних з певним типом інциденту з оцінкою ризику 9 або 10. Політики автоматизації дозволяють фахівцям з реагування на інциденти зосередитися на перевірці інцидентів, які можуть потребувати ручного усунення. Постачальники послуг можуть використовувати шаблони політик автоматизації для призначення кількох політик обліковим записам або групам облікових записів, якими вони керують. 

  
  

  Підвищте рівень свого захисту. Об'єднайте комплекс безпеки. Захистіть свій бізнес.

  
  

  
  

  Інформація

  • Про нас
  • Доставка
  • Повернення товарів
  • Політика конфіденційності
  • Умови

  Служба підтримки

  • Контакти
  • Повернення товару
  • Карта сайту

  Додатково

  • Виробники
  • Акції

  Контакти

  • Україна, Київ, вул. Садова, 139
  • +380 (44) 3000-369
  • info@10g.com.ua
  • Пн-Пт: 9:00 - 18:00
  • 

  ---

  10g.com.ua © 2016 - 2025