Managed Risk – Einrichtung

Sie müssen über eine MDR-Lizenz oder eine MDR Complete-Lizenz verfügen, bevor Sie den Managed Risk Service abonnieren können.

Der Sophos Managed Risk Service meldet alle externen, mit dem Internet verbundenen Assets, die mit Ihren Domänen verknüpft sind, scannt die von Ihnen angegebenen internen und externen Assets auf Schwachstellen, meldet Risiken und schlägt Bereinigungsmaßnahmen vor.

Nachdem Sie Ihre Lizenz für Managed Risk aktiviert haben, müssen Sie den Service einrichten.

Die wichtigsten Schritte für die Ersteinrichtung sind die folgenden:

Geben Sie autorisierte Kontakte ein.
Richten Sie Scans externer Assets ein.
Planen Sie einen wöchentlichen Scan externer Schwachstellen.

Sie können später Scans für interne Assets hinzufügen.

Autorisierte Kontakte eingeben

Geben Sie Kontakte in Ihrem Unternehmen ein, damit wir ihnen Benachrichtigungen und Updates zu Schwachstellen senden können, die wir analysieren.

Sie müssen mindestens einen Kontakt eingeben. Ihr primärer Kontakt muss ein Sophos-Central-Administrator sein.

Gehen Sie zu Meine Produkte > Managed Risk > Einstellungen.
Wählen Sie den Tab Autorisierte Kontakte.

Wenn Sie einen neuen Sophos Central-Administrator erstellen möchten, klicken Sie auf Neuen Central-Administrator erstellen und fügen Sie einen Benutzer mit der Rolle Super-Admin, Admin oder Help Desk hinzu. Andernfalls überspringen Sie diesen Schritt.
Klicken Sie auf den Dropdown-Pfeil neben primär und wählen Sie einen Ihrer Sophos Central-Administratoren aus. Geben Sie ihre Kontaktinformationen ein.
Geben Sie bei Bedarf Sekundär- und Tertiär-Kontakte ein. Sie können einen Sophos Central Admin aus der Dropdown-Liste auswählen oder einen neuen Kontakt erstellen, indem Sie das Formular ausfüllen.

Wir empfehlen Ihnen, mehrere Ansprechpartner anzugeben.
Klicken Sie auf Speichern.

Sie können nun Scans einrichten.

Scans externer Assets einrichten

Scaneinstellungen werden erst verfügbar, nachdem Sie Ihre autorisierten Kontakte gespeichert haben.

Geben Sie die Einstellungen ein, die für das Scannen Ihrer externen, mit dem Internet verbundenen Assets erforderlich sind. Sie können später Scans für interne Assets einrichten.

Hinweis

Nachdem Sie diese Einstellungen gespeichert haben, können Sie sie derzeit nicht selbst ändern. Erstellen Sie einen Fall, um die Einstellungen vom Managed-Risk-Team zurücksetzen zu lassen. Siehe Managed-Risk-Fälle.

Gehen Sie zu Meine Produkte > Managed Risk > Scans.
Wählen Sie den Tab Extern.
Geben Sie unter Domänen hinzufügen Ihre externen Domänen durch Kommas getrennt ein und klicken Sie auf Hinzufügen. Sie können mehrere Domänen einfügen. Zum Beispiel: test1.com, test2.com, test3.com.

Sie können bis zu 25 Domänen hinzufügen.

Wir benötigen diese Details, damit wir den Bericht zum Attack Surface Management erstellen können, in dem die mit den Domänen verbundenen Assets identifiziert werden.

Hinweis

Wir können keine Domänen überwachen, die nicht im Internet registriert oder routbar sind (zum Beispiel yourdomain.local).
Geben Sie unter IP-Adressen hinzufügen Ihre externen IP-Adressen oder Bereiche durch Kommas getrennt ein und klicken Sie auf Hinzufügen.

Sie können bis zu 100 IP-Adressen oder CIDR-Bereiche festlegen. Sie können keinen CIDR-Bereich mit einem Suffix kleiner als /24 hinzufügen.

Wir benötigen diese Details, damit wir den wöchentliche Schwachstellen-Scan durchführen können. Wir scannen bis zu 1.000 externe Geräte.

Ein externer Scan kann nur öffentliche, mit dem Internet verbundene Assets scannen. Wir können keine Geräte in reservierten privaten IP-Bereichen scannen, zum Beispiel:
```
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
```
Hinweis

Fügen Sie die IP-Adressen unserer Schwachstellen-Scanner bitte zur „Erlauben“-Liste Ihrer Firewall hinzu. So erhalten unsere wöchentlichen Scans alle Details von Ihren Assets. Siehe IP-Adressen des Schwachstellenscanners.

Wöchentlichen Scan externer Schwachstellen planen

Sie müssen den Scan externer Schwachstellen planen.

Wählen Sie unter Wöchentlichen Schwachstellen-Scan terminieren den Wochentag aus, an dem der Scanvorgang beginnen soll.
Legen Sie den Zeitbereich fest.

Die Scans beginnen, wenn es in der von Ihnen ausgewählten Zeitzone etwa Mitternacht ist.
Klicken Sie auf Senden.

Sie haben die Ersteinrichtung von Managed Risk abgeschlossen. Sie können jetzt Scans Ihrer internen Assets einrichten, sobald Sie bereit sind. Für Details siehe Interne Managed Risk-Scans.

Was geschieht als Nächstes?

Wenn Sie den Managed Risk Service gerade zum ersten Mal eingerichtet haben, können Sie hier die nächsten Schritte ausführen.

Der Service führt wöchentliche Scans aus und generiert Berichte. Wir benachrichtigen Sie, wenn ein neuer Bericht vorliegt. Wir empfehlen, diese Berichte zu prüfen, sobald sie verfügbar sind, und erforderliche Aktionen durchzuführen. Das Managed-Risk-Team prüft diese Berichte und gibt Ihnen Empfehlungen in gemeinsamen Besprechungen. Siehe Managed-Risk-Berichtsverlauf.
Nach 30 Tagen kontaktiert unser Managed-Risk-Team Sie, um ein Baseline-Meeting zu vereinbaren. In diesem Meeting besprechen wir die überwachten Domänen und IPs sowie die Ergebnisse der ersten Schwachstellen-Scans und Berichte zum Attack Surface Management. Dies hilft uns, Ihre Sicherheitsanforderungen zu verstehen.
Alle drei Monate haben Sie weitere Meetings mit unserem Team, um aktuelle Erkenntnisse zu überprüfen, sich über neue Risiken zu informieren und unsere Empfehlungen zu besprechen.
Wenn eine kritische externe Schwachstelle oder ein hohes Risiko identifiziert wird, erstellen wir einen Fall und senden Ihnen per E-Mail Details. Siehe Managed-Risk-Fälle.