WatchGuard ThreatSync XDR
WatchGuard ThreatSync® uzbroi Twoją firmę w funkcje XDR (eXtended Detection and Response), które skupiają wykrywanie zagrożeń pomiędzy różnymi produktami oraz dostarczają zestaw zautomatyzowanych reakcji na zagrożenia.
-42_orig.png)
Chcesz zobaczyć ThreatSync w działaniu? Zajrzyj do oficjalnej dokumentacji WatchGuard, albo skontaktuj się z nami po prezentację w środowisku klienta.
Widoczność
Z jednej konsoli
Korelacja sygnałów z produktów WatchGuard w jednej konsoli WatchGuard Cloud.
Detekcja
Ocena ryzyka 1-10
Korelacja zdarzeń w incydenty. Ocena ryzyka dla incydentów, endpointów i użytkowników.
Reakcja
Szablony polityk
Akcje automatyczne lub manualne. Administrator definiuje progi ryzyka i odpowiadające im działania.
Licencjonowanie
Funkcja wliczona
Dostępna bez dodatkowych opłat w wybranych licencjach Firebox, Endpoint Security, AuthPoint i Secure Wi-Fi.
Dla MSP
Wielu klientów
Szablony polityk i ustawienia zarządzanych kont dla dostawców usług obsługujących wielu klientów.
Co wyróżnia WatchGuard ThreatSync
01
XDR wbudowane w platformę, nie integracja kilku narzędzi. ThreatSync to natywna warstwa wewnątrz WatchGuard Cloud, dane normalizowane i korelowane w ramach jednego ekosystemu bez utrzymywania połączeń między systemami.
02
Korelacja sygnałów z produktów obecnych w środowisku. ThreatSync może korelować dane z Firebox, Endpoint Security, AuthPoint oraz Secure Wi-Fi, jeśli produkty są obecne w środowisku. Grupowanie powiązanych zdarzeń w pojedyncze incydenty z oceną ryzyka w skali 1-10.
03
Polityki automatyzacji dla powtarzalnych reakcji. Administrator definiuje progi ryzyka i akcje, jakie mają być wykonywane automatycznie. Możliwe akcje zależą od produktu źródłowego.
04
Funkcja wliczona w istniejące licencje WatchGuard. Bez dodatkowych opłat dla klientów posiadających wybrane licencje Firebox Total Security Suite, Endpoint Security, AuthPoint oraz Secure Wi-Fi.
Zastosowania WatchGuard ThreatSync w polskich branżach
ZagrożenieUbezpieczyciele cyber w 2026 wymagają ciągłego monitorowania i zintegrowanego logowania zdarzeń. Regulacje przestały zadowalać się obecnością narzędzi, oczekują dowodów wczesnej detekcji i szybkiej reakcji.
Co produkt robiKorelacja zdarzeń z firewalla, endpointów i AuthPoint MFA w pojedyncze incydenty z dokumentacją. Audytowalne logi w WatchGuard Cloud z oceną ryzyka.
ZagrożenieRansomware na placówki medyczne i wyciek danych pacjentów.Ograniczone zasoby ludzkie w IT bez własnego SOC, ciężar manualnej analizy alertów przerasta możliwości.
Co produkt robiOcena ryzyka redukuje liczbę zdarzeń wymagających ręcznej weryfikacji. Polityki automatyzacji skonfigurowane przez administratora pozwalają reagować automatycznie na incydenty o wyższym poziomie ryzyka.
ZagrożenieZarządzanie kilkudziesięcioma kontami klientów oznacza setki alertów dziennie z różnych systemów. Brak unified view oznacza wolniejszą reakcję.
Co produkt robiObsługa wielu klientów z poziomu jednej konsoli WatchGuard Cloud. Szablony polityk i ustawienia zarządzanych kont. Korelacja zdarzeń z różnych produktów redukuje liczbę manualnych decyzji.
ZagrożenieMniejsze jednostki samorządowe i uczelnie nie utrzymują własnego SOC. Wzrost incydentów w sektorze publicznym wymaga lepszej widoczności i automatyzacji reakcji.
Co produkt robiKorelacja sygnałów z istniejących Firebox, endpointów i MFA, bez dodatkowej platformy. Reguły powiadomień e-mailem o incydentach o wysokim poziomie ryzyka trafiają do administratora.
Opis techniczny
ThreatSync to funkcja XDR dostępna w platformie WatchGuard Cloud. Koreluje zdarzenia bezpieczeństwa z produktów WatchGuard, takich jak Firebox, Endpoint Security, AuthPoint oraz Secure Wi-Fi, grupując je w pojedyncze incydenty z oceną ryzyka. Umożliwia analizę zagrożeń z poziomu jednej konsoli, automatyzację reakcji za pomocą Automation Policies oraz wspólny kontekst dla sieci, endpointów i tożsamości użytkowników. Konsola obsługi incydentów dostępna jest w WatchGuard Cloud w ścieżce Monitor > Threats, z osobnymi widokami Summary, Incidents, Endpoints i Users. Rozszerzenia produktowe to ThreatSync+ NDR (Network Detection and Response, może analizować telemetrię sieciową pochodzącą również z urządzeń innych producentów) oraz ThreatSync+ SaaS (monitoring usług SaaS, w tym Microsoft 365). Funkcja jest dostępna w wybranych licencjach Firebox Total Security Suite, Endpoint Security, AuthPoint oraz Secure Wi-Fi i stanowi element platformy WatchGuard Unified Security Platform.
Architektura WatchGuard ThreatSync: warstwy działania
Warstwa zbierania telemetrii
Źródła sygnałów
Firebox, access pointy, Endpoint Security i AuthPoint przekazują zdarzenia do platformy WatchGuard Cloud.
Warstwa korelacji
Wiele produktów
Powiązane zdarzenia łączone w pojedyncze incydenty. Identyfikacja indykatorów kompromitacji i ataku.
Warstwa oceny ryzyka
Skala 1-10
Ocena ryzyka dla incydentów, endpointów i użytkowników. Priorytetyzacja w widokach Monitor > Summary / Incidents / Endpoints / Users.
Warstwa reakcji
Manualna lub automatyczna
Akcje wykonywane przez analityka lub przez polityki automatyzacji. Zakres działań zależy od produktu źródłowego.
Kluczowe funkcje WatchGuard ThreatSync
Spójna widoczność zagrożeń
Jedna konsola
Konsolidacja detekcji z Firebox, endpointów i access pointów w jednym interfejsie.
Detekcja wieloproduktowa
Korelacja zdarzeń
Korelacja zdarzeń z warstwy sieciowej i endpointowej. Wykrywanie indykatorów kompromitacji, ocena ryzyka i kontekst incydentu.
Automatyzacja reakcji
Manualnie lub automatycznie
Akcje wykonywane manualnie, zaplanowane lub automatyczne na podstawie polityk skonfigurowanych przez administratora.
Orkiestracja
Wiele domen
Integracja danych i alertów z różnych domen bezpieczeństwa. Uproszczony przepływ pracy przy obsłudze incydentów.
Automation Policies
Konfigurowalne
Administrator definiuje progi ryzyka, typy urządzeń i akcje. Możliwe działania zależą od produktu źródłowego.
Ocena ryzyka
Incydent / Endpoint / Użytkownik
Ocena na trzech poziomach w skali 1-10. Endpoint Risk = scoring incydentów z ostatnich 30 dni.
Reguły powiadomień
E-mail i WatchGuard Cloud
Alerty dla nowych incydentów w określonym przedziale ryzyka. Konfiguracja kanału dostarczania i częstotliwości.
Obsługa wielu klientów (MSP)
Szablony polityk
Dostawcy usług: przypisywanie szablonów polityk do kont klientów oraz ustawienia zarządzanych kont.
Spójna platforma XDR czy integracja wielu narzędzi
Integracja kilku narzędzi
Wiele połączeń do utrzymania. Każda integracja między narzędziami wymaga konfiguracji, mapowania pól danych i monitoringu. Awaria połączenia oznacza martwą strefę widoczności.
Trudna normalizacja danych. Różne narzędzia opisują te same zdarzenia w odmienny sposób. Korelacja wymaga pracochłonnej translacji.
Złożoność rośnie z każdym kolejnym narzędziem. Mniej czasu na analizę incydentów, więcej czasu na łączenie systemów.
Trudno o spójny widok incydentu. Analityk musi przełączać konteksty między konsolami i kojarzyć zdarzenia ręcznie.
XDR wbudowane w platformę
Wspólny model danych. Sieć, endpointy, tożsamość i Wi-Fi w jednym modelu danych WatchGuard Cloud. Normalizacja i korelacja realizowane wewnątrz platformy.
Sygnały współpracują w ramach jednego konta. Po aktywacji ThreatSync i podłączeniu wspieranych produktów dane mogą być automatycznie korelowane w ramach jednego konta WatchGuard Cloud.
Mniej operacji, więcej analizy. Zespół skupia się na incydentach, nie na łączeniu narzędzi. Szczególnie wartościowe dla dostawców usług i organizacji ze szczupłą kadrą.
Spójny widok incydentu w jednej konsoli. Encje powiązane z incydentem, sygnały, ich źródła i akcje reakcji w jednym przepływie pracy.
Skąd ThreatSync zbiera sygnały i z czym jest połączony?
Sieć
Firebox
Sygnały sieciowe z IPS, Gateway AV, WebBlocker i APT Blocker. Funkcja wliczona w pakiet Firebox Total Security Suite.
Endpointy
WatchGuard Endpoint Security
Telemetria z Endpoint Security Elite, 360, Prime, EDR i EDR Core. Zero-Trust Application Service, ochrona przed exploitami, antywirus, indykatory ataku.
Tożsamość
AuthPoint
Zdarzenia dostępu do poświadczeń z AuthPoint MFA oraz AuthPoint Total Identity Security. Korelacja zdarzeń logowania z aktywnością sieciową i endpointową.
Wi-Fi
Secure Wi-Fi (Access Points)
Dodatkowe sygnały z infrastruktury Wi-Fi: wykrywanie Rogue AP, Suspected Rogue AP, Evil Twin oraz Airspace Monitoring. Funkcja wliczona w licencję USP Wi-Fi Management.
Jakie zdarzenia koreluje ThreatSync?
| Typ zdarzenia | Firebox | Endpoint | AuthPoint | Access Point |
|---|---|---|---|---|
| Zagrożenia advanced | ||||
| Advanced Persistent Threats (APT) w sieci | ✓ | — | — | — |
| APT wykryte na endpoincie | — | ✓ | — | — |
| Malware | ||||
| Malware wykryte w ruchu sieciowym | ✓ | — | — | — |
| Malware wykryte na endpoincie | — | ✓ | — | — |
| Połączenia i tożsamość | ||||
| Malicious network connection skorelowane z procesem | ✓ | ✓ | — | — |
| Credential Access events | — | — | ✓ | — |
| Wi-Fi | ||||
| Rogue Access Point | — | — | — | ✓ |
| Suspected Rogue Access Point | — | — | — | ✓ |
| Evil Twin Access Point | — | — | — | ✓ |
✓ = źródło sygnału. Korelacja powstaje gdy to samo zdarzenie ma sygnał z więcej niż jednego źródła.
Dlaczego XDR przestaje być opcjonalny w 2026
Zespoły bezpieczeństwa obsługują dziś średnio 960 alertów dziennie, a w dużych organizacjach liczba ta przekracza 3 000. Według raportów branżowych ok. 40% alertów nigdy nie zostaje zbadanych z powodu braku zasobów lub kontekstu. To dlatego XDR z korelacją sygnałów wbudowaną w platformę staje się standardem operacyjnym, nie dodatkiem.
960 alertów / dzień
średnio w organizacji. W dużych firmach ponad 3 000 dziennie, z czego ok. 40% nigdy nie zbadanych
22% vs 85%
organizacji odpornych (resilient) raportuje brak kadry vs. organizacji mniej odpornych, według World Economic Forum Outlook 2026
Wymóg w 2026
ubezpieczyciele cyber wymagają ciągłego monitorowania i zintegrowanego logowania zdarzeń dla wystawienia lub odnowienia polisy
Integracje techniczne WatchGuard ThreatSync
Wymagania wdrożeniowe WatchGuard ThreatSync
Hardware lokalny
Brak
ThreatSync to funkcja chmury WatchGuard Cloud. Korzysta z istniejących urządzeń i agentów.
Wymagane produkty
Co najmniej 1 źródło
Firebox, access point, endpoint lub AuthPoint. Wartość rośnie z liczbą podłączonych produktów.
Aktywacja
Per konto WatchGuard Cloud
Po aktywacji ThreatSync i podłączeniu wspieranych produktów dane mogą być korelowane w ramach jednego konta WatchGuard Cloud.
Konfiguracja Firebox
APT + AV + WebBlocker + IPS
Włączone usługi bezpieczeństwa generują dane dla ThreatSync. Dodatkowo: inspekcja HTTPS i szczegółowe logowanie polityk zwiększają skuteczność korelacji zdarzeń.
Konfiguracja Endpoint Security
Zero-Trust + IOAs + AV
Zero-Trust Application Service w trybie blokady, ochrona przed exploitami, antywirus i indykatory ataku.
Konfiguracja access pointów
USP Wi-Fi + firmware
Firmware v2.2.23+ dla wysyłania danych, v2.7.9+ dla akcji reakcji. Airspace Monitoring włączone.
Licencjonowanie
Wliczone w istniejące licencje
Firebox Total Security Suite, USP Wi-Fi, Endpoint Security (Elite/360/Prime/EDR/EDR Core), AuthPoint MFA i Total Identity Security.
Dostawcy usług (MSP)
Wielu klientów + szablony
Szablony polityk automatyzacji dla wielu kont klientów. Ustawienia zarządzanych kont dla widoczności pomiędzy nimi.
Wdrożenie WatchGuard ThreatSync przez Net Complex
Zakres wdrożenia może obejmować aktywację ThreatSync na koncie WatchGuard Cloud, konfigurację polityk automatyzacji i reguł powiadomień, dostrojenie ustawień Firebox, endpointów i AuthPoint pod kątem optymalnej telemetrii oraz szkolenie zespołu z monitorowania incydentów w konsoli.
8h
Wsparcia w cenie zakupu. 8 godzin pracy inżyniera przy zakupie produktów WatchGuard o wartości min. 20 000 zł netto. Dodatkową liczbę godzin można dokupić w dowolnym momencie wdrożenia.
Usługi IT
Baza wiedzy
.jpg)
.png)
.png)
Dalej nie jesteś przekonany? Porozmawiaj z naszym konsultantem
.jpg)
Karol Girjat
533 895 495
WatchGuard FireboxV
WatchGuard FireboxV to wirtualny firewall NGFW zapewniający ochronę sieci, kontrolę ruchu, VPN oraz zaawansowane zabezpieczenia IT.
Wycena indywidualna
Zobacz więcej
Nowość
WatchGuard Firebox T115-W
WatchGuard Firebox T115-W to wydajny firewall z Wi-Fi, VPN i zaawansowaną ochroną sieci. Zapewnia bezpieczeństwo danych, kontrolę dostępu oraz niezawodną ochronę dla małych firm i biur.
Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon Enterprise VELOCITY
Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.
Wycena indywidualna
Zobacz więcej