Gilt für: WatchGuard SIEMFeeder
WatchGuard SIEMFeeder kann Daten von Endpoint Security an eine SIEM-Plattform senden. Bevor SIEMFeeder die Daten sendet, werden diese von SIEMFeeder mit Sicherheitsinformationen ergänzt. SIEMFeeder überträgt die Daten dann in einem einzelnen Datenstrom an einen kompatiblen SIEM-Server.
Administratoren können die Daten nutzen, um unbekannte Bedrohungen, gezielte Angriffe und modernste Malware zu erkennen. Die Daten bieten einen detaillierten Einblick in die Abläufe und Prozesse, die in den Netzwerkstrukturen einer Organisation ausgeführt werden. SIEMFeeder agiert als Verbindung zwischen der auf Ihren Firmencomputern installierten Schutzsoftware und dem SIEM-Server Ihres Unternehmens.
SIEMFeeder nimmt keine Änderungen an den Einstellungen eines überwachten Computers oder Netzwerks vor. Der Dienst wird innerhalb der Endpoint Security-Infrastruktur ausgeführt.
Mit den von SIEMFeeder bereitgestellten Informationen können Administratoren:
- Visuelle Informationen über die in einem Netzwerk erkannte Malware erlangen, ob die Malware ausgeführt wurde, den Infektionsvektor und jede von einem Prozess ergriffene Maßnahme.
- Die Aktionen anzeigen, die Prozesse in Bezug auf Bedrohungen ausgeführt haben, wie z. B. Goodware oder Malware, und so verdächtige Aktivitäten von Anwendungen erkennen.
- Versuche, vertrauliche Informationen zu erlangen, überwachen und den Diebstahl dieser Informationen verhindern.
- Prozessnetzwerkverbindungen anzeigen und verdächtige oder möglicherweise gefährliche Verbindungen identifizieren.
- Alle ausgeführten Anwendungen finden, insbesondere jene mit bekannten Schwachstellen, die auf einem überwachten Computer installiert sind.
- Pläne zum Aktualisieren der Software entwerfen und Sicherheitsregeln anpassen.
Um Bandbreite zu sparen, sendet der Dienst SIEMFeeder die Datenpakete nur ein Mal.
Informationsfluss
Endpoint Security-Produkte überwachen und erfassen Prozessaktivitäten. Der SIEMFeeder-Dienst ergänzt die Daten über Aktivitäten mit Sicherheitsinformationen und legt diese zur weiteren Verarbeitung in der Microsoft Azure-Infrastruktur ab. Der auf dem Computer eines Administrators ausgeführte Event Importer lädt dann die erstellten Protokolldateien von Azure herunter und stellt die Protokolldateien über die Kanäle des Event Importer zu.
Weitere Informationen zu Ereignisprotokollen finden Sie im WatchGuard SIEMFeeder Event Guide. (externer Link)
Der Event Importer kann die Protokolldateien auf folgenden Wegen übertragen:
- Protokolldateien in einem lokalen oder Remote-Ordner speichern, mit dem sich der SIEM-Server der Organisation verbinden kann.
- Protokolldateien an einen Apache Kafka Queue-Server senden, wo sie vom Warteschlangenserver verwaltet werden.
- Protokolldateien an einen Syslog-Server senden, von wo die Dateien an den SIEM-Server der Organisation gesendet werden.
Informationen über die Veröffentlichungswege des Event Importer finden Sie unter Speichern und Weiterleiten von Ereignisprotokollen konfigurieren.
SIEMFeeder-Architektur
Die SIEMFeeder-Architektur besteht aus folgenden Komponenten:
Computer im Netzwerk
Computer im Netzwerk, die von Endpoint Security-Produkten geschützt werden.
WatchGuard Cloud-Infrastruktur
Die WatchGuard Cloud-Infrastruktur speichert Daten der ausgeführten Prozessen und analysiert die Daten, um Sicherheitsinformationen zu extrahieren.
SIEMFeeder-Dienst
Der SIEMFeeder-Dienst erfasst Ereignisse und Sicherheitsdaten und fasst die Daten in der Form von Protokolldateien zusammen.
Microsoft Azure-Infrastruktur
Azure ist eine Cloud-Computing-Plattform, die Protokolle vom SIEMFeeder-Dienst empfängt und für die Veröffentlichung speichert.
Event Importer
Ein Computer im Kundennetzwerk, auf dem Event Importer ausgeführt wird und der die verfügbaren Protokolle von der Azure-Infrastruktur herunterlädt.
Kafka-Server (optional)
Ein Computer im Kundennetzwerk, der die Warteschlange mit den Protokollen vom Event Importer verwaltet und an den SIEM-Server der Firma sendet.
Syslog-Server (optional)
Ein Computer im Kundennetzwerk, der die Protokolle vom Event Importer erfasst und an den SIEM-Server der Firma sendet.
Freigegebener Ordner (optional)
Ein Speichersystem im MSSP Netzwerk, in dem Event Importer die Protokolle ablegt, falls es an fortschrittlicheren Ressourcen, wie einem Syslog- oder Kafka-Server mangelt.
SIEM-Server
Der SIEM-Server ist ein Kundenserver, der die vom Event Importer heruntergeladenen Daten empfängt und Dashboards erstellt, die zur Erkennung verdächtiger Prozesse beitragen, die eine Sicherheitsbedrohung darstellen können.
Lokale und Perimeter-Firewalls
Firewalls schützen den eingehenden und ausgehenden Datenverkehr zwischen dem Computer, auf dem Event Importer ausgeführt wird, und der Azure-Infrastruktur.
Kompatible WatchGuard-Produkte
Die folgenden WatchGuard-Produkte unterstützen den SIEMFeeder-Dienst:
- WatchGuard EDR
- WatchGuard EPDR
- WatchGuard Advanced EPDR
Dienstverfügbarkeit
Der SIEMFeeder-Dienst ist für Administratoren durchgängig verfügbar. Sollte ein Problem mit dem Dienst auftreten, benachrichtigt WatchGuard das Administratorenkonto über mögliche Dienstunterbrechungen.
Sollte der Computer, auf dem Event Importer ausgeführt wird, nicht verfügbar sein oder ein anderes Problem auftreten, das zu einem Verbindungsfehler führt, bewahrt der Dienst alle nicht zugestellten generierten Protokolle auf, um einen Datenverlust zu verhindern. Hierbei gelten folgende Einschränkungen:
- Die maximale Aufbewahrungsdauer für Protokolle auf der Azure-Plattform beträgt sieben Tage.
- Die maximale Datenmenge, die die Azure-Plattform aufbewahrt, beträgt 80 GB je Kunde.