Event Importer-Anforderungen

Gilt für: WatchGuard SIEMFeeder

Stellen Sie sicher, dass der Computer, das Netzwerk und der SIEM-Server die folgenden Anforderungen erfüllen, bevor Sie versuchen, den WatchGuard Event Importer zu konfigurieren und auszuführen.

Hardware-Anforderungen

Prozessor — 1 GHz oder schneller
RAM — 512 MB Minimum
Freier Speicherplatz auf Laufwerk — Speichert die Protokolldaten, die von Event Importer importiert werden

Event Importer belegt durchschnittlich 1 MB Speicherplatz je Computer und Stunde. Event Importer muss eine Schreibberechtigung für den ausgewählten lokalen Ordner haben.

Windows-Anforderungen

Unterstützte Workstations (32- und 64-Bit)

Windows 7 SP1
Windows 8
Windows 8.1
Windows 10
Windows 11

Unterstützte Server

Windows Server 2008 R2 SP1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022

.NET

Event Importer erfordert Microsoft .NET Framework 4.6.2 oder höher und ist mit .NET Framework bis Version 4.8 kompatibel.

Wenn eine ältere Version installiert ist, gehen Sie zu https://dotnet.microsoft.com/en-us/download/dotnet-framework/net462, um die richtige Version herunterzuladen.

Erforderliche Berechtigungen

Sie können Event Importer in der Befehlszeile oder unbeaufsichtigt als Windows-Dienst ausführen.

Wenn Sie Event Importer in der Befehlszeile ausführen, sind keine speziellen Berechtigungen erforderlich, außer Schreibzugriff auf den Ordner oder das Laufwerk, den/das Sie als Speicherort für die von Event Importer heruntergeladenen Protokolle konfigurieren.
Wenn Sie Event Importer als Dienst ausführen, läuft er über das lokale System-Computerkonto und für die einwandfreie Ausführung sind Administratorberechtigungen erforderlich.

Linux-Anforderungen

Betriebssystem und erforderliche Bibliotheken

Das Download-Paket beinhaltet alles, was Event Importer für die folgenden Distributionen benötigt:

Ubuntu 24.04 LTS Desktop (64 Bit)
Red Hat Enterprise Linux 9.5 Server (64 Bit)

Erforderliche Berechtigungen

Sie können Event Importer in der Befehlszeile oder unbeaufsichtigt als System-Daemon ausführen.

Wenn Sie Event Importer im Befehlszeilenmodus als Administrator ausführen, sind keine speziellen Berechtigungen erforderlich, außer Schreibzugriff auf den Ordner, den Sie als Speicherort für die von Event Importer heruntergeladenen Protokolle konfigurieren.
Wenn Sie Event Importer im Daemon-Modus ausführen, läuft es über ein Benutzerkonto. Event Importer erfordert für die Konfiguration Root-Berechtigungen.

Firewall-Konfiguration

Damit Event Importer Protokolldateien von Microsoft Azure herunterladen kann, müssen jede Firewall auf dem Computer, der Event Importer ausführt, die folgenden Netzwerkeinstellungen zulassen:

Kommunikationsquelle — Event Importer-Computer
Kommunikationsziel — Azure-Plattform
Verbindungstyp — Ausgehend vom Benutzer-Netzwerk
Layer 3 (Transport) Protokoll — Transport Layer Security (TLS) 1.2
Layer 4 (Anwendung) Protokoll — HTTPS (Port 443), Amqp (Ports 5671 und 5672), Amqp WebSockets (Port 443)

Konfigurieren Sie Ihre Firewall so, dass die folgenden URLs zugelassen werden:

https://auth.pandasecurity.com.
https://storage.accesscontrolmngr.pandasecurity.com.
sb://pac100siemfeeder.servicebus.windows.net.

Konfigurieren Sie Ihre Firewall so, dass sie in Abhängigkeit von Ihrem Standort die folgenden URLS für die Authentifizierung zulässt:

https://api.usa.cloud.watchguard.com (Nordamerika)
https://api.jpn.cloud.watchguard.com (Japan)
https://api.deu.cloud.watchguard.com (Europa)

Konfigurieren Sie Ihre Firewall so, dass sie in Abhängigkeit von Ihrem Standort die folgenden URLS für die Authentifizierung am Microsoft Azure Service Bus zulässt:

sb://pac-prodv3-us1-siemfeeder.servicebus.windows.net (Nordamerika)
sb://pac-prodv3-jp1-siemfeeder.servicebus.windows.net (Japan)
sb://pac-prodv3-eu1-siemfeeder.servicebus.windows.net (Europa)

NTP Server

Um die in der Azure-Infrastruktur gespeicherten Protokolldateien herunterladen zu können, muss ein Authentifizierungsprozess, inklusive Token-Generierung, durchlaufen werden. Zur Erhöhung der Sicherheit hat dieser Token ein Ablaufdatum. Die Systemzeit der beiden Kommunikationsendpoints muss übereinstimmen. Der Computer, der Event Importer ausführt, muss einen Zeitdienst (z. B. Windows Time Service) für die Synchronisierung mit der Zeit von einem NTP-Server nutzen. Weitere Informationen finden Sie unter https://www.ntppool.org/en/use.html (externer Link).

Unterstützte SIEM-Server

Mit dem SIEMFeeder-Dienst sind SIEM-Produkte kompatibel, die das Common Event Format (CEF) oder das Log Event Extended Format (LEEF) unterstützen.

Weitere Informationen zu unterstützten SIEM-Servern finden Sie unter Über SIEM-Server.

Standardmäßig werden Protokolle im LEEF-Format gesendet. Um Protokolle im CEF-Format zu erhalten, senden Sie eine E-Mail-Nachricht mit Ihrer Anfrage und Ihrer WatchGuard-Kontonummer an [email protected].

Proxy-Server-Einstellungen

Wenn der Host-Computer für Event Importer einen Proxy-Server nutzt, muss der Proxy-Server WebSockets nutzen, um eine Verbindung herstellen zu können. Event Importer nutzt das Protokoll Amqp WebSockets und nicht Amqp.

Bandbreite

Für jede Stunde Nutzung generiert Event Importer durchschnittlich 500 KB an komprimierten Daten, die im GZIP-Format gespeichert werden. Die erforderliche Bandbreite ist abhängig von der Anzahl der überwachten Computer im Netzwerk, der maximal zulässigen Verzögerung und etwaigen Administratorenanforderungen.

Ein niedriger Bandbreitenwert führt zu einer Verzögerung beim Empfang von Protokollen und verhindert somit, dass ein SIEM-Server die Daten in Echtzeit empfangen und verarbeiten kann.

Minimaler Schwellenwert

Die Mindestbandbreite für den Empfang aller Protokolle ohne Verlust von Dateien wegen Ablauf des Aufbewahrungszeitraums. Die Protokollerzeugungsrate hängt von mehreren Faktoren ab (Computeraktivität, die Rolle des Computers innerhalb der Organisation, etc.). Bei einem niedrigen Bandbreitenwert nutzt der Dienst die Stunden außerhalb der Arbeitszeit, um Protokolldateien zu empfangen, die der Event Importer in Spitzenzeiten generiert. Ein niedriger Bandbreitenwert führt zu einem verzögerten Empfang der Protokolldateien durch den Event Importer und verhindert den Empfang und die Verarbeitung der Protokolle in Echtzeit durch den SIEM-Server der Organisation.

Maximaler Schwellenwert

Die erforderliche Bandbreite, um alle Protokolldateien gleich nach Erzeugung herunterzuladen.

Erforderliche Bandbreite berechnen

Berechnen Sie die erforderliche Bandbreite auf Basis der Anzahl überwachter Benutzer-Computer (z. B. 500 KB je Computer je Stunde). Verwenden Sie diesen Wert, um QoS-Richtlinien auf Ihrem Firmenrouter zu konfigurieren, der den Event Importer-Computer mit dem Internet verbindet, und überwachen Sie Ihren Bandbreitenverbrauch stets.

Um herauszufinden, ob es beim Empfang von Daten zu Verzögerungen kommt, vergleichen Sie das Datum, an dem die Protokolldateien auf dem Event Importer-Computer empfangen wurden, mit dem Datum, an dem die Ereignisse generiert wurden. Das Generierungsdatum für Protokolldateien wird vom Betriebssystem bereitgestellt. Das Generierungsdatum für die einzelnen Ereignisse ist Teil des internen Informationsschema der Protokolldatei.

Weitere Informationen zu Ereignisprotokollen finden Sie im WatchGuard SIEMFeeder Event Guide. (externer Link)

Wenn der Unterschied zwischen dem Datum des Ereignisempfangs und der Generierung sich im Zeitverlauf schrittweise erhöht, dann überprüfen Sie den empfangenen Datenstrom. Wenn der Datenstrom die gesamte von der QoS-Richtlinie reservierte Bandbreite nutzt, dann generiert WatchGuard SIEMFeeder zu viele Protokolldateien für die dem Event Importer-Computer zugewiesene Bandbreite. Wenn der Unterschied sich nach sieben Tagen nicht verringert oder wenn die Organisation eine kürzere Ereignisempfangszeit benötigt, dann erhöhen Sie die dem Dienst von der QoS-Richtlinie zugewiesene Bandbreite.

Wenn die dem Dienst zugewiesene Bandbreite nicht vollständig verwendet wird, aber die Differenz zwischen dem Protokollempfangsdatum und dem Ereignisgenerierungsdatum zunimmt, dann gibt es einen Engpass bei der Event Importer-Computer-Hardware. Weitere Informationen finden Sie unter Hardware-Anforderungen.