Über SIEM-Server

Gilt für: WatchGuard SIEMFeeder Dieses Thema betrifft das WatchGuard Endpoint Security-Modul SIEMFeeder. SIEMFeeder ist verfügbar für WatchGuard EPDR und WatchGuard EDR.

Ein Security Information and Event Management(SIEM)-Server kann die WatchGuard Cloud-Infrastrukturdaten empfangen, die WatchGuard Event Importer von der Microsoft Azure-Infrastruktur herunterlädt. Event Importer verwaltet die Daten in Form von Protokolldateien. Wenn ein SIEM-Server die Protokolldateien empfängt, können Sie die Protokolldateien speichern und nutzen, um verdächtige Prozesse zu erkennen, die eine Sicherheitsbedrohung für Ihr Computernetzwerk darstellen.

Für die Verwaltung der Protokolldateien müssen Sie einen SIEM-Server nutzen, der mit den vom WatchGuard SIEMFeeder-Dienst unterstützten Protokollformaten kompatibel ist. Der SIEMFeeder-Dienst erfordert einen SIEM-Server, der das Common Event Format (CEF) oder das Log Event Extended Format (LEEF) unterstützt.

Unterstützte SIEM-Server

Der SIEM-Server muss Daten im CEF- oder LEEF-Format empfangen können. Hier ist eine nicht erschöpfende Liste von SIEM-Servern, die mit diesen beiden Formaten kompatibel sind:

• AlienVault Unified Security Management (USM)
• Fortinet (AccelOps) FortiSIEM
• Hewlett Packard Enterprise (HPE) ArcSight
• IBM QRadar Security Intelligence Platform
• Intel Security McAfee Enterprise Security Manager (ESM)
• LogRhythm
• SolarWinds Log & Event Manager (LEM)
• Splunk Security Intelligence Platform

Standardmäßig werden Protokolle im LEEF-Format gesendet. Um Protokolle im CEF-Format zu erhalten, senden Sie eine E-Mail-Nachricht mit Ihrer Anfrage und Ihrer WatchGuard-Kontonummer an [email protected].

Protokolldateizugriff durch SIEM-Server

Damit der SIEM-Server die Protokolldateien abrufen kann, müssen Sie einen Speicherkanal in der Event Importer-Anwendung konfigurieren, zu dem die von Event Importer empfangenen Protokolldateien gesendet werden sollen. Der SIEM-Server kann Dateien aus den folgenden Speicherorten empfangen:

• Lokaler Ordner, in dem der Event Importer-Computer die empfangenen Protokolle speichert.
• Apache Kafka-Warteschlangenserver, der die von Event Importer gesendeten Protokolle erfasst.
• Syslog-Server, der die von Event Importer gesendeten Protokolle erfasst.

Über die Protokolldateien

Jede Protokolldatei hat eine maximale Größe von 256 KB im komprimierten Format. Event Importer speichert Protokolldateien am konfigurierten Speicherort. Jede Protokolldatei hat einen Namen im Format jjjjmmtt-hhmm-(xxxxxx). Dabei bedeutet:

• jjjj: Jahr der Erstellung.
• mm: Monat der Erstellung.
• tt: Tag der Erstellung.
• hh: Zeit der Erstellung (Stunden).
• mm: Zeit der Erstellung (Minuten).
• –(xxxxxx): Falls Event Importer mehrere Protokolldateien in derselben Minute erstellt, weist es zusätzlichen Protokolldateien eine Indexnummer zu.

Eine vollständige Beschreibung der empfangenen Daten finden Sie im WatchGuard SIEMFeeder Event Guide. (externer Link)

Ähnliche Themen

Über SIEMFeeder

Über Event Importer

SIEMFeeder-Anforderungen