Fehlersuche SIEMFeeder

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EDPR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.

WatchGuard SIEMFeeder kann Daten der WatchGuard Endpoint Security an eine SIEM Plattform senden. Bevor SIEMFeeder die Daten versendet, reichert SIEMFeeder die Daten mit Sicherheitsinformationen an. SIEMFeeder übermittelt die Daten dann in einem Datenstrom an einen kompatiblem SIEM-Server. Administratoren können die Daten nutzen, um unbekannte Bedrohungen, gezielte Angriffe und modernste Malware zu erkennen.

Der WatchGuard Event Importer ist eine Anwendung, mit der Sie Daten herunterladen können, die der SIEMFeeder-Dienst aus den Aktivitäten der Computerprozesse im Netzwerk generiert.

Fehlersuche beim SIEMFeeder-Dienst:

• Konfigurieren Sie Ihre Firewall so, dass Authentifizierungs-URLs zugelassen werden. Weitere Informationen finden Sie im Abschnitt Firewall-Konfiguration von Event Importer Requirements.
• Achten Sie darauf, dass Computer, Netzwerk und SIEM-Server diese Anforderungen erfüllen.
• Achten Sie darauf, die neueste Version des SIEMFeeders zu nutzen. Sie können das Installationspaket auf der Seite Software Downloads im Abschnitt Endpoint-Software auf der WatchGuard Website herunterladen.
• Achten Sie darauf, dass Sie eine aktive SIEMFeeder-Lizenz haben. Sie müssen über ebenso viele aktive Lizenzen für den SIEMFeeder Dienst verfügen wie für WatchGuard EDR oder WatchGuard EPDR. Weitere Informationen finden Sie unter SIEMFeeder Requirements.
• Achten Sie darauf, beim Konfigurieren des Event Importers die richtigen Zugangsdaten zu nutzen. Weitere Informationen finden Sie unter Configure WatchGuard Cloud API Settings.

Daten erfassen

Sie können die Datei configuration.json bearbeiten, um Protokolle zu erfassen, die Sie an den Support senden können.

So bearbeiten Sie eine JSON-Datei:

1. Stoppen Sie den Event Importer-Dienst.
2. Navigieren Sie zum Installationsverzeichnis für Event Importer.
3. Öffnen Sie die Datei configuration.json mit Notepad, oder ähnlich.
4. Ändern Sie den Text "TrazeLevel": "Error" zu "TrazeLevel": "Information".

5. Speichern Sie die Datei.
6. Starten Sie den Dienst Event Importer und reproduzieren Sie das Problem.

Erfassen Sie diese Daten und kontaktieren Sie den Support:

• Komprimieren und speichern Sie den Ordner log, der sich im Installationsverzeichnis des Event Importer befindet.
• Kopieren Sie die im Installationsverzeichnis des Event Importer befindliche Datei configuration.json.
• Notieren Sie Ihre E-Mail-Adresse sowie die Event Importer-Zugangsdaten.
• Kopieren Sie die im Installationsverzeichnis des Event Importer befindliche Datei version.txt.
• Machen Sie einen Screenshot der Ergebnisse, wenn Sie diese Befehle ausführen, die alle offenen Ports und aktiven Verbindungen aufführen.
  Öffnen Sie ein Eingabeaufforderungsfenster mit Administratorberechtigungen und geben Sie Folgendes ein:
  • netstat –ano | findstr "5671"
  • netstat –ano | findstr "5672"

Falls Sie mehr als eine Event Importer-Instanz gleichzeitig ausführen, stellen Sie Daten für jede Instanz bereit.

Nachdem Sie diese Daten erfasst haben, senden Sie diese an den Support. Sie können Änderungen an der Datei configuration.json auch wieder rückgängig machen.

Um den Support bei der Fehlersuche und -behebung zu unterstützen, können Sie mit dem PSInfo-Tool Diagnoseprotokolle bereitstellen. Weitere Informationen finden Sie unter Erste Schritte mit PSInfo.