Aplica A: WatchGuard SIEMFeeder
WatchGuard SIEMFeeder puede enviar datos de Endpoint Security a una plataforma SIEM. Antes de que SIEMFeeder envíe los datos, los toma y los enriquece con inteligencia de seguridad. A continuación, SIEMFeeder crea un único flujo de datos para entregarlos a un servidor SIEM compatible.
Los administradores pueden utilizar estos datos para ayudar a detectar amenazas desconocidas, ataques dirigidos y malware avanzado. Los datos proporcionan una visibilidad en profundidad de los procesos de actividad que se desarrollan en las estructuras de red de una organización. SIEMFeeder actúa como enlace entre el software de protección instalado en las computadoras de su empresa y el servidor SIEM de la misma.
SIEMFeeder no realiza ningún cambio en la configuración de una computadora o red monitorizadas. El servicio funciona dentro de la infraestructura de Endpoint Security.
Los datos que proporciona SIEMFeeder permiten a los administradores:
- Obtener información visual sobre el malware detectado en una red, si el malware se ejecutó, el vector de infección y cualquier acción que realice un proceso.
- Ver las acciones que ejecutan los procesos de amenazas como el goodware o el malware y, a continuación, detectar cualquier actividad sospechosa de las aplicaciones.
- Monitorizar los intentos de obtener información confidencial y evitar el robo de dicha información.
- Ver las conexiones de red de los procesos e identificar las conexiones sospechosas o posiblemente peligrosas.
- Encontrar todas las aplicaciones ejecutadas, especialmente aquellas con vulnerabilidades conocidas instaladas en una computadora monitorizada.
- Diseñar planes para actualizar el software y ajustar las políticas de seguridad.
Para ahorrar ancho de banda, el servicio SIEMFeeder envía paquetes de datos una sola vez.
Flujo de Información
Los productos de Endpoint Security monitorizan y recopilan la actividad de los procesos. El servicio SIEMFeeder enriquece los datos de actividad con inteligencia de seguridad y los coloca en la infraestructura de Microsoft Azure para su recopilación. A continuación, Event Importer, que se ejecuta en la computadora de un administrador, descarga los archivos de registro generados de Azure y utiliza los canales de entrega de Event Importer para enrutar los archivos de registro.
Para más información sobre los registros de eventos, vaya a la Guía de Eventos de WatchGuard SIEMFeeder. (enlace externo)
Event Importer puede canalizar los archivos de registro de estas formas:
- Almacenar los archivos de registro en una carpeta local o remota a la que pueda conectarse el servidor SIEM de la organización.
- Enviar los archivos de registro a un servidor de colas Apache Kafka, donde el servidor de colas Kafka los administra.
- Enviar archivos de registro a un servidor syslog, donde los archivos se envían al servidor SIEM de la organización.
Para obtener información sobre los canales de entrega de Event Importer, vaya a Configurar el Almacenamiento y Reenvío de Registros de Eventos.
Arquitectura de SIEMFeeder
La arquitectura de SIEMFeeder consta de estos componentes:
Computadoras de la red
Computadoras de la red que están protegidas con productos de Endpoint Security.
Infraestructura de WatchGuard Cloud
La infraestructura de WatchGuard Cloud almacena los datos de los procesos que se ejecutan y analiza los datos para extraer inteligencia de seguridad.
Servicio SIEMFeeder
El servicio SIEMFeeder recopila eventos y datos de seguridad y encapsula los datos en forma de archivos de registro.
Infraestructura de Microsoft Azure
Azure es una plataforma de computación en la nube que recibe los registros del servicio SIEMFeeder y los almacena para su recopilación.
Event Importer
Una computadora de la red del cliente que ejecuta Event Importer y descarga los registros disponibles de la infraestructura Azure.
Servidor Kafka (opcional)
Una computadora en la red del cliente que administra la cola de registros que recibe de Event Importer y los envía al servidor SIEM de la empresa.
Servidor Syslog (opcional)
Una computadora de la red del cliente que recopila los registros que recibe de Event Importer y los envía al servidor SIEM de la empresa.
Carpeta compartida (opcional)
Un sistema de almacenamiento en la red del MSSP donde Event Importer deposita los registros en ausencia de recursos más avanzados, como un servidor Syslog o Kafka.
Servidor SIEM
El servidor SIEM es un servidor del cliente que recibe los datos que descarga Event Importer y genera paneles de control que ayudan a detectar procesos sospechosos que pueden suponer una amenaza para la seguridad.
Firewalls locales y perimetrales
Los firewalls protegen el tráfico de datos entrantes y salientes entre la computadora que ejecuta Event Importer y la infraestructura de Azure.
Productos WatchGuard Compatibles
Estos productos WatchGuard son compatibles con el servicio SIEMFeeder:
- WatchGuard EDR
- WatchGuard EPDR
- WatchGuard Advanced EPDR
Disponibilidad del Servicio
El servicio SIEMFeeder está siempre disponible para un administrador. Si surge un problema con el servicio, WatchGuard notifica a la cuenta del administrador cualquier interrupción del servicio.
Para evitar la pérdida de datos en caso de una falla de conectividad, si la computadora que ejecuta Event Importer no está disponible, o hay cualquier otro problema, el servicio retiene los registros generados no entregados durante estos límites:
- La cantidad máxima de días que la plataforma Azure retiene los registros es de siete días.
- La cantidad máxima de datos que la plataforma Azure retiene es de 80 GB por cada cliente.