Acerca de los Servidores SIEM

Aplica A: WatchGuard SIEMFeeder Este tema se aplica al módulo de seguridad de endpoints de WatchGuard, SIEMFeeder. SIEMFeeder está disponible con WatchGuard EPDR y WatchGuard EDR.

Un servidor de información de seguridad y administración de eventos (SIEM) puede recibir los datos de la infraestructura WatchGuard Cloud que WatchGuard Event Importer descarga de la infraestructura Microsoft Azure. Event Importer administra los datos en forma de archivos de registro. Cuando un servidor SIEM recibe los archivos de registro, puede almacenarlos y utilizarlos para ayudar a detectar procesos sospechosos que podrían suponer una amenaza para la seguridad de su red de computadoras.

Para administrar los archivos de registro, debe utilizar un servidor SIEM que sea compatible con los formatos de registro que admite el servicio WatchGuard SIEMFeeder. El servicio SIEMFeeder requiere un servidor SIEM que admita el Formato Común de Eventos (CEF) o el Formato Extendido de Eventos de Registro (LEEF).

Servidores SIEM Compatibles

El servidor SIEM debe poder recibir datos en formato CEF o LEEF. Aquí una lista parcial de servidores SIEM compatibles con estos dos formatos:

• AlienVault Unified Security Management (USM)
• Fortinet (AccelOps) FortiSIEM
• Hewlett Packard Enterprise (HPE) ArcSight
• IBM QRadar Security Intelligence Platform
• Intel Security McAfee Enterprise Security Manager (ESM)
• LogRhythm
• SolarWinds Log & Event Manager (LEM)
• Splunk Security Intelligence Platform

De forma predeterminada, los registros se envían en formato LEEF. Para recibir registros en formato CEF, envíe un mensaje de correo electrónico con su solicitud y su número de cuenta de WatchGuard a [email protected].

Acceso al Archivo de Registro del Servidor SIEM

Para que el servidor SIEM obtenga los archivos de registro, debe configurar un canal de almacenamiento en la aplicación Event Importer para indicar a dónde se envían los archivos de registro que recibe. El servidor SIEM puede obtener archivos de estas ubicaciones de almacenamiento:

• Carpeta Local donde la computadora de Event Importer almacena los registros recibidos.
• Servidor de cola Apache Kafka que recopila los registros que envía Event Importer.
• Servidor Syslog que recopila los registros que envía Event Importer.

Acerca de los Archivos de Registro

Cada archivo de registro tiene un tamaño máximo de 256 KB en formato comprimido. Event Importer guarda los archivos de registro en la ubicación de almacenamiento configurada. Cada archivo de registro tiene un nombre con el formato aaaammdd-hhmm-(xxxxxx), donde:

• aaaa: Año creado.
• mm: Mes creado.
• dd: Día creado.
• hh: Hora de creación (horas).
• mm: Hora de creación (minutos).
• –(xxxxxx): Si Event Importer crea más de un archivo de registro en el mismo minuto, asigna un número de índice a los archivos de registro adicionales.

Para obtener una descripción completa de los datos recibidos, vaya a la Guía de Eventos WatchGuard SIEMFeeder. (enlace externo)

Temas Relacionados

Acerca de SIEMFeeder

Acerca de Event Importer

Requisitos de SIEMFeeder