Aplica A: WatchGuard SIEMFeeder
Antes de intentar configurar y ejecutar WatchGuard Event Importer, asegúrese de que la computadora, la red y el servidor SIEM cumplen estos requisitos.
Requisitos de Hardware
- Procesador — 1 GHz o más rápido
- RAM — 512 MB como mínimo
- Espacio Libre en Disco — Almacena los datos de registro que importa Event Importer
En promedio, Event Importer utiliza 1 MB de espacio de almacenamiento por cada computadora, por cada hora. Event Importer debe tener permiso para escribir en la carpeta local seleccionada.
Requisitos de Windows
Estaciones de Trabajo Compatibles (32 y 64 bits)
- Windows 7 SP1
- Windows 8
- Windows 8.1
- Windows 10
- Windows 11
Servidores Compatibles
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
.NET
Event Importer requiere Microsoft .NET Framework 4.6.2 o superior y es compatible con .NET Framework hasta la versión 4.8.
Si tiene instalada una versión anterior, vaya a https://dotnet.microsoft.com/en-us/download/dotnet-framework/net462 para descargar la versión adecuada.
Puede ejecutar Event Importer desde la línea de comandos o de forma desatendida como un servicio de Windows.
- Cuando ejecuta Event Importer desde la línea de comandos, no requiere ningún permiso específico, salvo el acceso de escritura a la carpeta o unidad que configure para almacenar los registros que descarga Event Importer.
- Cuando ejecuta Event Importer como servicio, se ejecuta bajo la cuenta de la computadora del sistema local y debe tener permisos de administrador para ejecutarse correctamente.
Requisitos de Linux
Sistema Operativo y Bibliotecas Requeridas
El paquete de descarga contiene todo lo que Event Importer necesita para estas distribuciones:
- Ubuntu 24.04 LTS Desktop (64 bit)
- Red Hat Enterprise Linux 9.5 Server (64 bit)
Permisos Requeridos
Puede ejecutar Event Importer desde la línea de comandos o de forma desatendida como demonio del sistema.
- Cuando ejecuta Event Importer en modo de línea de comandos como administrador, no requiere ningún permiso específico, salvo el acceso de escritura a la carpeta que configure para almacenar los registros que descarga Event Importer.
- Cuando ejecuta Event Importer en modo demonio, se ejecuta bajo una cuenta de usuario. Event Importer requiere permisos de root para su configuración.
Configuración del Firewall
Para que Event Importer descargue archivos de registro de Microsoft Azure, el firewall de la computadora que ejecuta Event Importer debe permitir estos ajustes de red:
- Origen de comunicación — Computadora de Event Importer
- Objetivo de comunicación — Plataforma Azure
- Tipo de conexión — Saliente desde la red del usuario
- Protocolo de capa 3 (transporte) — Seguridad de Capa de Transporte (TLS) 1.2
- Protocolo de capa 4 (aplicación) — HTTPS (puerto 443), Amqp (puertos 5671 y 5672), Amqp WebSockets (puerto 443)
Configure su firewall para permitir estas URL:
- https://auth.pandasecurity.com.
- https://storage.accesscontrolmngr.pandasecurity.com.
- sb://pac100siemfeeder.servicebus.windows.net.
En función de su ubicación, configure su firewall para permitir estas URL de autenticación:
- https://api.usa.cloud.watchguard.com (América del Norte)
- https://api.jpn.cloud.watchguard.com (Japon)
- https://api.deu.cloud.watchguard.com (Europa)
En función de su ubicación, configure su firewall para permitir estas URL de autenticación de Microsoft Azure Service Bus:
- sb://pac-prodv3-us1-siemfeeder.servicebus.windows.net (América del Norte)
- sb://pac-prodv3-jp1-siemfeeder.servicebus.windows.net (Japon)
- sb://pac-prodv3-eu1-siemfeeder.servicebus.windows.net (Europa)
Servidor NTP
Para descargar los archivos de registro almacenados en la infraestructura de Azure, debe completarse un proceso de autenticación que implica la generación de un token. Para mejorar la seguridad, este token tiene fecha de caducidad. La hora del sistema de ambos endpoints de comunicación debe ser la misma. La computadora que ejecuta Event Importer debe utilizar un servicio de hora (por ejemplo, el servicio de hora de Windows) para sincronizarse con la hora de un servidor NTP. Para obtener más información, visite https://www.ntppool.org/en/use.html (enlace externo).
Servidores SIEM Compatibles
Los productos SIEM compatibles con el servicio SIEMFeeder son los que admiten el Formato Común de Eventos (CEF) o el Formato Ampliado de Eventos de Registro (LEEF).
Para obtener más información sobre los servidores SIEM compatibles, vaya a Acerca de los Servidores SIEM.
De forma predeterminada, los registros se envían en formato LEEF. Para recibir registros en formato CEF, envíe un mensaje de correo electrónico con su solicitud y su número de cuenta de WatchGuard a [email protected].
Ajustes del Servidor Proxy
Si la computadora que aloja Event Importer utiliza un servidor proxy, este debe utilizar WebSockets para habilitar el acceso. Event Importer utiliza el protocolo Amqp WebSockets y no Amqp.
Ancho de Banda
Por cada hora de uso, Event Importer genera un promedio de 500 KB de datos comprimidos, almacenados en formato GZIP. El ancho de banda necesario depende de la cantidad de computadoras monitorizadas en la red, del máximo del retraso permitido y de cualquier requisito del administrador.
Un valor bajo de ancho de banda provoca un retraso en el momento en que se pueden recibir los registros, por lo que impide que un servidor SIEM reciba y procese los datos en tiempo real.
Umbral Mínimo
El ancho de banda mínimo para recibir todos los registros sin pérdida de archivos, debido al vencimiento del periodo de retención de registros. La tasa de generación de registros depende de múltiples factores (la actividad de la computadora, el papel de la computadora dentro de la organización, etc.). Con un valor bajo de ancho de banda, el servicio utiliza las horas no laborables para recibir los archivos de registro que genera Event Importer en las horas pico. Un valor bajo de ancho de banda provoca retrasos para cuando Event Importer recibe los archivos de registro e impide la recepción y el procesamiento de los registros en tiempo real por parte del servidor SIEM de la organización.
Umbral Máximo
El ancho de banda necesario para descargar todos los archivos de registro a medida que se generan.
Calcular los Requisitos de Ancho de Banda
Calcule el ancho de banda necesario en función del número de computadoras de usuario monitorizadas (por ejemplo, 500 KB por computadora por hora). Utilice este valor para configurar las reglas de QoS en el enrutador de su organización que conecta la computadora de Event Importer a Internet y monitorice el uso del ancho de banda en todo momento.
Para saber si hay retrasos en la recepción de datos, compare la fecha en que se recibieron los archivos de registro en la computadora de Event Importer con la fecha en que se generaron los eventos. El sistema operativo proporciona la fecha de generación de los archivos de registro. La fecha de generación de cada evento forma parte del esquema de información interna del archivo de registro.
Para más información sobre los registros de eventos, vaya a la Guía de Eventos de WatchGuard SIEMFeeder. (enlace externo)
Si la diferencia entre las fechas de recepción y generación de los eventos aumenta gradualmente con el tiempo, compruebe el flujo de datos recibidos. Si el flujo de datos utiliza todo el ancho de banda reservado por la regla QoS, WatchGuard SIEMFeeder está generando demasiados archivos de registro para el ancho de banda asignado a la computadora de Event Importer. Después de siete días, si la diferencia no disminuye o la organización requiere un tiempo de recepción de eventos más corto, aumente el ancho de banda asignado al servicio mediante la regla QoS.
Si el ancho de banda asignado al servicio no se utiliza por completo, pero la diferencia entre la fecha de recepción del registro y la fecha de generación del evento aumenta, hay un cuello de botella en el hardware de la computadora de Event Importer. Para más información, vaya a Requisitos de Hardware.