S'applique À : WatchGuard SIEMFeeder
WatchGuard SIEMfeeder peut envoyer des données d'Endpoint Security à une plateforme SIEM. Avant que SIEMFeeder envoie les données, SIEMFeeder récupère les données et les enrichit avec des informations de sécurité. SIEMfeeder crée ensuite un flux de données unique pour transmettre les données à un serveur SIEM compatible.
Les administrateurs peuvent utiliser ces données pour détecter les menaces inconnues, les attaques ciblées et les logiciels malveillants avancés. Les données offrent une visibilité approfondie des processus d'activité qui s'exécutent dans les structures réseau d'une organisation. SIEMfeeder fait le lien entre le logiciel de protection installé sur les ordinateurs et le serveur SIEM de votre entreprise.
SIEMFeeder n'apporte aucune modification aux paramètres d'un ordinateur ou d'un réseau surveillé. Le service fonctionne au sein de l'infrastructure Endpoint Security.
Les données fournies par SIEMfeeder permettent aux administrateurs :
- D'obtenir des informations visuelles sur le logiciel malveillant détecté sur un réseau, si le logiciel malveillant s'est exécuté, le vecteur d'infection et toute action entreprise par un processus.
- D'afficher les actions exécutées par les processus à partir de menaces telles que les logiciels malveillants ou les logiciels légitimes, puis de détecter toute activité suspecte des applications.
- De surveiller les tentatives d'obtention d'informations confidentielles et d'empêcher le vol de ces informations.
- D'afficher les connexions réseau des processus et d'identifier les connexions suspectes ou potentiellement dangereuses.
- De rechercher toutes les applications exécutées, en particulier celles présentant des vulnérabilités connues installées sur un ordinateur surveillé.
- De concevoir des plans pour mettre à jour les logiciels et ajuster les politiques de sécurité.
Pour économiser de la bande passante, le service SIEMfeeder envoie les paquets de données une seule fois.
Flux d'Information
Les produits Endpoint Security surveillent et collectent l'activité des processus. Le service SIEMfeeder enrichit les données d'activité avec des informations de sécurité et les place dans l'infrastructure de Microsoft Azure pour la collecte. Event Importer, qui s'exécute sur l'ordinateur d'un administrateur, télécharge ensuite les fichiers journaux générés à partir d'Azure et utilise les canaux de diffusion d'Event Importer pour acheminer les fichiers journaux.
Pour plus d'informations sur les journaux d'événements, accédez au Guide des Événements WatchGuard SIEMfeeder. (lien externe)
Event Importer peut canaliser les fichiers journaux de ces manières :
- Stocker les fichiers journaux dans un dossier local ou distant auquel le serveur SIEM de l'organisation peut se connecter.
- Envoyer les fichiers journaux à un serveur de file d'attente Apache Kafka, où le serveur de file d'attente Kafka les gère.
- Envoyer les fichiers journaux à un serveur syslog, où les fichiers sont envoyés au serveur SIEM de l'organisation.
Pour plus d'informations sur les canaux de diffusion d'Event Importer, accédez à Configurer le Stockage et le Transfert des Journaux d'Événements.
Architecture de SIEMFeeder
L'architecture de SIEMfeeder se compose de ces composants :
Ordinateurs sur le Réseau
Ordinateurs du réseau protégés par les produits Endpoint Security.
Infrastructure de WatchGuard Cloud
L'infrastructure de WatchGuard Cloud stocke les données des processus qui s'exécutent et analyse les données pour en extraire des informations de sécurité.
Service SIEMFeeder
Le service SIEMfeeder collecte les événements et les données de sécurité et encapsule les données sous forme de fichiers journaux.
Infrastructure de Microsoft Azure
Azure est une plateforme informatique sur le cloud qui reçoit les journaux du service SIEMfeeder et les stocke pour la collecte.
Event Importer
Un ordinateur sur le réseau client qui exécute Event Importer et télécharge les journaux disponibles à partir de l'infrastructure d'Azure.
Serveur Kafka (facultatif)
Un ordinateur sur le réseau client qui gère la file d'attente des journaux qu'il reçoit d'Event Importer et les envoie au serveur SIEM de l'entreprise.
Serveur Syslog (facultatif)
Un ordinateur sur le réseau client qui collecte les journaux qu'il reçoit d'Event Importer et les envoie au serveur SIEM de l'entreprise.
Dossier partagé (facultatif)
Un système de stockage sur le réseau du MSSP où Event Importer dépose les journaux en l'absence de ressources plus avancées, comme un serveur Syslog ou Kafka.
Serveur SIEM
Le serveur SIEM est un serveur client qui reçoit les données téléchargées par Event Importer et génère des tableaux de bord qui aident à détecter les processus suspects pouvant constituer une menace pour la sécurité.
Pare-feu local et de périmètre
Les pare-feu protègent le trafic de données entrant et sortant entre l'ordinateur qui exécute Event Importer et l'infrastructure d'Azure.
Produits WatchGuard Compatibles
Ces produits WatchGuard prennent en charge le service SIEMfeeder :
- WatchGuard EDR
- WatchGuard EPDR
- WatchGuard Advanced EPDR
Disponibilité du Service
Le service SIEMfeeder est toujours disponible pour un administrateur. Si un problème de service survient, WatchGuard informe le compte administrateur de toute interruption de service.
Pour éviter la perte de données en cas de panne de connectivité, si l'ordinateur qui exécute Event Importer n'est pas disponible, ou pour tout autre problème, le service conserve tous les journaux générés non livrés pour ces limites :
- Le nombre maximum de jours pendant lesquels la plate-forme Azure conserve les journaux est de sept jours.
- La quantité maximale de données conservée par la plate-forme Azure est de 80 Go pour chaque client.