Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Windows)

S'applique À : ThreatSync+ NDR

L'Agent de Collecte ThreatSync+ NDR pour Windows reçoit les données de journal des commutateurs et des routeurs de votre réseau, et envoie ces données à WatchGuard Cloud.

L'Agent de Collecte ThreatSync+ NDR écoute sur les ports suivants :

  • Port 2055 pour les données de journal NetFlow des endpoints.
  • Port 6343 pour les données du journal sFlow provenant des endpoints.
  • Port 514 pour les données de journal DHCP de l'Agent de Journal Windows.

Vous pouvez installer l'Agent de Collecte ThreatSync+ NDR sur les ordinateurs Windows qui exécutent Windows 10, Windows 11 ou Windows Server 2022.

Pour obtenir des informations détaillées concernant les systèmes d'exploitation et les environnements de virtualisation pris en charge pour Windows, accédez à Exigences du Système.

Télécharger et Installer l'Agent WatchGuard pour Windows

L'installation de l'Agent WatchGuard pour Windows et de l'Agent de Collecte ThreatSync+ NDR est un processus en deux étapes.

Pour ajouter et configurer un collecteur, vous devez d'abord télécharger le programme d'installation de l'Agent WatchGuard pour Windows, puis exécuter l'assistant d'installation sur un ordinateur ou un serveur Windows que vous souhaitez configurer en tant que collecteur. Lorsque vous installez l'Agent WatchGuard, il installe ensuite l'Agent de Collecte ThreatSync+ NDR ou l'Agent de Journal Windows. Utilisez l'UI de gestion de ThreatSync pour spécifier les ordinateurs ou les serveurs Windows à utiliser en tant que collecteurs.

Caution: Vous ne pouvez pas installer l'Agent de Collecte ThreatSync+ NDR sur des endpoints sur lesquels sont installés des produits de sécurité des endpoints Panda ou Cytomic. L'Agent de Collecte ThreatSync+ NDR est uniquement compatible avec les produits WatchGuard Endpoint Security.

Avant de Commencer

Avant de télécharger l'Agent WatchGuard pour Windows, vérifiez les points suivants :

  • L'ordinateur sur lequel vous souhaitez installer l'agent dispose d'un logiciel antivirus.
  • Vous possédez les permissions d'administrateur et vous êtes connecté à l'ordinateur Windows où vous souhaitez installer l'Agent WatchGuard.

Exigences du Système

Assurez-vous que la virtualisation est activée dans le BIOS et que VBS (Virtualization-Based Security) est activé pour les hôtes de l'environnement virtuel.

Pour de plus amples informations, accédez à :

Si vous exécutez le collecteur sur Hyper-V, la Virtualisation Imbriquée doit être activée. Pour de plus amples informations, consultez les sections Virtualisation Imbriquée et Exécuter Hyper-V dans une Machine Virtuelle avec la Virtualisation Imbriquée.

Pour éviter la Virtualisation Imbriquée, nous vous recommandons d'exécuter le collecteur sur un périphérique physique dédié au lieu d'un périphérique virtuel.

L'Agent de Collecte ThreatSync+ NDR pour Windows doit répondre aux exigences suivantes :

  • Windows 10, Windows 11 ou Windows 2022 installé avec :
    • Nombre minimal de cœurs de processeur : 2
    • 8 GO de RAM et 150 GO d'espace disque minimum

Pour les réseaux dont le débit NetFlow est supérieur à 500 000 par minute, la quantité nécessaire de processeurs, de RAM et d'espace disque est supérieure.

Windows Installer est compatible avec les ordinateurs équipés d'un processeur x86 ou ARM.

Pour de plus amples informations concernant les systèmes d'exploitation et les environnements de virtualisation pris en charge, accédez à la section Dépanner l'Agent de Collecte ThreatSync+ NDR pour Windows de ce document ou la section Compatibilité des Systèmes d'Exploitation des Composants ThreatSync+ NDR des Notes de Publication de ThreatSync+ NDR.

Installer l'Agent for Windows WatchGuard

Installez l'Agent WatchGuard sur chaque ordinateur Windows que vous souhaitez configurer en tant que collecteur. En règle générale, il vous suffit d'installer l'Agent de Collecte ThreatSync+ NDR sur un ordinateur par site physique de votre réseau.

Nous vous recommandons d'installer l'agent sur un ordinateur dédié possédant un compte administrateur unique afin que l'administrateur puisse toujours être connecté. Si le compte administrateur qui a installé l'agent n'est pas connecté, le collecteur ne s'exécute pas.

Pour installer l'Agent WatchGuard pour Windows :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
  4. Dans l'onglet Agents de Collecte ThreatSync+ NDR, cliquez sur Ajouter un Collecteur.
  5. Dans la section Télécharger et Installer l'Agent WatchGuard, cliquez sur Télécharger l'Agent WatchGuard.
    La boîte de dialogue Télécharger le Programme d'Installation de l'Agent WatchGuard s'ouvre.
  6. Dans la boîte de dialogue Télécharger le Programme d'Installation de l'Agent WatchGuard, sélectionnez Windows.

Screenshot of the Add ThreatSync+ NDR Collection Agent page that shows the Windows installer option

  1. (Facultatif) Cliquez sur Copier l'URL de Téléchargement pour enregistrer l'URL de téléchargement.
  2. Cliquez sur Télécharger.
    Le fichier Windows WatchGuard_Agent.msi se télécharge.
  3. Copiez le fichier .MSI sur l'ordinateur ou le serveur Windows dont vous souhaitez obtenir les journaux.
  4. Double-cliquez sur le fichier WatchGuard_Agent.msi et suivez les étapes de l'assistant.
    Une barre de progression s'affiche pendant le processus d'installation. L'agent ouvre une fenêtre de console Ubuntu pendant l'installation. Vous ne devez pas fermer cette fenêtre. L'ordinateur ou le serveur Windows redémarre afin d'achever l'installation.

Pour vérifier que l'Agent WatchGuard a correctement été installé, assurez-vous que l'onglet Agents de Collecte ThreatSync+ NDR indique l'état Succès. Le collecteur Windows indique un état en temps réel mis à jour toutes les cinq minutes environ.

Pour plus d'informations sur la désinstallation de l'Agent WatchGuard ou de l'Agent de Collecte ThreatSync+ NDR, accédez à Supprimer l'Agent de Collecte ThreatSync+ NDR pour Windows.

Configurer des Collecteurs pour ThreatSync+ NDR

Pour collecter les journaux DHCP d'Active Directory, vous devez ajouter et configurer les deux types d'agents de collecte sur votre réseau — d'abord l'Agent de Collecte ThreatSync+ NDR, puis l'Agent de Journal Windows.

Screenshot of Configure > ThreatSync, ThreatSync+ NDR Collection Agents page

Vous configurez les Agents de Collecte ThreatSync+ NDR sur la page Collecteurs.

L'onglet Agents de Collecte ThreatSync+ NDR affiche les colonnes suivantes :

  • Nom — Nom du collecteur.
  • Adresse IP — Adresse IP de l'ordinateur sur lequel le collecteur est installé.
  • Dernière Mise à Jour — Date et heure de la dernière mise à jour des données du collecteur.
  • Dernière Activité — Date et heure auxquelles le collecteur a envoyé pour la dernière fois des données à ThreatSync+ NDR.
  • Surveillance de NetFlow — Affiche l'état de la surveillance de NetFlow (si le processus nfcapd est en cours d'exécution). Par exemple, En Cours d'Exécution ou Arrêté.
  • Surveillance de sFlow — Affiche l'état de la surveillance de sFlow (si le processus sfcapd est en cours d'exécution). Par exemple, En Cours d'Exécution ou Arrêté.
  • État — Affiche l'état du collecteur. Cliquez sur l'état pour afficher plus d'informations. L'état peut inclure :
    • Succès — Le collecteur est installé et reçoit les données réseau.
    • Aucune Information — Impossible de signaler l'état du collecteur.
    • Hors Ligne — Le collecteur est hors ligne.
    • Erreur — Le collecteur a rencontré une erreur. Pour de plus amples informations, accédez à Dépanner l'Agent de Collecte ThreatSync+ NDR pour Windows.

Ajouter un Agent de Collecte ThreatSync+ NDR pour Windows

En règle générale, un seul Agent de Collecte ThreatSync+ NDR est requis pour chaque emplacement physique de votre réseau. Pour collecter les journaux de données DHCP, vous devez ajouter l'Agent de Collecte ThreatSync+ NDR sur un ordinateur Windows avec une adresse IP statique.

Pour ajouter un Agent de Collecte ThreatSync+ NDR :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
  4. Dans l'onglet Agents de Collecte ThreatSync+ NDR, cliquez sur Ajouter un Collecteur.

Screen shot of Configure > ThreatSync, Add ThreatSync+ NDR Collection Agents dialog box

  1. Dans la liste déroulante Hôte, sélectionnez l'ordinateur Windows que vous souhaitez utiliser comme Agent de Collecte ThreatSync+ NDR.
    Cette liste inclut tous les ordinateurs Windows sur lesquels l'Agent WatchGuard est installé. Pour actualiser la liste des ordinateurs et serveurs disponibles, cliquez sur .
  2. Cliquez sur Enregistrer.
    L'agent de collecte commence à rapporter les données à ThreatSync+ NDR. Vous pouvez consulter les informations relatives au trafic signalé sur la page Synthèse du Réseau.
  3. Sur votre ordinateur hôte, cliquez sur OK lorsque la boîte de dialogue Permissions Requises s'ouvre.
    L'affichage de la boîte de dialogue Permissions Requises sur l'ordinateur hôte peut prendre un certain temps.

Screenshot of the Permissions Required dialog box that appears on the host computer.

Enregistrez l'adresse IP de l'Agent de Collecte ThreatSync+ NDR. Vous devez saisir l'adresse IP pour configurer l'Agent de Journal Windows.

Désactiver les Notifications de Dysfonctionnement de l'Agent de Collecte ThreatSync+ NDR

Vous pouvez modifier un Agent de Collecte ThreatSync+ NDR existant et désactiver les notifications de dysfonctionnement d'un agent de collecte spécifique. Vous pouvez également désactiver les notifications de dysfonctionnement à partir d'une source de journal que vous ajoutez et configurez.

Pour configurer les notifications de dysfonctionnement d'un Agent de Collecte ThreatSync+ NDR existant :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
  4. Dans l'onglet Agents de Collecte ThreatSync+ NDR, en face de l'Agent de Collecte ThreatSync+ NDR que vous souhaitez modifier, cliquez sur L'icône d'Options. Cliquez sur Modifier.
    Les options de désactivation des notifications de dysfonctionnement s'affichent.

  1. Sélectionnez l'une de ces options :
    • Désactiver les notifications de dysfonctionnement répétées — Sélectionnez cette option pour désactiver les notifications de dysfonctionnement de collecteur successives pour ce collecteur. Si cette case est sélectionnée, une seule notification est envoyée pour ce collecteur en cas de dysfonctionnement de collecteur.
    • Désactiver toutes les notifications de dysfonctionnement — Sélectionnez cette option pour désactiver toutes les notifications de dysfonctionnement de collecteur pour ce collecteur. Si cette case est sélectionnée, aucune notification n'est envoyée pour ce collecteur en cas de dysfonctionnement de collecteur.
    • Désactiver les notifications de dysfonctionnement de ces sources — Sélectionnez cette option pour ajouter et configurer les sources de journaux spécifiques pour lesquelles vous souhaitez désactiver les notifications de dysfonctionnement. Cette option désactive toutes les notifications de dysfonctionnement de collecteur pour la source de journaux configurée. Si cette case est sélectionnée, aucune notification n'est envoyée pour cette source de journaux en cas de dysfonctionnement de collecteur. Pour ajouter une source de journaux, passez à l'Étape 6.
  2. Sélectionnez Désactiver les notifications de dysfonctionnement de ces sources pour ajouter et configurer une source de journaux pour laquelle vous souhaitez désactiver les notifications.
    1. Cliquez sur Ajouter une Source et un Type.
      La boîte de dialogue Ajouter une Source et un Type s'ouvre.

    1. Dans la zone de texte Source, saisissez l'adresse IP source.
    2. Dans la liste déroulante Type, sélectionnez NetFlow/sFlow ou DHCP pour le type de source.
    3. Cliquez sur Ajouter.
    4. Cliquez sur Enregistrer.
      La nouvelle source est ajoutée.

Screenshot of the added sources to mute failure notifications

    1. Pour supprimer une source, cliquez sur L'icône supprimer. Cliquez sur Enregistrer.

Supprimer l'Agent de Collecte ThreatSync+ NDR pour Windows

Si vous ne souhaitez plus utiliser un Agent de Collecte ThreatSync+ NDR spécifique, vous pouvez le supprimer de l'UI des intégrations de ThreatSync+. Lorsque vous supprimez l'agent de collecte de l'UI, l'agent WatchGuard désinstalle automatiquement l'agent de collecte.

Pour supprimer un Agent de Collecte ThreatSync+ NDR :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
  4. Dans l'onglet Agents de Collecte ThreatSync+ NDR, sélectionnez un ou plusieurs collecteurs que vous souhaitez supprimer.

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

  1. Cliquez sur Supprimer.
    L'Agent WatchGuard désinstalle l'Agent de Collecte ThreatSync+ NDR.

Pour désinstaller l'Agent WatchGuard ainsi que l'Agent de Collecte ThreatSync+ NDR, désinstallez-le de l'ordinateur ou du serveur sur lequel vous l'avez installé. Pour de plus amples informations, consultez la documentation produit de votre ordinateur ou serveur.

Installer l'Agent de Journal Windows

L'Agent de Journal Windows est un agent de collecte qui lit les journaux du serveur DHCP Windows, puis les transmet à l'Agent de Collecte ThreatSync+ NDR. L'Agent de Collecte ThreatSync+ NDR transmet ensuite les journaux DHCP à WatchGuard Cloud.

Afin que l'Agent de Collecte ThreatSync+ NDR pour Windows reçoive les journaux du serveur DHCP, vous devez installer et configurer l'Agent de Journal Windows sur votre réseau. Vous pouvez installer l'Agent de Journal Windows sur les serveurs Windows 2019 ou 2022. Certains de ces serveurs peuvent également être des contrôleurs de domaine. Pour de plus amples informations, accédez à Configurer l'Agent de Journal Windows.

Pour surveiller les périphériques lorsqu'ils changent d'adresse IP, nous vous recommandons d'utiliser l'Agent de Journal Windows pour collecter les journaux DHCP d'Active Directory. Ajoutez et configurez l'Agent de Journal Windows sur tous les serveurs DHCP.

Dépanner l'Agent de Collecte ThreatSync+ NDR pour Windows

Si vous n'observez pas d'informations concernant le trafic signalé sur la page Synthèse du Réseau sous 60 à 90 minutes, vous pouvez utiliser les informations de cette section pour dépanner les problèmes du collecteur.

Pour dépanner l'Agent de Collecte ThreatSync+ NDR pour Windows :

  • Assurez-vous que l'ordinateur Windows répond aux exigences décrites dans la section Exigences du Système .
  • Assurez-vous que le compte administrateur qui a installé l'agent WatchGuard est connecté à l'ordinateur Windows sur lequel l'agent de Collecte ThreatSync+ NDR est installé. Nous vous recommandons de créer un compte administrateur dédié à l'installation. L'administrateur de l'installation doit toujours être connecté.
  • Lors du processus d'installation, l'Agent WatchGuard ouvre une fenêtre de console Ubuntu. Ne fermez pas cette fenêtre. Utilisez la commande PowerShell wsl -l pour confirmer que l'Agent WatchGuard a été installé avec succès.
  • Utilisez la commande PowerShell netstat -l pour confirmer que l'ordinateur est capable d'écouter sur les ports suivants :
    • Port 2055 — Données de journal NetFlow des endpoints
    • Port 6343 — Données du journal sFlow des endpoints
    • Port 514 — Données du journal DHCP de l'Agent de Journal Windows
  • Assurez-vous qu'aucune règle de pare-feu ne bloque le trafic provenant de ces ports : 2055, 6343 et 514. Pour un Firebox géré sur le cloud, supprimez le port bloqué 514 sur la page Configurer > Périphériques > Configuration du Périphérique > Blocage du Réseau dans WatchGuard Cloud. Pour de plus amples informations concernant l'élimination d'un port bloqué pour les Fireboxes gérés localement, accédez à Bloquer un Port dans l'Aide Fireware.
  • Assurez-vous que la virtualisation est activée dans le BIOS. Ces environnements de virtualisation sont vérifiés :
Environnement de Virtualisation du Collecteur ThreatSync+ NDR Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows Server 2022
Hyper-V Icône de coche Icône de coche
VMware ESXi 6.7 Icône de coche Icône de coche
VMware ESXi 7.0.3 Icône de coche Icône de coche Icône de coche*
VMware ESXi 8.0 Icône de coche Icône de coche Icône de coche
KVM Hypervisor QEMU 9.0.0 Icône de coche Icône de coche

*Windows Server 2022 version 20.348.2527

  • Sur la page Configurer > Intégrations ThreatSync+ > Collecteurs, examinez la colonne État du tableau Collecteurs. Cliquez sur l'état pour plus d'informations :
    • Succès — Le collecteur est installé et reçoit les données réseau.
    • Aucune Information — Impossible de signaler l'état du collecteur.
    • Hors Ligne — Le collecteur est hors ligne.
    • Erreur — Le collecteur a rencontré une erreur.

Si vous rencontrez l'Erreur Générique 1603, vérifiez que la virtualisation est activée. Pour de plus amples informations, accédez à Exigences du Système.

Pour dépanner l'Agent de Journal Windows, accédez à Dépanner les Problèmes de l'Agent de Journal Windows.

Rubriques Connexes

Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Linux)

À Propos des Collecteurs ThreatSync+ NDR

Démarrage Rapide — Configurer ThreatSync+ NDR