S'applique À : WatchGuard SIEMFeeder
Avant d'essayer de configurer et d'exécuter WatchGuard Event Importer, assurez-vous que l'ordinateur, le réseau et le serveur SIEM répondent à ces exigences.
Configuration Matérielle Minimale
- Processeur — 1 GHz ou plus
- RAM — 512 Mo minimum
- Espace Disque Libre — Stocke les données de journal importées par Event Importer
En moyenne, Event Importer utilise 1 Mo d'espace de stockage pour chaque ordinateur, par heure. Event Importer doit avoir la permission d'écrire dans le dossier local sélectionné.
Exigences de Windows
Stations de Travail Prises en Charge (32 et 64 bits)
- Windows 7 SP1
- Windows 8
- Windows 8.1
- Windows 10
- Windows 11
Serveurs Pris en Charge
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
.NET
Event Importer nécessite Microsoft .NET Framework 4.6.2 ou ultérieur et est compatible avec .NET Framework jusqu'à la version 4.8.
Si une version antérieure est installée, accédez à https://dotnet.microsoft.com/en-us/download/dotnet-framework/net462 pour télécharger la version appropriée.
Vous pouvez exécuter Event Importer à partir de la ligne de commande ou sans assistance en tant que service Windows.
- Lorsque vous exécutez Event Importer à partir de la ligne de commande, il ne nécessite aucune permission spécifique, autre que l'accès en écriture au dossier ou au lecteur que vous configurez pour stocker les journaux téléchargés par Event Importer.
- Lorsque vous exécutez Event Importer en tant que service, il s'exécute sous le compte d'ordinateur du système local et doit disposer des permissions d'administrateur pour fonctionner correctement.
Exigences pour Linux
Système d'Exploitation et Bibliothèques Requises
Le package de téléchargement contient tout ce dont Event Importer a besoin pour ces distributions :
- Ubuntu 24.04 LTS Desktop (64 bits)
- Red Hat Enterprise Linux 9.5 Server (64 bits)
Permissions Nécessaires
Vous pouvez exécuter Event Importer à partir de la ligne de commande ou sans surveillance en tant que démon système.
- Lorsque vous exécutez Event Importer en mode ligne de commande en tant qu'administrateur, il ne nécessite aucune permission spécifique, autre que l'accès en écriture au dossier que vous configurez pour stocker les journaux téléchargés par Event Importer.
- Lorsque vous exécutez Event Importer en mode démon, il s'exécute sous un compte utilisateur. Event Importer nécessite des permissions root pour la configuration.
Configuration du Pare-Feu
Pour qu'Event Importer télécharge les fichiers journaux à partir de Microsoft Azure, tout pare-feu sur l'ordinateur qui exécute Event Importer doit autoriser ces paramètres réseau :
- Source de communication — Ordinateur Event Importer
- Cible de communication — Plate-forme Azure
- Type de connexion — Sortante depuis le réseau de l'utilisateur
- Protocole de couche 3 (transport) — Transport Layer Security (TLS) 1.2
- Protocole de couche 4 (application) — HTTPS (port 443), Amqp (ports 5671 et 5672), Amqp WebSockets (port 443)
Configurez votre pare-feu pour autoriser les URL suivantes :
- https://auth.pandasecurity.com.
- https://storage.accesscontrolmngr.pandasecurity.com.
- sb://pac100siemfeeder.servicebus.windows.net.
En fonction de votre emplacement, configurez votre pare-feu pour autoriser ces URL d'authentification :
- https://api.usa.cloud.watchguard.com (Amérique du Nord)
- https://api.jpn.cloud.watchguard.com (Japon)
- https://api.deu.cloud.watchguard.com (Europe)
En fonction de votre emplacement, configurez votre pare-feu pour autoriser ces URL d'authentification Microsoft Azure Service Bus :
- sb://pac-prodv3-us1-siemfeeder.servicebus.windows.net (Amérique du Nord)
- sb://pac-prodv3-jp1-siemfeeder.servicebus.windows.net (Japon)
- sb://pac-prodv3-eu1-siemfeeder.servicebus.windows.net (Europe)
Serveur NTP
Pour télécharger les fichiers journaux stockés dans l'infrastructure d'Azure, un processus d'authentification impliquant la génération d'un jeton doit être terminé. Pour améliorer la sécurité, ce token a une date d'expiration. L'heure système des deux endpoints de communication doit être la même. L'ordinateur qui exécute Event Importer doit utiliser un service de temps (par exemple, le Service de Temps Windows) pour se synchroniser avec l'heure d'un serveur NTP. Pour plus d'informations, accédez à https://www.ntppool.org/en/use.html (lien externe).
Serveurs SIEM Pris en Charge
Les produits SIEM compatibles avec le service SIEMfeeder sont ceux qui prennent en charge CEF (Common Event Format) ou LEEF (Log Event Extended Format).
Pour plus d'informations sur les serveurs SIEM pris en charge, accédez à À Propos des Serveurs SIEM.
Par défaut, les logs sont envoyés au format LEEF. Pour recevoir des journaux au format CEF, envoyez un e-mail avec votre demande et votre numéro de compte WatchGuard à [email protected].
Paramètres du Serveur Proxy
Si l'ordinateur qui héberge Event Importer utilise un serveur proxy, celui-ci doit utiliser des WebSockets pour activer l'accès. Event Importer utilise le protocole Amqp WebSockets et non Amqp.
Bande Passante
Pour chaque heure d'utilisation, Event Importer génère en moyenne 500 Ko de données compressées, stockées au format GZIP. La bande passante requise dépend du nombre d'ordinateurs surveillés sur le réseau, du délai maximum autorisé et des exigences éventuelles de l'administrateur.
Une faible valeur de bande passante entraîne un retard dans la réception des journaux et empêche ainsi un serveur SIEM de recevoir et de traiter les données en temps réel.
Seuil Minimal
La bande passante minimale pour recevoir tous les journaux sans perte de fichiers, en raison de l'expiration de la période de conservation des journaux. Le taux de génération de journaux dépend de plusieurs facteurs (activité de l'ordinateur, rôle de l'ordinateur au sein de l'organisation, etc.). Avec une faible valeur de bande passante, le service utilise les heures non travaillées pour recevoir les fichiers journaux générés par Event Importer pendant les heures de pointe. Une faible valeur de bande passante entraîne des retards lorsque Event Importer reçoit les fichiers journaux et empêche la réception et le traitement des journaux en temps réel par le serveur SIEM de l'organisation.
Seuil Maximal
La bande passante requise pour télécharger tous les fichiers journaux au fur et à mesure de leur génération.
Calculer les Exigences de Bande Passante
Calculez la bande passante requise en fonction du nombre d'ordinateurs utilisateurs surveillés (par exemple, 500 Ko par ordinateur et par heure). Utilisez cette valeur pour configurer les règles QoS sur le routeur de votre organisation qui connecte l'ordinateur Event Importer à Internet et surveillez votre utilisation de la bande passante à tout moment.
Pour savoir s'il y a des retards dans la réception des données, comparez la date à laquelle les fichiers journaux ont été reçus sur l'ordinateur Event Importer à la date à laquelle les événements ont été générés. La date de génération des fichiers journaux est fournie par le système d'exploitation. La date de génération de chaque événement fait partie du schéma d'informations internes du fichier journal.
Pour plus d'informations sur les journaux d'événements, accédez au Guide des Événements WatchGuard SIEMfeeder. (lien externe)
Si la différence entre les dates de réception et de génération de l'événement augmente progressivement au fil du temps, vérifiez le flux de données reçu. Si le flux de données utilise toute la bande passante réservée par la règle QoS, WatchGuard SIEMFeeder génère trop de fichiers journaux pour la bande passante allouée à l'ordinateur Event Importer. Après sept jours, si la différence ne diminue pas ou si l'organisation nécessite un délai de réception d'événement plus court, augmentez la bande passante allouée au service par la règle QoS.
Si la bande passante allouée au service n'est pas entièrement utilisée, mais que la différence entre la date de réception du journal et la date de génération de l'événement augmente, il existe un goulot d'étranglement dans le matériel de l'ordinateur Event Importer. Pour de plus amples informations, accédez à Configuration Matérielle Minimale.