À Propos des Serveurs SIEM

S'applique À : WatchGuard SIEMFeeder Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard SIEMFeeder. SIEMFeeder est disponible dans WatchGuard EPDR et WatchGuard EDR.

Un serveur de gestion des informations et des événements de sécurité (SIEM) peut recevoir les données de l'infrastructure de WatchGuard Cloud que WatchGuard Event Importer télécharge depuis l'infrastructure de Microsoft Azure. Event Importer gère les données sous forme de fichiers journaux. Lorsqu'un serveur SIEM reçoit les fichiers journaux, vous pouvez stocker et utiliser les fichiers journaux pour détecter les processus suspects susceptibles de constituer une menace de sécurité pour votre réseau d'ordinateurs.

Pour gérer les fichiers journaux, vous devez utiliser un serveur SIEM compatible avec les formats de journaux pris en charge par le service WatchGuard SIEMfeeder. Le service SIEMFeeder nécessite un serveur SIEM prenant en charge les formats CEF (Common Event Format) ou LEEF (Log Event Extended Format).

Serveurs SIEM Pris en Charge

Le serveur SIEM doit pouvoir recevoir des données au format CEF ou LEEF. Voici une liste partielle des serveurs SIEM compatibles avec ces deux formats :

• AlienVault Unified Security Management (USM)
• Fortinet (AccelOps) FortiSIEM
• Hewlett Packard Enterprise (HPE) ArcSight
• Plateforme IBM QRadar Security Intelligence
• Intel Security McAfee Enterprise Security Manager (ESM)
• LogRhythm
• SolarWinds Log & Event Manager (LEM)
• Plateforme Splunk Security Intelligence

Par défaut, les logs sont envoyés au format LEEF. Pour recevoir des journaux au format CEF, envoyez un e-mail avec votre demande et votre numéro de compte WatchGuard à [email protected].

Accès aux Fichiers Journaux du Serveur SIEM

Pour que le serveur SIEM obtienne les fichiers journaux, vous configurez un canal de stockage dans l'application Event Importer pour indiquer où Event Importer envoie les fichiers journaux qu'il reçoit. Le serveur SIEM peut obtenir des fichiers à partir de ces emplacements de stockage :

• Dossier local dans lequel l'ordinateur Event Importer stocke les journaux reçus.
• Serveur de file d'attente Apache Kafka qui collecte les journaux envoyés par Event Importer.
• Serveur syslog qui collecte les journaux envoyés par Event Importer.

À Propos des Fichiers Journaux

Chaque fichier journal a une taille maximale de 256 Ko en format compressé. Event Importer enregistre les fichiers journaux dans l'emplacement de stockage configuré. Chaque fichier journal porte un nom au format aaaammjj-hhmm-(xxxxxx), dans lequel :

• aaaa : Année de création.
• mm : Mois de création.
• jj : Jour de création.
• hh : Temps de création (en heures).
• mm : Temps de création (en minutes).
• –(xxxxxx): Si Event Importer crée plusieurs fichiers journaux dans la même minute, il attribue un numéro d'index aux fichiers journaux supplémentaires.

Pour une description complète des données reçues, consultez le Guide des Événements WatchGuard SIEMFeeder. (lien externe)

Rubriques Connexes

À Propos de SIEMFeeder

À Propos d'Event Importer

Exigences de SIEMfeeder