適用対象: WatchGuard SIEMFeeder。
WatchGuard SIEMFeeder から Endpoint Security データを SIEM プラットフォームに送信することができます。SIEMFeeder からデータが送信される前に、まず SIEMFeeder でデータが取得され、セキュリティ インテリジェンスでデータが強化されます。次に、単一のデータ フローが作成され、互換性のある SIEM サーバー にデータが送信されます。
このデータを使用することで、管理者は不明な脅威、標的型攻撃、高度なマルウェアを検出することができます。このデータにより、組織のネットワーク構造全体で実行されているアクティビティ プロセスを詳細に可視化することが可能となります。SIEMFeeder は、会社のコンピュータにインストールされている保護ソフトウェアと会社の SIEM サーバーの間のリンクとして機能します。
SIEMFeeder により、監視対象のコンピュータまたはネットワークの設定が変更されることはありません。サービスは Endpoint Security インフラストラクチャ内で動作します。
SIEMFeeder から送信されるデータにより、管理者は以下を行うことが可能となります。
- ネットワークで検出されたマルウェア、マルウェア実行の有無、感染ベクトル、プロセスによって実行されたアクションに関する視覚的な情報を取得できる。
- グッドウェアやマルウェアなどの脅威に対してプロセスで実行されたアクションを表示し、アプリケーションによる不審なアクティビティを検出する。
- 機密情報取得の試みを監視し、その情報の盗難を防止する。
- プロセス ネットワーク接続を表示し、不審な接続または潜在的に危険な接続を特定する。
- 実行されたすべてのアプリケーション、特に監視対象のコンピュータにインストールされている既知の脆弱性のあるアプリケーションを検知する。
- ソフトウェアの更新およびセキュリティ ポリシーの調整に関する計画を策定する。
帯域幅を節約するため、SIEMFeeder サービスからはデータ パケットが 1 回のみ送信されます。
情報フロー
Endpoint Security 製品により、プロセス アクティビティが監視および収集されます。SIEMFeeder サービスにより、アクティビティ データがセキュリティ インテリジェンスで強化され、収集に備えてそのデータが Microsoft Azure インフラストラクチャに配置されます。管理者のコンピュータで実行される Event Importer により、生成されたログ ファイルが Azure からダウンロードされ、Event Importer 配信チャンネル経由でログ ファイルがルーティングされます。
イベント ログの詳細情報については、WatchGuard SIEMFeeder イベント ガイド (外部リンク) を参照してください。
Event Importer では、以下の方法でログ ファイルを伝送することができます。
- ログ ファイルが、組織の SIEM サーバーから接続できるローカル フォルダまたはリモート フォルダに保存される。
- ログ ファイルが Apache Kafka キュー サーバーに送信されて、Kafka キュー サーバーで管理される。
- ログ ファイルが Syslog サーバーに送信され、そこからファイルが組織の SIEM サーバーに送信される。
Event Importer の配信チャンネルについては、次を参照してください:イベント ログのストレージと転送を構成する。
SIEMFeeder アーキテクチャ
SIEMFeeder アーキテクチャは、以下のコンポーネントで構成されています。
ネットワークのコンピュータ
Endpoint Security 製品によって保護されているネットワークのコンピュータです。
WatchGuard Cloud インフラストラクチャ
WatchGuard Cloud インフラストラクチャには、プロセスからのデータが保存されます。このプロセスでは、データが実行および分析されて、セキュリティ インテリジェンスが抽出されます。
SIEMFeeder サービス
SIEMFeeder サービスにより、イベントとセキュリティ データが収集され、そのデータがログ ファイルの形式でカプセル化されます。
Microsoft Azure インフラストラクチャ
Azure は、クラウド コンピューティング プラットフォームです。このプラットフォームで SIEMFeeder サービスからのログが受信され、収集のために保存されます。
Event Importer
Event Importer を実行し、Azure インフラストラクチャから使用可能なログをダウンロードする顧客ネットワークのコンピュータです。
Kafka サーバー (オプション)
Event Importer から受信したログのキューを管理し、それを企業の SIEM サーバーに送信する顧客ネットワークのコンピュータです。
Syslog サーバー (オプション)
Event Importer から受信したログを収集し、それを企業の SIEM サーバーに送信する顧客ネットワークのコンピュータです。
共有フォルダ (オプション)
Syslog サーバーや Kafka サーバーなど、より高度なリソースがない場合に、Event Importer によってログが保存される MSSP のネットワークのストレージ システムです。
SIEM サーバー
Event Importer よってダウンロードされたデータを受信し、セキュリティ脅威となり得る不審なプロセスの検出に有用なダッシュボードを生成する顧客サーバーです。
ローカルおよび境界ファイアウォール
ファイアウォールにより、Event Importer を実行するコンピュータと Azure インフラストラクチャ間のインバウンド データ トラフィックとアウトバウンド データ トラフィックが保護されます。
互換性のある WatchGuard 製品
以下の WatchGuard 製品で、SIEMFeeder サービスがサポートされています。
- WatchGuard EDR
- WatchGuard EPDR
- WatchGuard Advanced EPDR
サービスの可用性
管理者は、SIEMFeeder サービスを常に利用することができます。サービスの問題が発生した場合は、WatchGuard からサービスの中断が管理者アカウントに通知されます。
接続障害が発生した場合に、Event Importer を実行しているコンピュータが利用できない場合、またはその他の問題が発生した場合のデータ損失を防止するため、以下の条件に応じて、生成済みで未配信のログがサービスで保持されます。
- Azure プラットフォームでログが保持される最大日数:7 日間
- Azure プラットフォームで保持されるデータの最大量:顧客当たり 80 GB