Event Importer の要件

適用対象： WatchGuard SIEMFeeder。 本トピックは、WatchGuard Endpoint Security モジュール、SIEMFeeder に適用されます。SIEMFeeder は、WatchGuard EPDR および WatchGuard EDR で使用可能です。

WatchGuard Event Importer を構成して実行 する前に、コンピュータ、ネットワーク、SIEM サーバーが以下の要件を満たしていることを確認してください。

ハードウェア要件

• プロセッサ — 1 GHz以上
• RAM — 最小 512 MB
• 空きディスク容量 — Event Importer によってインポートされるログ データの保存

Event Importer では、平均して各コンピュータで 1 時間当たり 1 MB のストレージ容量が使用されます。Event Importer には、選択されているローカル フォルダへの書き込み権限が必要です。

Windows の要件

サポートされているワークステーション (32 ビットおよび 64 ビット)

• Windows 7 SP1
• Windows 8
• Windows 8.1
• Windows 10
• Windows 11

サポートされているサーバー

• Windows Server 2008 R2 SP1
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

.NET

Event Importer には、Microsoft .NET Framework 4.6.2 以降が必要です。これは、最大バージョン 4.8 の .NET Framework と互換性があります。

旧バージョンがインストールされている場合は、https://dotnet.microsoft.com/en-us/download/dotnet-framework/net462 にアクセスして、適切なバージョンをダウンロードしてください。

必要な権限

Event Importer は、コマンドラインで実行すること、または Windows サービスとして無人で実行することができます。

• コマンドラインで Event Importer を実行する場合は、Event Importer によってダウンロードされるログの保存先として構成されているフォルダまたはドライブへの書き込み権限を除き、特定の権限は必要ありません。
• Event Importer をサービスとして実行する場合は、Event Importer が local system コンピュータ アカウントで実行されるため、これを正しく実行するには管理者権限が必要となります。

Linux の要件

オペレーティング システムおよび必要なライブラリ

ダウンロード パッケージには、以下のディストリビューションに Event Importer をインストールする上で必要となる要素がすべて含まれています。

• Ubuntu 24.04 LTS デスクトップ (64 ビット)
• Red Hat Enterprise Linux 9.5 サーバー (64 ビット)

必要な権限

Event Importer は、コマンドラインで実行すること、またはシステム デーモンとして無人で実行することができます。

• コマンドライン モードで Event Importer を管理者として実行する場合は、Event Importer によってダウンロードされるログの保存先として構成されているフォルダへの書き込み権限を除き、特定の権限は必要ありません。
• デーモン モードで Event Importer を実行する場合は、Event Importer がユーザー アカウントで実行されます。Event Importer には、構成のルート権限が必要です。

ファイアウォール構成

Event Importer で Microsoft Azure からログ ファイルをダウンロードできるようにするには、Event Importer を実行するコンピュータのファイアウォールで、以下のネットワーク設定が許可されている必要があります。

• 通信元 — Event Importer のコンピュータ
• 通信先 — Azure プラットフォーム
• 接続の種類 — ユーザーネット ワークからのアウトバウンド
• レイヤ 3 (トランスポート) プロトコル — トランスポート層セキュリティ (TLS) 1.2
• レイヤ 4 (アプリケーション) プロトコル — HTTPS (ポート 443)、Amqp (ポート 5671 および 5672)、Amqp WebSockets (ポート 443)

以下の URL が許可されるようにファイアウォールを構成します。

• https://auth.pandasecurity.com.
• https://storage.accesscontrolmngr.pandasecurity.com.
• sb://pac100siemfeeder.servicebus.windows.net.

所在している場所に基づいて、以下の認証 URL が許可されるようにファイアウォールを構成します。

• https://api.usa.cloud.watchguard.com (北米)
• https://api.jpn.cloud.watchguard.com (日本)
• https://api.deu.cloud.watchguard.com (欧州)

場所に基づいて、以下の Microsoft Azure Service Bus の認証 URL が許可されるようにファイアウォールを構成します。

• sb://pac-prodv3-us1-siemfeeder.servicebus.windows.net (北米)
• sb://pac-prodv3-jp1-siemfeeder.servicebus.windows.net (日本)
• sb://pac-prodv3-eu1-siemfeeder.servicebus.windows.net (欧州)

NTP サーバー

Azure インフラストラクチャに保存されているログ ファイルをダウンロードするには、トークンの生成が含まれる認証プロセスの完了が必要となります。セキュリティの向上を目的として、このトークンには有効期限が設けられています。両方の通信 Endpoint のシステム時刻が同じになっている必要があります。Event Importer を実行するコンピュータが、タイム サービス (Windows タイム サービスなど) を使用して NTP サーバーの時刻と同期されるようになっている必要があります。詳細情報については、https://www.ntppool.org/en/use.html (外部リンク) を参照してください。

サポートされている SIEM サーバー

Common Event Format (CEF) または Log Event Extended Format (LEEF) がサポートされている製品が、SIEMFeeder サービスと互換性のある SIEM 製品です。

サポートされている SIEM サーバーの詳細については、次を参照してください：SIEM サーバーについて。

既定では、ログは LEEF 形式で送信されます。CEF 形式でログを受信するには、その依頼内容と WatchGuard アカウント番号を記載した電子メール メッセージを [email protected] 宛に送信してください。

プロキシ サーバーの設定

Event Importer をホストするコンピュータでプロキシ サーバーが使用されている場合は、プロキシ サーバーで WebSockets を使用してアクセスを有効化する必要があります。Event Importer では、Amqp ではなく、Amqp WebSockets プロトコルが使用されます。

帯域幅

Event Importer では、1 時間の使用当たり平均 500 KB の圧縮データが生成され、GZIP 形式で保存されます。必要な帯域幅は、ネットワークで監視対象となるコンピュータの数、許容されている遅延の最大値、および管理者の要件によって異なります。

帯域幅の値が低いと、ログを受信できるタイミングが遅くなり、SIEM サーバーでリアルタイムのデータ受信と処理ができなくなります。

最小しきい値

ログ保存期間の期限切れによるファイルの損失が発生することなく、すべてのログを受信する上で必要となる最小の帯域幅。ログの生成速度は、複数の要因 (コンピュータのアクティビティ、組織におけるコンピュータの役割など) によって異なります。帯域幅の値が低いと、Event Importer でピーク時に生成されたログ ファイルが営業時間外にサービスに届くことになります。帯域幅の値が低いと、Event Importer によるログ ファイルの受信時に遅延が発生し、組織の SIEM サーバーでリアルタイムのログの受信と処理ができなくなります。

最大しきい値

ログ ファイルの生成時にすべてのログ ファイルをダウンロードできるようにする上で必要となる帯域幅。

必要な帯域幅を計算する

監視対象のユーザー コンピュータの数に基づき必要となる帯域幅を計算します (例：1 時間あたり各コンピュータに 500 KB)。この値を使用して、組織のルーターに QoS ルールを構成します。このルーター経由で Event Importer コンピュータをインターネットに接続して、帯域幅の使用を常時監視することができます。

Event Importer コンピュータでログ ファイルが受信された日付とイベントが生成された日付を比較することで、データ受信に遅延が発生していないかどうかを確認することが可能です。ログ ファイルの生成日は、オペレーティング システムによって提供されます。各イベントの生成日は、ログ ファイルの内部情報スキーマの一部です。

イベント ログの詳細情報については、WatchGuard SIEMFeeder イベント ガイド (外部リンク) を参照してください。

イベントの受信日と生成日の差が経時的に徐々に大きくなるような場合は、受信データ フローを確認してください。QoS ルールによって予約されている帯域幅すべてがデータ フローに使用されている場合は、Event Importer コンピュータに割り当てられている帯域幅を使用して WatchGuard SIEMFeeder で過剰なログ ファイルが生成されているということになります。7 日経過しても差異が減少しない場合、または組織がイベント受信時間を短縮しなければならない場合は、QoS ルールによってサービスに割り当てられる帯域幅を増やしてください。

サービスに割り当てられている帯域幅を使い切っていないにも関わらず、ログの受信日とイベント生成日の差が拡大している場合は、Event Importer コンピュータのハードウェアにボトルネックが発生しています。詳細については、次を参照してください：ハードウェア要件。

関連トピック

SIEMFeeder について

SIEMFeeder の要件

WatchGuard Cloud API 設定を構成する