Dépanner SIEMFeeder

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR.

WatchGuard SIEMfeeder peut envoyer des données de WatchGuard Endpoint Security à une plateforme SIEM. Avant que SIEMfeeder envoie les données, SIEMfeeder enrichit les données avec des informations de sécurité. SIEMfeeder crée ensuite un flux de données unique pour transmettre les données à un serveur SIEM compatible. Les administrateurs peuvent utiliser ces données pour détecter les menaces inconnues, les attaques ciblées et les malware avancés.

WatchGuard Event Importer (Importateur d'Événements) est une application que vous pouvez utiliser pour télécharger les données générées par le service SIEMFeeder à partir de l'activité des processus des ordinateurs sur le réseau.

Pour dépanner le service SIEMFeeder :

• Configurez votre pare-feu pour autoriser les URL d'authentification. Pour plus d'informations, consultez la section Configuration du Pare-feu dans Event Importer Requirements.
• Assurez-vous que l'ordinateur, le réseau et le serveur SIEM répondent à ces exigences.
• Assurez-vous d'utiliser la dernière version de SIEMfeeder. Vous pouvez télécharger le package d'installation à partir de la page Téléchargements de Logiciels du site Web de WatchGuard, dans la section Logiciels d'Endpoint.
• Assurez-vous que vous disposez d'une licence SIEMfeeder active. Vous devez disposer d'autant de licences actives pour le service SIEMfeeder que pour WatchGuard EDR ou WatchGuard EPDR. Pour plus d'informations, consultez SIEMFeeder Requirements.
• Assurez-vous d'utiliser les informations d'identification correctes pour configurer Event Importer. Pour plus d'informations, consultez Configure WatchGuard Cloud API Settings.

Collecter des Données

Vous pouvez modifier le fichier configuration.json pour collecter les journaux que vous pouvez envoyer à l'assistance.

Pour modifier le fichier .JSON :

1. Arrêtez le service Event Importer.
2. Accédez au répertoire d’installation d’Event Importer.
3. Utilisez une application Bloc-notes pour ouvrir le fichier configuration.json.
4. Remplacez le texte "TrazeLevel": "Error" par "TrazeLevel": "Information".

5. Enregistrez le fichier.
6. Démarrez le service Event Importer et reproduisez le problème.

Collectez ces données et contactez l'Assistance :

• Compressez et enregistrez le dossier log situé dans le répertoire d'installation d'Event Importer.
• Faites une copie du fichier configuration.json situé dans le répertoire d'installation d'Event Importer.
• Notez votre adresse e-mail et vos informations d'identification d'Event Importer.
• Faites une copie du fichier version.txt situé dans le répertoire d'installation d'Event Importer.
• Créez une capture d'écran de la sortie lorsque vous exécutez ces commandes, qui répertorient tous les ports ouverts et les connexions actives.
  Ouvrez une invite de fenêtre de commande avec les privilèges d'administrateur et saisissez :
  • netstat –ano | findstr "5671"
  • netstat –ano | findstr "5672"

Si vous exécutez plusieurs instances d'Event importer simultanément, fournissez des données pour chaque instance.

Après avoir collecté ces données, envoyez-les à l'Assistance. Vous pouvez également annuler les modifications apportées au fichier configuration.json.

Vous pouvez utiliser l'outil PSInfo pour fournir des journaux de diagnostic afin d'aider l'Assistance à résoudre votre problème. Pour de plus amples informations, accédez à Démarrer avec PSInfo.