SIEMFeeder における問題をトラブルシューティングする

適用対象: WatchGuard Advanced EPDR 本トピックは、WatchGuard Advanced EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR 本トピックは、WatchGuard EDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR 本トピックは、WatchGuard EDR エンドポイント セキュリティ製品に適用されます。

WatchGuard SIEMFeeder から WatchGuard Endpoint Security データを SIEM プラットフォームに送信することができます。SIEMFeeder からデータが送信される前に、SIEMFeeder でセキュリティ インテリジェンスによってデータが強化されます。次に、単一のデータ フローが作成され、互換性のある SIEM サーバーにデータが送信されます。このデータを使用することで、管理者は不明な脅威、標的型攻撃、高度なマルウェアを検出することができます。

WatchGuard Event Importer は、SIEMFeeder サービスによってネットワークのコンピュータ プロセス アクティビティから生成されたデータをダウンロードするために使用できるアプリケーションです。

SIEMFeeder サービスをトラブルシューティングするには、以下の手順を実行します。

• 認証 URL が許可されるようにファイアウォールを構成します。詳細については、Event Importer Requirements の Firewall Configuration (ファイアウォール構成) セクションを参照してください。
• コンピュータ、ネットワーク、SIEM サーバーが このページに記載されている要件 を満たしていることを確認します。
• 最新バージョンの SIEMFeeder が使用されていることを確認します。インストール パッケージは、WatchGuard Web サイトの Software Downloads (ソフトウェア ダウンロード) ページ の Endpoint Software (Endpoint ソフトウェア) セクションでダウンロードすることができます。
• 有効な SIEMFeeder ライセンスがあることを確認します。WatchGuard EDR または WatchGuard EPDR のいずれかと同じ数の有効な SIEMFeeder サービス ライセンスが必要となります。詳細については、SIEMFeeder Requirements を参照してください。
• 正しい認証情報で Event Importer が構成されていることを確認します。詳細については、Configure WatchGuard Cloud API Settings を参照してください。

データを収集する

configuration.json ファイルを編集して、サポートに送信するログを収集することができます。

.JSON ファイルを編集するには、以下の手順を実行します。

1. Event Importer サービスを停止します。
2. Event Importer のインストール ディレクトリを参照します。
3. メモ帳アプリケーションを使用して、configuration.json ファイルを開きます。
4. テキスト "TrazeLevel": "Error" を "TrazeLevel": "Information" に変更します。

5. ファイルを保存します。
6. Event Importer サービスを開始して、問題を再現します。

以下に従ってデータを収集し、サポートに連絡します。

• Event Importer のインストール ディレクトリにある log フォルダを圧縮して保存します。
• Event Importer のインストール ディレクトリに入っている configuration.json ファイルのコピーを作成します。
• 電子メール アドレスと Event Importer の認証情報をメモします。
• Event Importer のインストール ディレクトリに入っている version.txt ファイルのコピーを作成します。
• 以下のコマンドを実行すると、開いているポートとアクティブな接続のリストが出力されます。その出力のスクリーンショットを作成します。
  管理者権限でコマンド ウィンドウ プロンプトを開いて、以下を入力します。
  • netstat –ano | findstr "5671"
  • netstat –ano | findstr "5672"

複数の Event importer インスタンスが同時に実行されている場合は、各インスタンスのデータを提供します。

このデータを収集したら、サポートに送信してください。configuration.json ファイルに加えた変更は、元に戻すことができます。

PSInfo ツールを使用して、サポートによる問題のトラブルシューティングに有用となる診断ログを提供することができます。詳細については、PSInfo の使用を開始する を参照してください。