Configuración Panda SIEMFeeder for Partners

Para activar la configuración haz clic en el control deslizante Enviar los siguientes eventos a mi SIEM e indica los grupos de eventos que recibirás en el SIEM de entre toda la telemetría generada por los equipos asignados a la configuración.

Configuración de los grupos

El flujo de telemetría enviado a Panda Security está formado por los eventos relevantes que se registran al ejecutar programas en los equipos de los clientes. Estos eventos se agrupan según su tipo, y cada grupo puede habilitarse o deshabilitarse de forma individual para seleccionar unicamente aquellos eventos que el MSSP tenga interés en recibir.

Grupo Descripción

Detecciones de amenazas (Malware, PUPS, Exploits)

Alertas de malware / PUP, Exploit y bloqueo por políticas avanzadas.

Carga y ejecución de ejecutables PE y scripts

Carga y ejecución de ficheros ejecutables binarios y no binarios (scripts).

Comunicaciones

Eventos de apertura y uso de sockets.

Acceso a datos

Acceso a datos contenidos en ficheros y en el registro de Windows.

Creación y modificación de ejecutables PE y scripts

Creación y modificación de ficheros ejecutables binarios y scripts.

Accesos al registro de Windows

Eventos relacionados con acceso al registro de Windows.

Eventos del sistema

Eventos relacionados con el acceso a dispositivos, motor WMI e inicios y finales de sesión.

Indicios de threat hunting (Sólo para clientes con Cytomic Orion)

Alertas generadas por las reglas de Threat Hunting en Cytomic Orion.

Agrupaciones de los eventos disponibles para el partner

Para obtener más información sobre el significado y la definición de los eventos enviados al SIEM del proveedor de servicios consulta el Manual de descripción de eventos en https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/SIEMFeederAD-ManualDescripcionEventos-ES.pdf

Configuración del formato de evento

  • Haz clic en el enlace Cambiar formato de envío en la parte inferior de la pantalla. Se mostrará la ventana Selecciona el formato en el que quieres que se envíen los eventos a tu SIEM.

  • Selecciona la opción Formato LEEF o Formato CEF y haz clic en el botón Guardar. La nueva configuración se aplicará de forma inmediata.

Dado que el MSSP va a recibir todos los eventos en un único servidor SIEM, todos los eventos se recibirán en el mismo formato. De esta forma, cuando el usuario de la consola Partner Center cambia el formato de evento en una configuración, el resto de configuraciones creadas compartirán esa elección.

Configuración por defecto

La configuración por defecto desactiva todos los grupos y el control deslizante Enviar los siguientes eventos a mi SIEM, por lo que inicialmente el partner no recibe ningún evento de sus clientes.