McAfee促红细胞生成素

与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。

在你开始之前

需要配置McAfee ePO向InsightIDR采集器发送syslog日志。

syslog配置:

  1. 从主McAfee控制台的左上角,选择菜单>配置>注册服务器。
  1. 单击新服务器按钮。
  2. 从服务器类型下拉框中,选择**Syslog服务器**选项。指定唯一名称和任何详细信息,然后单击下一个按钮。
  3. 在已注册服务器构建器页面上,使用“服务器名称”字段提供域名,例如mycompany.com和InsightIDR采集器的FQDN或IP地址。
  4. 在“TCP端口号”中,提供为syslog打开的唯一TCP端口。
  5. 检查事件转发框中启用从McAfee Agent Handler向InsightIDR收集器转发syslog事件。
  6. 如果需要测试McAfee ePO与采集器的连通性,请单击测试连接按钮以验证到收集器的连接。
  7. 单击保存按钮。

注册syslog服务器后,需要设置McAfee ePO将具体事件发送到您的syslog服务器。

  1. 导航到菜单>策略>服务器设置。
  2. 选择事件过滤选项,然后单击编辑按钮,在页面右下角。
  1. 要告诉McAfee代理转发什么,请选择只将选定的事件发送到服务器按钮从所有可用的事件id中进行选择。
  1. 虽然InsightIDR只会解析与恶意软件或病毒扫描相关的事件,但您可以选择发送任何您想要的事件。
  2. 在“在哪里存储事件”中,保持在两者中选择存储选择将信息转发到SIEM,并将数据保存在ePO数据库中。
  3. 在“事件源”中,选择来自任何来源的事件选择。
  4. 单击保存按钮。

欲了解更多信息,请阅读McAfee ePO说明书:https://kc.mcafee.com/corporate/index?page=content&id=PD27630&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

Syslog信息位于325页。SIEM事件转发信息在184页。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个收集的方法并指定端口。
  9. 由于此事件源必须加密,请选择TCP作为您的协议,并选中加密框。
  10. 下载Rapid7证书并将其作为受信任的根证书颁发机构安装在McAfee ePO软件所在的机器或虚拟机上,如MMC (Microsoft Management Console)。
  11. 单击保存按钮。

你必须完成第10步!

如果您没有将Rapid7证书下载到承载ePO软件的机器上,则此配置将失败。

没有看到日志数据?

InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。