McAfee Ids.

McAfee IPS/IDS，或McAfee网络安全平台，McAfee监控您的网络入侵和恶意活动。

在你开始之前

McAfee IDS会产生两种日志:防火墙事件和IPS事件。需要配置McAfee仅以syslog方式向InsightIDR发送IPS事件。

将IPS事件配置为syslog：

1. 在设备上启用syslog以转发IPS事件和警报。在此处了解如何执行此操作：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-E4A687B0-FAFB-4170-AC94-1D968A10380F.html
2. 添加syslog服务器配置文件。了解如何这样做：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-8C7F8174-1BFB-4455-B5DD-87921253C4B8.html
3. 编辑syslog消息以可接受的insightidr格式。了解如何这样做：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-496EC0F4-BE90-4401-A218-88FD9B72D040.html

最初的IPS格式是这样的:

         

          

           
          
         

          

           

            1
           <162> 11月9日13:01:03 SyslogalertForwarder：FOW-DMZ-IPS1检测到的出站攻击SNMP：Microsoft v2批量请求valuelist溢出（severity = high）。10.251.33.35：n/a  - > 192.168.83.1：n/a（结果=智能阻挡）
          

4. 更改IPS格式如下所示:

         

          

           
          
         

          

           

            1
           $ IV_SENSOR_NAME $检测到$ IV_DIRECTION $攻击$ IV_ATTACK_NAME $攻击_d $ iv_attack_id $（severity = $ iv_attack_severity $）。$ iv_source_ip $：$ iv_source_port $  - > $ iv_destination_ip $：$ iv_destination_port $（结果= $ iv_result_status $）
          

5. 点击保存最终确定Syslog消息的自定义。

如何在InsightIdr中配置此事件源

1. 从您的仪表板，选择数据采集在左边的菜单上。
2. 出现“数据收集”页面时，单击“设置事件源下拉选择添加事件源。
3. 从“安全数据”部分，单击id图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区匹配事件源日志的位置。
6. 选择发送未经过滤的日志。
7. 选择聆听网络端口并指定端口和协议。默认端口为514。
   • 可以选择加密事件源，如果选择TCP通过下载Rapid7证书。
8. 点击保存。