McAfee促红细胞生成素
与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。
在你开始之前
需要配置McAfee ePO向InsightIDR采集器发送syslog日志。
syslog配置:
- 从主McAfee控制台的左上角,选择菜单>配置>注册服务器。
- 单击新服务器按钮。
- 从服务器类型下拉框中,选择**Syslog服务器**选项。指定唯一名称和任何详细信息,然后单击下一个按钮。
- 在已注册服务器构建器页面上,使用“服务器名称”字段提供域名,例如
mycompany.com.
和InsightIDR采集器的FQDN或IP地址。 - 在“TCP端口号”中,提供为syslog打开的唯一TCP端口。
- 检查事件转发框中启用从McAfee Agent Handler向InsightIDR收集器转发syslog事件。
- 如果需要测试McAfee ePO与采集器的连通性,请单击测试连接按钮以验证与收集器的连接。
- 单击保存按钮。
注册syslog服务器后,需要设置McAfee ePO将具体事件发送到您的syslog服务器。
- 导航到菜单>策略>服务器设置。
- 选择事件过滤选项并单击编辑按钮,在页面右下角。
- 要告诉McAfee代理转发什么,请选择只将选定的事件发送到服务器按钮从所有可用的事件id中进行选择。
- 虽然InsightIdr只会解析与恶意软件或病毒扫描相关的事件,您可以选择发送所需的任何事件。
- 在“在哪里存储事件”中,保持在两者中选择的商店选择将信息转发到SIEM,并将数据保存在ePO数据库中。
- 在“事件来源”中选择来自任何来源的事件选择。
- 单击保存按钮。
欲了解更多信息,请阅读McAfee ePO说明书:https://kc.mcafee.com/corporate/index?page=content&id=pd27630&actp=null& walkwale=en_us&showdraft=false& platinum_status=false&locale=en_us.
Syslog信息位于325页。SIEM事件转发信息在184页。
如何配置此事件源
- 从仪表板中,选择数据采集在左边的菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源。
- 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区匹配事件源日志的位置。
- 选择发送未经过滤的日志。
- 配置您的默认域和任何高级事件源设置。
- 选择一个集合方法并指定端口。
- 由于此事件源必须加密,请选择TCP作为您的协议并检查加密框。
- 下载Rapid7证书并将其作为受信任的根证书颁发机构安装在McAfee ePO软件所在的机器或虚拟机上,如MMC (Microsoft Management Console)。
- 单击保存按钮。
你必须完成第10步!
如果您未将RAPID7证书下载到托管EPO软件的计算机上,则此配置将失败。
没有看到日志数据?
InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。
这个页面对你有帮助吗?