McAfee促红细胞生成素

与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。

在你开始之前

需要配置McAfee ePO向InsightIDR采集器发送syslog日志。

syslog配置:

  1. 从主McAfee控制台的左上角,选择菜单>配置>注册服务器。
  1. 单击新服务器按钮。
  2. 从服务器类型下拉框中,选择**Syslog服务器**选项。指定唯一名称和任何详细信息,然后单击下一个按钮。
  3. 在已注册服务器构建器页面上,使用“服务器名称”字段提供域名,例如mycompany.com.和InsightIDR采集器的FQDN或IP地址。
  4. 在“TCP端口号”中,提供为syslog打开的唯一TCP端口。
  5. 检查事件转发框中启用从McAfee Agent Handler向InsightIDR收集器转发syslog事件。
  6. 如果需要测试McAfee ePO与采集器的连通性,请单击测试连接按钮以验证与收集器的连接。
  7. 单击保存按钮。

注册syslog服务器后,需要设置McAfee ePO将具体事件发送到您的syslog服务器。

  1. 导航到菜单>策略>服务器设置。
  2. 选择事件过滤选项并单击编辑按钮,在页面右下角。
  1. 要告诉McAfee代理转发什么,请选择只将选定的事件发送到服务器按钮从所有可用的事件id中进行选择。
  1. 虽然InsightIdr只会解析与恶意软件或病毒扫描相关的事件,您可以选择发送所需的任何事件。
  2. 在“在哪里存储事件”中,保持在两者中选择的商店选择将信息转发到SIEM,并将数据保存在ePO数据库中。
  3. 在“事件来源”中选择来自任何来源的事件选择。
  4. 单击保存按钮。

欲了解更多信息,请阅读McAfee ePO说明书:https://kc.mcafee.com/corporate/index?page=content&id=pd27630&actp=null& walkwale=en_us&showdraft=false& platinum_status=false&locale=en_us.

Syslog信息位于325页。SIEM事件转发信息在184页。

如何配置此事件源

  1. 从仪表板中,选择数据采集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区匹配事件源日志的位置。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个集合方法并指定端口。
  9. 由于此事件源必须加密,请选择TCP作为您的协议并检查加密框。
  10. 下载Rapid7证书并将其作为受信任的根证书颁发机构安装在McAfee ePO软件所在的机器或虚拟机上,如MMC (Microsoft Management Console)。
  11. 单击保存按钮。

你必须完成第10步!

如果您未将RAPI​​D7证书下载到托管EPO软件的计算机上,则此配置将失败。

没有看到日志数据?

InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。