McAfee Ids.

McAfee IPS / ID或McAfee Network Security Platform,McAfee监控您的网络以获取入侵和恶意活动。

在你开始之前

McAfee ID将产生两种类型的日志:防火墙事件和IPS事件。您必须将McAfee配置为仅将其IPS事件发送到InsightIdr为Syslog。

将IPS事件配置为syslog:

  1. 在设备上启用Syslog以转发IPS事件和警报。了解如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-e4a687b0-fafb-4170-ac94-1d968a10380f.html.
  2. 添加syslog服务器配置文件。了解如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-8c7f8174-1bfb-4455-b5dd-87921253c4b8.html.
  3. 编辑syslog消息以可接受的insightidr格式。了解如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-496ec0f4-be90-4401-a218-88fd9b72d040.html.

原始IPS格式如下所示:

         
1
<162> 11月9日13:01:03 SyslogalertForwarder:FOW-DMZ-IPS1检测到的出站攻击SNMP:Microsoft v2批量请求valuelist溢出(severity = high)。10.251.33.35:n/a - > 192.168.83.1:n/a(结果=智能阻挡)
  1. 更改IPS格式以查看以下内容:
         
1
$ IV_SENSOR_NAME $检测到$ IV_DIRECTION $攻击$ IV_ATTACK_NAME $攻击_d $ iv_attack_id $(severity = $ iv_attack_severity $)。$ iv_source_ip $:$ iv_source_port $ - > $ iv_destination_ip $:$ iv_destination_port $(结果= $ iv_result_status $)
  1. 点击节省最终确定Syslog消息的自定义。

如何在InsightIdr中配置此事件源

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击ids.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区匹配事件源日志的位置。
  6. 可选择选择发送未经过滤的日志
  7. 选择聆听网络端口并指定端口和协议。默认端口为514。
    • 如果通过下载通过下载TCP,可选择选择加密事件源rapt7证书
  8. 点击节省