McAfee Ids.

McAfee IPS / ID或McAfee Network Security Platform，McAfee监控您的网络以获取入侵和恶意活动。

在你开始之前

McAfee ID将产生两种类型的日志：防火墙事件和IPS事件。您必须将McAfee配置为仅将其IPS事件发送到InsightIdr为Syslog。

将IPS事件配置为syslog：

1. 在设备上启用Syslog以转发IPS事件和警报。了解如何这样做：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-e4a687b0-fafb-4170-ac94-1d968a10380f.html.
2. 添加syslog服务器配置文件。了解如何这样做：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-8c7f8174-1bfb-4455-b5dd-87921253c4b8.html.
3. 编辑syslog消息以可接受的insightidr格式。了解如何这样做：https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/guid-496ec0f4-be90-4401-a218-88fd9b72d040.html.

原始IPS格式如下所示：

         

          

           
          
         

          

           

            1
           <162> 11月9日13:01:03 SyslogalertForwarder：FOW-DMZ-IPS1检测到的出站攻击SNMP：Microsoft v2批量请求valuelist溢出（severity = high）。10.251.33.35：n/a  - > 192.168.83.1：n/a（结果=智能阻挡）
          

4. 更改IPS格式以查看以下内容：

         

          

           
          
         

          

           

            1
           $ IV_SENSOR_NAME $检测到$ IV_DIRECTION $攻击$ IV_ATTACK_NAME $攻击_d $ iv_attack_id $（severity = $ iv_attack_severity $）。$ iv_source_ip $：$ iv_source_port $  - > $ iv_destination_ip $：$ iv_destination_port $（结果= $ iv_result_status $）
          

5. 点击节省最终确定Syslog消息的自定义。

如何在InsightIdr中配置此事件源

1. 从您的仪表板，选择数据采集在左手菜单上。
2. 出现“数据收集”页面时，单击“设置事件源下拉点和选择添加事件源。
3. 从“安全数据”部分，单击ids.图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果您愿意，您还可以命名您的活动源。
5. 选择时区匹配事件源日志的位置。
6. 可选择选择发送未经过滤的日志。
7. 选择聆听网络端口并指定端口和协议。默认端口为514。
   • 如果通过下载通过下载TCP，可选择选择加密事件源rapt7证书。
8. 点击节省。