McAfee Web Gateway.
McAfee Web Gateway是一种用于Web流量的安全工具。您可以通过Syslog向InsightIdr发送Web代理日志,以便在McAfee Web Gateway中提醒事件。
要设置McAfee Web Gateway,您需要:
配置McAfee Web Gateway以将数据发送到您的收集器
要将这些日志发送到InsightIdr,您必须在McAfee Web网关中配置Syslog转发。
以CEF格式发送日志
您必须以CEF格式发送McAfee Web Gateway日志到InsightIdr。有关如何在McAfee Web Gateway中配置Syslog转发的说明,请参阅其文档:https://community.mcafee.com/t5/documents/web-gateway-understand-syslog-send-logs-to-your-siemolemole-to-your-siemole-to-ot/ta -p/554145.
在Insutigridr中设置McAfee Web Gateway
- 从左菜单,转到数据采集。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从安全数据部分,单击Web代理图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配。
- 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
- 配置您的默认域和任何高级事件源设置。
- 选择聆听网络端口身为你的收集方法。
- 输入未使用港口编号并选择协议。
- 如果您选择了TCP作为您的协议,可选择选择加密加密事件源并下载rapt7证书。
- 点击节省按钮。
验证配置
从左侧菜单中,单击日志搜索要查看原始日志以确保将事件转发到收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称是事件源名称或“McAfee Web Gateway”。McAfee Web Gateway日志流入这些日志集:
- Web代理
- 病毒扫描
如果填充日志中的病毒名称字段,则McAfee Web网关日志显示在病毒扫描日志中。
日志至少需要7分钟才能出现在日志搜索中
请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。
示例输入日志:
1<30> 12月30日08:51:02 r7Asset MWG:CEF:0 | McAfee | Web Gateway | 7.8.2.8.0 | 0 | Proxy- | 2 | 2 | 2 | Rt = Dec 30 2019 08:51:02 Cat =访问日志DST= 100.123.245.100 dhost = watson.telemetry.microsoft.com SuseR = - SRC = 192.168.70.152 RequestMethod = post请求= https://watson.telemetry.microsoft.com/telemetry.request app = https cs3 = http / 2.0 cs3label= Protocol / Version CS4 = CS4Label = URL类别CS6 = CS6Label =声誉FileType = Out = 0 RequestClientApplication = MSDW CS1 = CS1Label =病毒名称CN1 = 0 CN1Label =块原因CS5 =默认CS5Label =策略
130> 12月30日08:46:08 Sedzpprox2 Mwg:CEF:0 | McAfee | Web Gateway | 7.8.2.8.0 | 7.8.2.8.0 | 200 | Proxy-Block如果发现病毒| 2 | Rt = Dec 30 2019 08:46:07猫=访问log dst = 100.123.123.100 dhost = s.evilsite.com suser = - src = 10.104.7.40 RequestMethod = get请求= https://s.evilsite.com/j/exp/index.js app = https cs3 =HTTP / 1.1 CS3Label = Protoct / Version CS4 = Web广告CS4Label = URL类别CS6 =最小风险CS6Label =信誉FileType = Text / JavaScript Out = 739 RequestClientApplication = Mozilla / 5.0(Windows NT 10.0; WOW64; Trider / 7.0; RV:11.0(如Gecko CS1 = FakeVirusfortest CS1Label =病毒名称CN1 = 0 CN1Label =块原因CS5 =默认CS5Label =策略
这个页面对你有帮助吗?