McAfee Web Gateway.

McAfee Web Gateway是一种用于Web流量的安全工具。您可以通过Syslog向InsightIdr发送Web代理日志,以便在McAfee Web Gateway中提醒事件。

要设置McAfee Web Gateway,您需要:

  1. 配置McAfee Web Gateway以将数据发送到您的收集器
  2. 在Insutigridr中设置McAfee Web Gateway事件源
  3. 验证配置工作

配置McAfee Web Gateway以将数据发送到您的收集器

要将这些日志发送到InsightIdr,您必须在McAfee Web网关中配置Syslog转发。

以CEF格式发送日志

您必须以CEF格式发送McAfee Web Gateway日志到InsightIdr。有关如何在McAfee Web Gateway中配置Syslog转发的说明,请参阅其文档:https://community.mcafee.com/t5/documents/web-gateway-understand-syslog-send-logs-to-your-siemolemole-to-your-siemole-to-ot/ta -p/554145.

在Insutigridr中设置McAfee Web Gateway

  1. 从左菜单,转到数据采集
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从安全数据部分,单击Web代理图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
  7. 配置您的默认域和任何高级事件源设置
  8. 选择聆听网络端口身为你的收集方法
  9. 输入未使用港口编号并选择协议。
  10. 如果您选择了TCP作为您的协议,可选择选择加密加密事件源并下载rapt7证书
  11. 点击节省按钮。

验证配置

从左侧菜单中,单击日志搜索要查看原始日志以确保将事件转发到收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称是事件源名称或“McAfee Web Gateway”。McAfee Web Gateway日志流入这些日志集:

  • Web代理
  • 病毒扫描

如果填充日志中的病毒名称字段,则McAfee Web网关日志显示在病毒扫描日志中。

日志至少需要7分钟才能出现在日志搜索中

请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。

示例输入日志:

         

          

           
          

         

          

           

            1

           <30> 12月30日08:51:02 r7Asset MWG:CEF:0 | McAfee | Web Gateway | 7.8.2.8.0 | 0 | Proxy- | 2 | 2 | 2 | Rt = Dec 30 2019 08:51:02 Cat =访问日志DST= 100.123.245.100 dhost = watson.telemetry.microsoft.com SuseR =  -  SRC = 192.168.70.152 RequestMethod = post请求= https://watson.telemetry.microsoft.com/telemetry.request app = https cs3 = http / 2.0 cs3label= Protocol / Version CS4 = CS4Label = URL类别CS6 = CS6Label =声誉FileType = Out = 0 RequestClientApplication = MSDW CS1 = CS1Label =病毒名称CN1 = 0 CN1Label =块原因CS5 =默认CS5Label =策略
          
         

          

           
          

         

          

           

            1

           30> 12月30日08:46:08 Sedzpprox2 Mwg:CEF:0 | McAfee | Web Gateway | 7.8.2.8.0 | 7.8.2.8.0 | 200 | Proxy-Block如果发现病毒| 2 | Rt = Dec 30 2019 08:46:07猫=访问log dst = 100.123.123.100 dhost = s.evilsite.com suser =  -  src = 10.104.7.40 RequestMethod = get请求= https://s.evilsite.com/j/exp/index.js app = https cs3 =HTTP / 1.1 CS3Label = Protoct / Version CS4 = Web广告CS4Label = URL类别CS6 =最小风险CS6Label =信誉FileType = Text / JavaScript Out = 739 RequestClientApplication = Mozilla / 5.0(Windows NT 10.0; WOW64; Trider / 7.0; RV:11.0(如Gecko CS1 = FakeVirusfortest CS1Label =病毒名称CN1 = 0 CN1Label =块原因CS5 =默认CS5Label =策略