McAfee促红细胞生成素
概述
与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。
在你开始之前
为了让InsightOps将ePO日志作为事件源接收,它们必须从日志聚合器或SIEM转发。
- 配置McAfee ePO,将接收到的威胁事件直接转发到syslog服务器。按照说明做这件事在这里.
- 通过配置日志聚合器或SIEM,将标准syslog格式的日志转发到insights。
如何配置事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从“安全数据”部分选择“病毒扫描”图标
- 选择您的收集器,并从选项列表中选择McAfee ePO
- 选择一个时区,或者选择一个美国时区
- 可以选择发送未过滤的日志
- 配置任何高级事件源设置
- 选择“Listen for Syslog”,并输入端口。选择TCP作为您的协议,然后选中标题为“Encrypted”的框以发送安全Syslog。
- 选择“下载证书”按钮,将下载Rapid7的证书。这个文件将被调用
Rapid7CA.pem
并允许insights和McAfee ePO在日志转发过程中“信任”对方。
高级事件源设置
回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com
,你的备用域名可能是company.ca
,这将允许InsightOps更准确地将数据归为正确的用户。
McAfee ePO和证书
有关证书和进一步配置选项的更多信息,请阅读它们的文档在这里.
具体来说,阅读讨论syslog和证书的部分,如下所示:
- 添加SSL(第46页)
- 使用证书验证(第146页)
- 注册Syslog服务器(第382页)
- SSL证书(第389页)
这个页面对你有帮助吗?