McAfee促红细胞生成素

概述

与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。

在你开始之前

为了让InsightOps将ePO日志作为事件源接收,它们必须从日志聚合器或SIEM转发。

  1. 配置McAfee ePO,将接收到的威胁事件直接转发到syslog服务器。按照说明做这件事在这里
  2. 通过配置日志聚合器或SIEM,将标准syslog格式的日志转发到insights。

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从“安全数据”部分选择“病毒扫描”图标
  4. 选择您的收集器,并从选项列表中选择McAfee ePO
  5. 选择一个时区,或者选择一个美国时区
  6. 可以选择发送未过滤的日志
  7. 配置任何高级事件源设置
  8. 选择“Listen for Syslog”,并输入端口。选择TCP作为您的协议,然后选中标题为“Encrypted”的框以发送安全Syslog。
  9. 选择“下载证书”按钮,将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并允许insights和McAfee ePO在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。

McAfee ePO和证书

有关证书和进一步配置选项的更多信息,请阅读它们的文档在这里

具体来说,阅读讨论syslog和证书的部分,如下所示:

  • 添加SSL(第46页)
  • 使用证书验证(第146页)
  • 注册Syslog服务器(第382页)
  • SSL证书(第389页)