迈克菲epo.
与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。
在你开始之前
您必须将McAfee EPO配置为向InsightIdr收集器发送Syslog。
要配置syslog:
- 从主McAfee控制台的左上角,选择菜单>配置>注册服务器。
- 点击新服务器按钮。
- 从服务器类型下拉框中,选择**Syslog服务器**选项。指定唯一名称和任何详细信息,然后单击下一个按钮。
- 在注册的服务器构建器页面上,使用“服务器名称”字段提供域名,例如
mycompany.com和InsightIDR采集器的FQDN或IP地址。 - 在“TCP端口号”中,提供为syslog打开的唯一TCP端口。
- 检查事件转发框中启用从McAfee Agent Handler向InsightIDR收集器转发syslog事件。
- 要测试McAfee EPO与收集器之间的连接,请单击测试连接按钮以验证到收集器的连接。
- 点击保存按钮。
注册syslog服务器后,需要设置McAfee ePO将具体事件发送到您的syslog服务器。
- 导航到菜单>策略>服务器设置。
- 选择事件过滤选项,然后单击编辑按钮,在页面右下角。
- 要告诉McAfee代理转发什么,请选择只将选定的事件发送到服务器按钮从所有可用的事件id中进行选择。
- 虽然InsightIDR只会解析与恶意软件或病毒扫描相关的事件,但您可以选择发送任何您想要的事件。
- 在“在哪里存储事件”中,保持在两者中选择存储选择将信息转发到SIEM,并将数据保存在ePO数据库中。
- 在“事件源”中,选择来自任何来源的事件选项。
- 点击保存按钮。
欲了解更多信息,请阅读McAfee ePO说明书:https://kc.mcafee.com/corporate/index?page=content&id=PD27630&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US
Syslog信息位于325页。SIEM事件转发信息在184页。
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 可选择选择发送未经过滤的日志.
- 配置您的默认域和任何高级事件源设置.
- 选择一个收集的方法并指定端口。
- 由于此事件源必须加密,请选择TCP.作为您的协议,并选中加密框。
- 下载Rapid7证书并将其安装在托管McAfee EPO软件的机器或VM上,作为可信根证书颁发机构,例如Microsoft管理控制台(MMC)。
- 点击保存按钮。
你必须完成第10步!
如果您没有将Rapid7证书下载到承载ePO软件的机器上,则此配置将失败。
没有看到日志数据?
InsightIdr在找到病毒时只能从病毒扫描事件源中解析事件。
这个页面对你有帮助吗?