McAfee id

McAfee IPS/IDS,或McAfee网络安全平台,McAfee监控您的网络入侵和恶意活动。

在你开始之前

McAfee IDS会产生两种日志:防火墙事件和IPS事件。需要配置McAfee仅以syslog方式向InsightIDR发送IPS事件。

配置IPS事件为syslog日志。

  1. 在设备上启用syslog以转发IPS事件和警报。在这里学习如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-E4A687B0-FAFB-4170-AC94-1D968A10380F.html
  2. 添加syslog服务器配置文件。在这里学习如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-8C7F8174-1BFB-4455-B5DD-87921253C4B8.html
  3. 将syslog消息编辑为InsightIDR可接受的格式。在这里学习如何这样做:https://docs.mcafee.com/bundle/network-security-platform-9.2.x-product-guide/page/GUID-496EC0F4-BE90-4401-A218-88FD9B72D040.html

最初的IPS格式是这样的:

         

          

           
          

         

          

           

            1

           <162>Nov 9 13:01:03 SyslogAlertForwarder: fowo - dmz - ips1 detected Outbound attack SNMP: Microsoft V2 Bulk Request ValueList Overflow (severity = High).日志含义10.251.33.35: - -> 192.168.83.1: - (result = Smart Blocked)
  1. 更改IPS格式如下所示:
         

          

           
          

         

          

           

            1

           $IV_SENSOR_NAME$ detected $IV_DIRECTION$ attack $IV_ATTACK_NAME$ attack_id $IV_ATTACK_ID$ (severity = $IV_ATTACK_SEVERITY$)。$IV_SOURCE_IP$:$IV_SOURCE_PORT$ -> $IV_DESTINATION_IP$:$IV_DESTINATION_PORT$ (result = $IV_RESULT_STATUS$)
  1. 点击保存完成syslog消息的定制。

如何在InsightIDR中配置该事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击id图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 选择监听网络端口并指定端口和协议。默认端口为514。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  8. 点击保存