迈克菲epo.

概述

与其他病毒扫描事件源一样,McAfee ePO数据有助于警报和显著行为。

在你开始之前

为了让InsightOps将ePO日志作为事件源接收,它们必须从日志聚合器或SIEM转发。

  1. 将McAfee EPO配置为将接收的威胁事件转发到Syslog服务器。跟随关于如何这样做的路线这里
  2. 通过配置日志聚合器或SIEM,将标准syslog格式的日志转发到insights。

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从“安全数据”部分选择“病毒扫描”图标
  4. 选择收集器,并从选项列表中选择McAfee EPO
  5. 选择一个时区,或者选择一个美国时区
  6. 可以选择发送未过滤的日志
  7. 配置任何高级事件源设置
  8. 选择“Listen for Syslog”,并输入端口。选择TCP作为您的协议,然后选中标题为“Encrypted”的框以发送安全Syslog。
  9. 选择“下载证书”按钮,将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并允许insights和McAfee ePO在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。

McAfee ePO和证书

有关证书和进一步配置选项的更多信息,请阅读它们的文档这里

具体来说,阅读讨论syslog和证书的部分,如下所示:

  • 添加SSL(第46页)
  • 使用证书进行身份验证(第146页)
  • 注册Syslog服务器(第382页)
  • SSL证书(第389页)