Loading...

Verwenden der Syslog-Weiterleitung zum Weiterleiten von Ereignissen zwischen verschiedenen ESMs
Technische Artikel ID:   KB81501
Zuletzt geändert am:  16.11.2018

Umgebung

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x und früher
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x und früher

Zusammenfassung

Dieser Artikel beschreibt die Konfiguration von McAfee SIEM ESM zur Weiterleitung von Ereignissen zwischen verschiedenen ESMs.

HINWEIS: Diese Anweisungen gelten nur für Version 9.3.x und frühere Versionen.

Lösung

Hinzufügen der CEF-Ereignisweiterleitung auf dem sendenden ESM
  1. Klicken Sie in den ESM-Eigenschaften auf Ereignisweiterleitung und dann auf Hinzufügen.
  2. Geben Sie die entsprechenden Informationen ein. Beispiel:
     
    • Format = Syslog (Einheitliches Ereignisformat)
    • Wählen Sie Paket senden aus, wenn beim Empfänger das unbearbeitete Datenpaket ankommen soll. Damit das Paket funktioniert, müssen Sie außerdem in der Richtlinie die Option Paket kopieren aktivieren.
      HINWEIS: Aktivieren Sie "Paket kopieren" nicht für alle Regeln. Wählen Sie stattdessen ein Ereignis aus, das bereits ausgelöst wurde, und klicken Sie dann auf Öffnen und Regel anzeigen. Setzen Sie bei geöffneter Richtlinie die Option Paket kopieren auf Aktiviert, und führen Sie dann das Richtlinien-Rollout durch.
       
  3. Speichern Sie die Änderungen.
  4. Exportieren Sie die aktuelle Liste der Datenquellen aus den Empfängereigenschaften, indem Sie auf Datenquellen und dann auf Exportieren klicken. Daraufhin wird die CSV-Datei erstellt, die Sie in den nächsten Schritten benötigen.
Nach Abschluss dieser Schritte werden alle vom SIEM verarbeiteten Ereignisse weitergeleitet, und Sie können nun die Liste der Datenquellen importieren. 


Importieren der Liste der Datenquellen auf den neuen Empfänger

  1. So erhalten Sie die Empfänger-ID für den neuen Empfänger:
    1. Öffnen Sie die Empfängereigenschaften, um die Empfänger-ID zu ermitteln.
    2. Kopieren Sie unter Name und Beschreibung die ID. (Diese sieht ungefähr so aus: 14411628758746548).
       
  2. Öffnen Sie die CSV-Datei in einem Text-Editor.
    HINWEIS: Öffnen Sie die CSV-Datei nicht in Microsoft Excel. Geeignet ist ein Text-Editor wie z. B. Notepad++.
     
  3. Die erste Spalte (op) ist leer. Fügen Sie das folgende Stichwort zu dieser Spalte hinzu: add. Sie müssen dieses Stichwort in jeder Zeile außer der ersten hinzufügen.
  4. Die zweite Spalte (rec_id) enthält die Empfänger-ID des Empfängers, auf dem der Export durchgeführt wurde. Ersetzen Sie sie durch die gerade ermittelte Empfänger-ID. Auch hier müssen Sie diesen Vorgang für jede Zeile außer der ersten wiederholen. Beispiel:

    add, 14411628758746548 …..

     
  5. Speichern Sie die Datei, wenn Sie fertig sind.
  6. Importieren Sie die Datenquellen auf dem SIEM-Empfänger, indem Sie die Empfängereigenschaften öffnen und dann auf Datenquellen und Importieren klicken.
  7. Fügen Sie nach Abschluss des Imports eine letzte Datenquelle hinzu. Die Datenquelle muss wie folgt lauten:
    • Anbieter: ArcSight
    • Modell: Einheitliches Ereignisformat (ASP)
    • IP-Adresse: IP des sendenden ESM
    • (Füllen Sie den Rest nach Bedarf aus.)
       
  8. Übertragen Sie die Datenquelleneinstellungen an den Empfänger, und übertragen Sie die Richtlinie mithilfe von Push.
Nun werden die Ereignisse auf dem neuen SIEM-Empfänger so wie auf dem ursprünglichen Empfänger angezeigt.

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Beta Translate with

Select a desired language below to translate this page.