Loading...

Cómo utilizar Reenvío de syslog para enviar eventos de un ESM a otro
Artículos técnicos ID:   KB81501
Última modificación:  16/11/2018

Entorno

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x y anteriores
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x y anteriores

Resumen

Este artículo describe cómo configurar McAfee SIEM ESM para reenviar eventos de un ESM a otro.

NOTA: Estos pasos se aplican únicamente a la versión 9.3.x y anteriores.

Solución

Añadir el reenvío de eventos CEF al enviar a ESM
  1. En Propiedades de ESM, haga clic en Reenvío de eventos, Agregar.
  2. Añada toda la información pertinente. Por ejemplo:
     
    • Formato = Syslog (Formato de eventos frecuentes)
    • Seleccione Enviar paquete si el receptor necesita el paquete sin procesar. Asimismo, para que el paquete funcione, debe activar Copiar paquete en la directiva.
      NOTA: No active Copiar paquete para todas las reglas. En su lugar, seleccione un evento que se haya activado y, a continuación, haga clic en Abrir, Mostrar regla. Con la directiva abierta, establezca Copiar paquete en Activado y, a continuación, despliegue la directiva.
       
  3. Guarde los cambios.
  4. Exporte la lista de orígenes de datos actuales desde Propiedades de receptor haciendo clic en Orígenes de datos, Exportar. De este modo, se genera el archivo .csv que utilizará en los siguientes pasos.
Una vez finalizados estos pasos, todos los eventos que haya analizado SIEM se reenviarán y ya podrá importar la lista de orígenes de datos. 


Importar la lista de orígenes de datos en el nuevo receptor

  1. Obtenga el ID del receptor para el nuevo receptor:
    1. Abra Propiedades de receptor para obtener el ID del receptor.
    2. En Nombre y descripción, copie el ID. (Se asemeja a 14411628758746548).
       
  2. Abra el archivo .csv en el editor de texto.
    NOTA: No abra el archivo .csv en Microsoft Excel. Utilice un editor de texto como Notepad++ para obtener mejores resultados.
     
  3. La primera columna (op) aparecerá vacía. Añada la siguiente palabra clave a esta columna: add. Tendrá que añadir esta palabra clave en cada fila, excepto en la primera.
  4. La segunda columna (rec_id) contiene el ID del receptor correspondiente al receptor en el que realizó la exportación. Sustitúyalo por el ID del receptor que acaba de obtener. De nuevo, tendrá que realizar este procedimiento con cada fila, excepto con la primera. Por ejemplo:

    add, 14411628758746548 …..

     
  5. Guarde el archivo cuando haya acabado.
  6. Importe los orígenes de datos en el receptor de SIEM abriendo Propiedades de receptor y haciendo clic en Orígenes de datos, Importar.
  7. Cuando termine la importación, añada un último origen de datos. El origen de datos debe ser así:
    • Proveedor: ArcSight
    • Modelo: Formato de eventos frecuentes (ASP)
    • Dirección IP: IP del ESM de envío
    • (Rellene lo demás según resulte necesario)
       
  8. Inserte los orígenes de datos y lance la directiva.
Ahora, verá los eventos en el nuevo receptor de SIEM tal y como aparecen en el receptor original.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Idiomas: