Loading...

Comment utiliser le transfert Syslog pour obtenir des événements d'un ESM dans un autre
Articles techniques ID:   KB81501
Date de la dernière modification :  16/11/2018

Environnement

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x et versions antérieures
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x et versions antérieures

Synthèse

Cet article décrit comment configurer lMcAfee SIEM ESM pour transférer des événements d'un ESM dans un autre.

REMARQUE : ces étapes ne s'appliquent qu'aux versions 9.3.x et antérieures.

Solution

Ajouter le transfert des événements CEF sur l'ESM à l'origine de l'envoi
  1. Dans les Propriétés ESM, cliquez sur Transfert des événements, Ajouter.
  2. Ajoutez toutes les informations appropriées. Par exemple :
     
    • Format = Syslog (format d'événement commun)
    • Sélectionnez Send packet (Envoyer un paquet) si vous avez besoin du paquet brut sur le destinataire. De plus, pour que le paquet fonctionne, vous devez activer Copier le paquet dans la stratégie.
      REMARQUE : n'activez pas Copier le paquet pour toutes les règles. Sélectionnez plutôt un événement qui a été déclenché, puis cliquez sur Ouvrir, Show Rule (Afficher la règle). Lorsque la stratégie est ouverte, définissez Copier le paquet sur Activé, puis déployez la stratégie.
       
  3. Enregistrez les modifications.
  4. Exportez votre liste de sources de données actuelle dans les Propriétés de récepteur, en cliquant sur Sources de données, Exporter. Cela produit le fichier .csv que vous utiliserez dans les étapes qui suivent.
Lorsque ces étapes sont terminées, tous les événements analysés par le SIEM sont transférés et vous êtes prêt à importer votre liste de sources de données. 


Importez la liste de sources de données sur le nouveau récepteur

  1. Obtenez l'ID de récepteur du nouveau récepteur :
    1. Ouvrez les Propriétés de récepteur pour obtenir l'ID du récepteur.
    2. Sous Name and Description (Nom et description), copiez l'ID. (Le résultat sera similaire à : 14411628758746548).
       
  2. Ouvrez votre fichier .csv dans votre éditeur de texte.
    REMARQUE : n'ouvrez pas le fichier .csv dans Microsoft Excel. Utilisez un éditeur de texte tel que Bloc-notes++ pour obtenir de meilleurs résultats.
     
  3. La première colonne (op) sera vide. Ajoutez le mot clé suivant à cette colonne : add. Vous devrez ajouter ce mot clé à chaque ligne excepté à la première.
  4. La seconde colonne (rec_id) contiendra ID du récepteur vers lequel vous avez effectué l'exportation. Remplacez cela par l'ID du récepteur que vous venez d'obtenir. De même, vous devrez le faire pour chaque ligne excepté la première. Par exemple :

    add, 14411628758746548 …..

     
  5. Enregistrez le fichier lorsque vous avez terminé.
  6. Pour importer les sources de données sur le récepteur SIEM, ouvrez Propriétés de récepteur, puis cliquez sur Sources de données, Importer.
  7. Lorsque l'importation est terminée, ajoutez une dernière source de données. La source de données doit être la suivante :
    • Fournisseur : ArcSight
    • Modèle : format d'événement commun (ASP)
    • Adresse IP : IP de l'ESM à l'origine de l'envoi
    • (Remplissez le reste si nécessaire)
       
  8. Ecrivez les sources de données et poussez la stratégie.
Vous voyez maintenant les événements sur le nouveau récepteur tels qu'ils apparaissaient sur le récepteur d'origine.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document