Loading...
null
Come usare Syslog Forwarding (Inoltro Syslog) per spostare eventi tra due ESM
Articoli tecnici ID:   KB81501
Ultima modifica:  16/11/2018

Ambiente

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x e versioni precedenti
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x e versioni precedenti

Riepilogo

In questo articolo viene spiegato come configurare McAfee SIEM ESM per l'inoltro di eventi tra due ESM.

NOTA: questa procedura è valida solo per 9.3.x e versioni precedenti.

Soluzione

Aggiungere CEF Event forwarding (Inoltra evento CEF) agli ESM inviati
  1. In ESM Properties (Proprietà ESM), fare clic su Event Forwarding (Inoltra evento), quindi su Aggiungi.
  2. Aggiungere tutte le informazioni necessarie. Ad esempio:
     
    • Formato = Syslog (formato evento comune)
    • Selezionare Invia pacchetto se è necessario il pacchetto non elaborato al termine della ricezione. Inoltre, affinché il pacchetto funzioni, è necessario attivare Copia pacchetto nella policy.
      NOTA: non attivare Copia pacchetto per tutte le regole. Selezionare invece un evento attivato, quindi fare clic su Apri, Mostra regola. Quando la policy è aperta, impostare Copia pacchetto su Attivo, quindi implementare la policy.
       
  3. Salvare le modifiche.
  4. Esportare l'elenco attuale delle origini dati da Receiver Properties (Proprietà di Receiver) facendo clic su Origini datiEsporta. Verrà creato un file .csv da usare nei passaggi successivi.
Una volta completati i passaggi, tutti gli eventi di cui SIEM ha eseguito il parsing vengono inoltrati ed è possibile importare l'elenco delle origini dati. 


Importare l'elenco delle origini dati nel nuovo Receiver

  1. Ottenere l'ID Receiver per il nuovo Receiver:
    1. Aprire Proprietà di Receiver per ottenere l'ID Receiver.
    2. In Name and Description (Nome e descrizione), copiare l'ID (deve essere di tipo: 14411628758746548).
       
  2. Aprire il file .csv nell'editor di testo.
    NOTA: non aprire il file .csv con Microsoft Excel. Usare un editor di testo come Notepad++ per ottenere i risultati migliori.
     
  3. La prima colonna (op) deve essere vuota. Aggiungere la seguente parola chiave a questa colonna: add. Aggiungere la parola chiave in tutte le righe tranne la prima.
  4. Nella seconda colonna (rec_id) si deve trovare l'ID Receiver del Receiver per il quale è stata eseguita l'esportazione. Sostituirlo con l'ID Receiver appena ottenuto. Anche questa volta, sostituirlo in tutte le righe tranne la prima. Ad esempio:

    add, 14411628758746548 …..

     
  5. Una volta terminato, salvare il file.
  6. Importare le origini dati sul SIEM Receiver aprendo Receiver Properties (Proprietà di Receiver) e facendo clic su Origini datiImporta.
  7. Una volta completata l'importazione, aggiungere un'ultima origine dati. L'origine dati deve essere come segue:
    • Fornitore: ArcSight
    • Modello: formato evento comune (ASP)
    • Indirizzo IP: IP dell'ESM mittente
    • (completare le altre informazioni come richiesto)
       
  8. Trascrivere le origini dati e distribuire la policy.
Ora gli eventi nel SIEM Receiver verranno visualizzati come nel Receiver originale.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Beta Translate with

Select a desired language below to translate this page.