Loading...

Syslog フォワーディングを使用して ESM から他の ESM にイベントを転送する方法
技術的な記事 ID:   KB81501
最終更新:  2018/11/16

環境

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x 以前
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x 以前

概要

この記事は、ESM から他の ESM にイベントを転送するように、McAfee SIEM ESM を設定する方法を説明します。

注: この手順は 9.3.x 以前のバージョンにのみ適用されます。

解決策

ESM の送信に CFE イベント フォワーディングを追加する
  1. ESM プロパティで、イベント フォワーディング追加 をクリックします。
  2. すべての適切な情報を追加します。例:
     
    • Format = Syslog (Common Event Format)
    • 受信側で RAW パケットが必要な場合は、パケットの送信 を選択します。また、パケットが機能するためには、ポリシーの パケットのコピー をオンにする必要があります。
      注: パケットのコピーをすべてのルールで有効にしないでください。代わりに、トリガーしたイベントを選択して、開くルールを表示 をクリックします。ポリシーを開き、パケットのコピー有効 に設定し、ポリシーをロール アウトします。
       
  3. 変更を保存します。
  4. データ ソースエクスポート をクリックして、Receiver のプロパティ から現在のデータ ソース リストをエクスポートします。これにより、次の手順で使用する .csv ファイルが作成されます。
この手順が完了したら、SIEM が解析したすべてのイベントが転送され、データ ソース リストをインポートすることができます。 


新しい Receiver でデータ ソースをインポートする

  1. 新しい Receiver の Receiver ID を取得します。
    1. Receiver のプロパティ を開いて、Receiver ID を取得します。
    2. 名前と説明 の下の ID をコピーします。(これは 14411628758746548 のような形式です。)
       
  2. .csv ファイルを テキスト エディターで開きます。
    注: .csv ファイルを Microsoft Excel で開かないでください。Notepad++ などのテキスト エディターを使用してください。
     
  3. 最初の列(op)は空白です。この列にキーワード add を追加します。このキーワードを最初の行以外の各行に追加する必要があります。
  4. 2 番目の列(rec id)には、エクスポートを実行した Receiver の Receiver ID を入力します。この列を取得した Receiver ID で置き換えます。これを、最初の行以外の各行に対して繰り返します。例:

    add, 14411628758746548 …..

     
  5. 完了したらファイルを保存します。
  6. Receiver のプロパティを開いてSIEM Receiver のデータ ソースをインポートし、データ ソースインポート をクリックします。
  7. インポートが完了したら、最後のデータ ソースを追加します。データ ソースは以下のようになる必要があります。
    • ベンダー: ArcSight
    • モデル: 共通イベント フォーマット(ASP)
    • IP アドレス: 送信側の ESM の IP
    • (その他の部分は必要に応じて入力します。)
       
  8. データ ソースを書き出してポリシーをプッシュします。
これで、新しい SIEM Receiver のイベントが、転送元の Receiver と同じ表示になります。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.