Loading...

Syslog 전달을 사용하여 ESM 간에 이벤트를 가져오는 방법
기술 문서 ID:   KB81501
마지막으로 수정한 날짜:  2018-11-16

환경

McAfee SIEM Enterprise Security Manager(NitroView ESM) 9.3.x 및 이전 버전
McAfee SIEM Event Receiver(NitroView Receiver) 9.3.x 및 이전 버전

요약

이 문서에서는 ESM 간에 이벤트를 전달하도록 McAfee SIEM ESM을 구성하는 방법에 대해 설명합니다.

참고: 아래 단계는 9.3.x 및 이전 버전에만 적용됩니다.

해결책

보내는 ESM에서 CEF 이벤트 전달 기능 추가
  1. ESM 속성에서 이벤트 전달, 추가를 차례로 클릭합니다.
  2. 해당하는 정보를 모두 추가합니다. 예:
     
    • 형식 = Syslog(일반 이벤트 형식)
    • 받는 쪽에 원시 패킷이 필요한 경우 패킷 보내기를 선택합니다. 또한 패킷이 작동하려면 정책에서 패킷 복사를 사용하도록 설정해야 합니다.
      참고: 모든 규칙에 대해 패킷 복사 옵션을 설정하지는 마십시오. 그 대신, 트리거된 이벤트를 선택한 후 열기, 규칙 표시를 차례로 클릭합니다. 정책이 열리면 패킷 복사사용으로 설정한 후 정책을 롤아웃합니다.
       
  3. 변경 내용을 저장합니다.
  4. 데이터 소스내보내기를 차례로 클릭하여 수신기 속성에서 현재 데이터 소스 목록을 내보냅니다. 그러면 다음 단계에서 사용할 .csv 파일이 생성됩니다.
모든 단계를 완료하면 SIEM에서 구문 분석한 모든 이벤트가 전달되고, 데이터 소스 목록을 가져올 준비가 완료됩니다. 


새 수신기에 데이터 소스 목록 가져오기

  1. 새 수신기의 수신기 ID를 확인합니다.
    1. 수신기 속성을 열고 수신기 ID를 확인합니다.
    2. 이름 및 설명에서 ID를 복사합니다. ID는 14411628758746548과 같은 형식입니다.
       
  2. 텍스트 편집기에서 .csv 파일을 엽니다.
    참고: .csv 파일을 Microsoft Excel에서 열지 마십시오. 최상의 결과를 얻으려면 Notepad++ 같은 텍스트 편집기를 사용하십시오.
     
  3. 첫 번째 열(op)은 비어 있습니다. 이 열에 add 키워드를 추가합니다. 이 키워드는 첫 번째 행을 제외하고 각 행에 추가해야 합니다.
  4. 두 번째 열(rec_id)에는 내보내기를 수행한 수신기의 수신기 ID가 들어 있습니다. 이 수신기 ID를 방금 확인한 ID로 바꿉니다. 이 경우에도 첫 번째 행을 제외하고 각 행에 값을 입력해야 합니다. 예:

    add, 14411628758746548 …..

     
  5. 작업을 마쳤으면 파일을 저장합니다.
  6. 수신기 속성을 열고 데이터 소스가져오기를 차례로 클릭하여 SIEM Receiver에 데이터 소스를 가져옵니다.
  7. 가져오기를 마치면 마지막 데이터 소스 하나를 추가합니다. 이 데이터 소스는 다음과 같아야 합니다.
    • 공급업체: ArcSight
    • 모델: 일반 이벤트 형식(ASP)
    • IP 주소: 보내는 ESM의 IP
    • 나머지 설정은 필요에 따라 지정합니다.
       
  8. 데이터 소스를 기록하고 정책을 푸시합니다.
이제 원래 수신기에 표시되던 이벤트가 새 SIEM Receiver에도 표시됩니다.

고지 사항

이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.

이 문서 등급 평가