Loading...

Syslog Forwarding (Syslog-berichten doorsturen) om gebeurtenissen van de ene ESM naar de andere te sturen
Technische artikelen ID:   KB81501
Laatst gewijzigd:  16-11-2018

Omgeving

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x en lager
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x en lager

Samenvatting

In dit artikel wordt beschreven hoe u de McAfee SIEM ESM zo configureert dat deze gebeurtenissen van de ene ESM naar de andere doorstuurt.

OPMERKING: deze stappen hebben uitsluitend betrekking op 9.3.x en eerdere versies.

Oplossing

Doorsturen van CEF-gebeurtenissen toevoegen op de verzendende ESM
  1. Klik in de ESM-eigenschappen op Event Forwarding (Gebeurtenissen doorsturen) en Toevoegen.
  2. Geef alle benodigde informatie op. Bijvoorbeeld:
     
    • Format (Indeling) = Syslog (Common Event Format)
    • Selecteer Send packet (Pakket verzenden) als u het onbewerkte pakket aan het ontvangende eind nodig hebt. Het pakket werkt pas als Copy packet (Pakket kopiëren) is ingeschakeld in het beleid.
      OPMERKING: schakel Copy packet (Pakket kopiëren) niet in voor alle regels. Selecteer in plaats daarvan een geactiveerde gebeurtenis en klik vervolgens op Openen, Show Rule (Regel weergeven). Als het beleid is geopend, stelt u Copy packet (Pakket kopiëren) in op Ingeschakeld. Voer vervolgens het beleid in.
       
  3. U moet de wijzigingen opslaan.
  4. Exporteer de huidige lijst van gegevensbronnen uit Receiver Properties (Eigenschappen van de ontvanger) door op Data Sources (Gegevensbronnen) en op Exporteren te klikken. Het CSV-bestand wordt nu gemaakt dat u bij de volgende stappen moet gebruiken.
Wanneer deze stappen zijn uitgevoerd, worden alle gebeurtenissen die door de SIEM worden geparseerd doorgestuurd en kunt u de lijst van gegevensbronnen importeren. 


De lijst van gegevensbronnen in de nieuwe ontvanger importeren

  1. Haal de ontvanger-ID op voor de nieuwe ontvanger:
    1. Open de eigenschappen van de ontvanger om de ontvanger-ID op te halen.
    2. Kopieer de ID onder Name and Description (Naam en beschrijving). (Deze heeft een vergelijkbare indeling: 14411628758746548).
       
  2. Open het CSV-bestand in een teksteditor.
    OPMERKING: open het CSV-bestand niet in Microsoft Excel. Gebruik een teksteditor zoals Kladblok++ voor het beste resultaat.
     
  3. De eerste kolom (op) is leeg. Voeg het volgende trefwoord toe aan deze kolom: add. U moet dit trefwoord aan elke rij toevoegen, met uitzondering van de eerste rij.
  4. In de tweede kolom (rec_id) staat de ontvanger-ID van de ontvanger waarvoor u een export hebt uitgevoerd. Vervang deze met de ontvanger-ID die u zojuist hebt verkregen. U moet dit wederom voor elke rij uitvoeren, met uitzondering van de eerste rij. Bijvoorbeeld:

    add, 14411628758746548 …..

     
  5. Wanneer u klaar bent, moet u het bestand opslaan.
  6. Importeer de gegevensbronnen in de SIEM-ontvanger door Receiver Properties (Eigenschappen van de ontvanger) te openen en op Data Sources (Gegevensbronnen) en Importeren te klikken.
  7. Voeg nog een laatste gegevensbron toe wanneer het importeren is voltooid. De gegevensbron moet er als volgt uitzien:
    • Leverancier: ArcSight
    • Model: Common Event Format (ASP)
    • IP-adres: IP van verzendende ESM
    • (Geef bij de rest de vereiste informatie op)
       
  8. Schrijf gegevensbronnen over en push het beleid.
Gebeurtenissen worden op de nieuwe SIEM-ontvanger nu hetzelfde weergegeven als op de oorspronkleijk ontvanger.

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen

Beta Translate with

Select a desired language below to translate this page.