Loading...
Como usar o encaminhamento de syslog para obter eventos de um ESM para outro
Artigos técnicos ID:   KB81501
Última modificação:  16/11/2018

Ambiente

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x e anterior
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x e anterior

Resumo

Este artigo descreve como configurar o McAfee SIEM ESM para encaminhar eventos de um ESM para outro.

NOTA: essas etapas aplicam-se apenas à versão 9.3.x e a versões anteriores.

Solução

Adicionar o encaminhamento de eventos CEF no ESM de envio
  1. Em Propriedades do ESM, clique em Encaminhamento de evento e Adicionar.
  2. Adicione todas as informações apropriadas. Por exemplo:
     
    • Formato = Syslog (Common Event Format)
    • Selecione Enviar pacote se precisar do pacote bruto na recepção final. Além disso, para que o pacote funcione, você deve ativar Copiar pacote na política.
      NOTA: Não ative Copiar pacote para todas as regras. Em vez disso, selecione um evento disparado e, em seguida, clique em Abrir, Mostrar regra. Com a política aberta, defina Copiar pacote como Ativado e, em seguida, distribua a política.
       
  3. Salve as alterações.
  4. Exporte sua lista de origens de dados atual a partir de Propriedades do Receptor, clicando em Origens de dadosExportar. Isso gera o arquivo .csv que você usará nas próximas etapas.
Quando essas etapas forem concluídas, todos os eventos analisados pelo SIEM serão encaminhados e você poderá importar sua lista de origens de dados. 


Importar a lista de origens de dados no novo receptor

  1. Obtenha a ID do novo receptor:
    1. Abra as Propriedades do Receptor para obter a ID do receptor.
    2. Em Nome e descrição, copie a ID. (Isso será semelhante a: 14411628758746548).
       
  2. Abra o arquivo .csv no editor de texto.
    NOTA: Não abra o arquivo .csv no Microsoft Excel. Use um editor de texto, como o Bloco de Notas++ para obter resultados melhores.
     
  3. A primeira coluna (op) estará em branco. Adicione a seguinte palavra-chave a essa coluna: add. Você deverá adicionar essa palavra-chave a todas as linhas, exceto à primeira.
  4. A segunda coluna (rec_id) conterá a ID do receptor no qual realizou a exportação. Substitua-a pela ID do receptor que acabou de obter. Novamente, você deverá fazer isso para todas as linhas, exceto para a primeira. Por exemplo:

    add, 14411628758746548 …..

     
  5. Salve o arquivo quando concluir.
  6. Importe as origens de dados para o SIEM Receiver abrindo as Propriedades do Receptor e clicando em Origens de dadosImportar.
  7. Quando a importação for concluída, adicione uma última origem de dados. A origem de dados deve ser da seguinte maneira:
    • Fornecedor: ArcSight
    • Modelo: Common Event Format (ASP)
    • Endereço IP: IP do ESM de envio
    • Preencha o restante conforme o necessário.
       
  8. Envie as origens de dados e a política por push.
Agora, os eventos são exibidos no novo SIEM Receiver da mesma maneira que apareciam no receptor original.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento