Loading...

知识中心


如何使用 Syslog 转发来将事件从一个 ESM 转发到另一个 ESM
技术文章 ID:   KB81501
上次修改时间:  2018/11/16

环境

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x 及更早版本
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x 及更早版本

摘要

本文将介绍如何配置 McAfee SIEM ESM 以将事件从一个 ESM 转发到另一个 ESM。

注意:以下步骤只适用于 9.3.x 及早期版本。

解决方案

发送 ESM 时添加 CEF 事件转发
  1. ESM 属性中,单击事件转发添加
  2. 添加所有适用信息。例如:
     
    • 格式 = Syslog(公用事件格式)
    • 如果在接收结束时需要的是原始数据包,则选择发送数据包。同样,为让数据包有效,必须在策略中打开复制数据包
      注意:不要所有规则启用“复制数据包”。而是选择已触发的事件,然后单击打开显示规则。策略打开后,将复制数据包设置为启用,然后部署该策略。
       
  3. 保存您的更改。
  4. 单击数据来源导出以从接收器属性导出您当前数据来源列表。此时会生成 .csv 文件,供您在后面的步骤中使用。
这些步骤完成后,经 SIEM 解析的所有事件都将被转发,此时您便可导入数据来源列表。 


在新接收器上导入数据来源列表

  1. 获取新接收器的接收器 ID:
    1. 打开接收器属性以获取接收器 ID
    2. 名称和描述下,复制该 ID。(类似于:14411628758746548)。
       
  2. 文本编辑器中打开您的 .csv 文件。
    注意:不要在 Microsoft Excel 中打开该 .csv 文件。使用 Notepad++ 之类的文本编辑器效果最佳。
     
  3. 第一列 (op) 将为空白。向此列添加以下关键字:add。您需要将此关键字添加到第一行以外的每一行
  4. 第二列 (rec_id) 将包含您在其之上执行导出的接收器的接收器 ID。使用您刚获取的接收器 ID 将其替换。同样,您需要为第一行以外的每一行执行此操作。例如:

    add, 14411628758746548 …..

     
  5. 完成后保存该文件。
  6. 打开接收器属性,然后单击数据来源导入,可在 SIEM Receiver 上导入数据来源。
  7. 当导入完成后,添加一个最新的数据来源。数据来源必须如下所示:
    • 供应商:ArcSight
    • 型号:公用事件格式 (ASP)
    • IP 地址:发送 ESM 的 IP
    • (视需要填写其余信息)
       
  8. 推送数据来源并推送策略。
现在便可在新 SIEM Receiver 上看到事件,如原始接收器上所显示的那样。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级

Beta Translate with

Select a desired language below to translate this page.