Loading...

Knowledge Center


如何使用 Syslog 轉送在 ESM 間轉送事件
技術文章 ID:   KB81501
上次修改:  2018/11/16

環境

McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.3.x 與較舊版本
McAfee SIEM Event Receiver (NitroView Receiver) 9.3.x 與較舊版本

摘要

本文章說明如何設定 McAfee SIEM ESM 在 ESM 間轉送事件。

注意:這些步驟僅適用於 9.3.x 與較舊版本。

解決方案

在傳送的 ESM 上新增 CEF 事件轉送
  1. ESM 屬性中,依序按一下事件轉送新增
  2. 新增所有適合的資訊。例如:
     
    • Format = Syslog (通用事件格式)
    • 如果您在接收端上需要原始封包,請選取傳送封包。此外,為了封包讓夠運作,您必須開啟原則中的複製封包
      注意:不要所有的規則啟用複製封包。相反的,請選取已觸發的事件,然後依序按一下開啟顯示規則。在原則開啟的狀況下,將複製封包設為已啟用,然後推展該原則。
       
  3. 儲存您的變更。
  4. 透過按一下資料來源匯出,從接收器屬性匯出您目前的資料來源清單。這會產生您將在接下來步驟中使用的 .csv 檔。
當這些步驟完成時,系統會轉送 SIEM 已剖析的所有事件,您也準備好匯入您的資料來源清單。 


在新接收器上匯入資料來源清單

  1. 取得新接收器的接收器 ID:
    1. 開啟接收器屬性以取得接收器 ID
    2. 名稱與說明下複製 ID。(看起來類似 14411628758746548)。
       
  2. 使用文字編輯器開啟您的 .csv 檔。
    注意:不要使用 Microsoft Excel 開啟 .csv 檔。使用如 Notepad++ 等文字編輯器可獲得最佳的結果。
     
  3. 第一欄 (op) 將為空白。將以下關鍵字新增至此欄:add。您必須將此關鍵字新增至每一列,唯第一列除外。
  4. 第二欄 (rec_id) 將包含您執行匯出所在之接收器的接收器 ID。使用您剛剛取得的接收器 ID 取代此 ID。再次強調,您必須將此關鍵字新增至每一列,唯第一列除外。例如:

    add, 14411628758746548 …..

     
  5. 完成時請儲存檔案。
  6. 在 SIEM 接收器上匯入資料來源,方法是開啟接收器屬性,然後依序按一下資料來源匯入
  7. 匯入完成時,新增最後一個資料來源。資料來源必須如下:
    • 廠商:ArcSight
    • 模型:通用事件格式 (ASP)
    • IP 位址:傳送 ESM 的 IP
    • (視需要填寫其餘資訊)
       
  8. 寫出資料來源,並推送該原則。
您現在會在新的 SIEM 接收器上看到事件,和它們在原始接收器上顯示的一樣。

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分