En este artículo se proporciona información sobre los permisos necesarios para que los eventos de VINCULAción se deban enviar desde ePO al McAfee SIEM.
Si los eventos de VINCULAción se muestran en ePO pero no en la interfaz de usuario de SIEM en la que otros orígenes de datos de ePO muestran eventos, es posible que tenga que editar la configuración de permisos para
VINCULAr temas en ePO.
La siguiente configuración se debe volver a configurar si:
- Se ha agregado el enlace a ePO.
- La configuración de permisos cambiada recientemente es VINCULAda.
- Se ha detenido la recepción de eventos de coincidencia en el McAfee SIEM.
ePO tiene que permitir el empate para comunicar eventos a McAfee SIEM en su propio tema en el tejido de DXL. Si puede ver la VINCULAción de eventos en la consola de ePO, pero no se está enviando ningún evento a SIEM, debe configurar el
Permisos de temas para el empate en ePO.
Pasos para definir los permisos del tema de empate en ePO
- Inicie sesión en la consola de ePO mediante la administrativa partida.
- Activa Configuración del servidor.
- Activa Autorizaciones de temas de DXL en la barra lateral.
- Localice la Notificación de reputación de servidor de TIE Grupo de temas.
- Verifique que la Recibir la columna tiene Todos los sistemas o a un Etiquetas es específica de SIEM Event Receiver (ERC).
- Si esta configuración no se muestra en el Notificación de reputación de servidor de TIE Grupo de temas, haga clic en Modifica.
- Seleccione la casilla de verificación situada junto al Notificación de reputación de servidor de TIE tema.
- Utilice la Realizar menú y seleccione Restringir etiquetas de recepción.
- Anule la selección de todo lo que permite que todos los sistemas obtengan notificaciones o utilice una Etiquetas específica de SIEM Event Receiver (ERC).
- Activa Tareas servidor y ejecute el Administrar DXL brókers tarea.
- Realizar la Agent de activación tarea en la Receptor (ERC) desde la consola de ePO.
- Con una sesión SSH en el receptor de eventos de SIEM, reinicie la Llegar servicios mediante la ejecución NitroStop así NitroStart. También puede intentar reiniciar solo el servicio Recopilador mediante la ejecución de killall collectorsctl hasta que el collectorsctl el proceso se cierra. A continuación, reinicie el collectorsctl proceso mediante la ejecución collectorsctl -- +laux.
- Espere entre 10 y 15 minutos y, a continuación, verifique que se muestran los eventos de corbata en la GUI de SIEM.
Pasos para establecer los permisos del tema de MAR en ePO
- Inicie sesión en la consola de ePO mediante la admin partida.
- Activa Configuración del servidor.
- Activa Autorizaciones de temas de DXL en la barra lateral.
- Localice la API del servidor de Active Response Grupo de temas.
- Verifique que la Restricciones de envío así Restricciones de recepción las columnas tienen Todos los sistemas o a un Etiquetas específico de SIEM Event Receiver (ERC) seleccionado.
- Si esta configuración no se muestra en el API del servidor de Active Response Grupo de temas, haga clic en Modifica.
- Seleccione la casilla de verificación situada junto al API del servidor de Active Response tema.
- Utilice la Realizar menú y seleccione Restringir etiquetas de receptor.
- Anule la selección de todo lo que permite que todos los sistemas obtengan notificaciones o utilice una Etiquetas específica de SIEM Event Receiver (ERC).
- Compruebe que ambos Restricciones de envío así Restricciones de receptor están configurados correctamente.
- Activa Tareas servidor y ejecute el Administrar DXL brókers tarea.
- Realizar la Agent de activación tarea en la Receptor (ERC) desde la consola de ePO.
- Con una sesión SSH en el receptor de eventos de SIEM, reinicie la Llegar servicios mediante la ejecución NitroStop así NitroStart. También puede intentar reiniciar solo el servicio Recopilador mediante la ejecución de killall collectorsctl hasta que el collectorsctl el proceso se cierra. A continuación, reinicie el collectorsctl proceso mediante la ejecución collectorsctl -- +laux.
- Espere entre 10 y 15 minutos y, a continuación, verifique que se muestran los eventos de corbata en la GUI de SIEM.