In questo articolo vengono fornite informazioni sulle autorizzazioni necessarie per gli eventi TIE che devono essere inviati da ePO alla McAfee SIEM.
Se gli eventi TIE vengono visualizzati in ePO ma non nell'interfaccia utente SIEM in cui altre origini dati ePO visualizzano gli eventi, potrebbe essere necessario modificare le impostazioni di autorizzazione per
Argomenti TIE in ePO.
Le seguenti impostazioni devono essere riconfigurate se si dispone di:
- Aggiunto TIE a ePO.
- Impostazioni di autorizzazione modificate di recente in TIE.
- Interruzione della ricezione degli eventi TIE nel McAfee SIEM.
ePO deve consentire a TIE di comunicare gli eventi alla McAfee SIEM sul proprio argomento nel tessuto DXL. Se è possibile consultare gli eventi TIE nella console ePO ma nessuno di questi eventi viene segnalato a SIEM, è necessario configurare il
Autorizzazioni per argomenti per TIE in ePO.
Procedura per impostare le autorizzazioni dell'argomento TIE in ePO
- Accedere alla console ePO utilizzando il admin account.
- Selezionare Impostazioni del server.
- Selezionare Autorizzazioni per argomenti DXL dalla barra laterale.
- Individuare il Notifica di reputazione server TIE gruppo di argomenti.
- Verificare che il Ricevere colonna è Tutti i sistemi o un Tag specifico per SIEM Event Receiver (CER).
- Se queste impostazioni non vengono visualizzate nella Notifica di reputazione server TIE gruppo di argomenti, fare clic su Modifica.
- Selezionare la casella di controllo accanto a Notifica di reputazione server TIE argomento.
- Utilizzare il Azioni menu e selezionare Limita tag di ricezione.
- Deselezionare tutto per consentire a tutti i sistemi di ricevere le notifiche o utilizzare un Tag specifico per SIEM Event Receiver (CER).
- Selezionare Attività server ed eseguire il Gestisci broker DXL attività.
- Eseguire il Attiva Agent attività in Receiver (CER) dalla console ePO.
- Con una sessione SSH sul Receiver Event SIEM, riavviare il Receiver Servizi eseguendo NitroStop e NitroStart. È inoltre possibile provare a riavviare solo il servizio di raccolta eseguendo killall collectorsctl fino a quando il collectorsctl processo chiuso. Successivamente, riavviare il collectorsctl processo eseguendo collectorsctl -- +laux.
- Attendere 10 – 15 minuti, quindi verificare che gli eventi TIE nell'interfaccia utente di SIEM siano visualizzati.
Procedura per impostare le autorizzazioni per l'argomento MAR in ePO
- Accedere alla console ePO utilizzando il admin account.
- Selezionare Impostazioni del server.
- Selezionare Autorizzazioni per argomenti DXL dalla barra laterale.
- Individuare il API Active Response server gruppo di argomenti.
- Verificare che il Invia restrizioni e Ricevi restrizioni le colonne sono Tutti i sistemi o un Tag specifico per SIEM Event Receiver (ERC) selezionato.
- Se queste impostazioni non vengono visualizzate nella API Active Response server gruppo di argomenti, fare clic su Modifica.
- Selezionare la casella di controllo accanto a API Active Response server argomento.
- Utilizzare il Azioni menu e selezionare Limita tag del ricevitore.
- Deselezionare tutto per consentire a tutti i sistemi di ricevere le notifiche o utilizzare un Tag specifico per SIEM Event Receiver (CER).
- Verificare che sia Invia restrizioni e Limitazioni del destinatario sono configurati correttamente.
- Selezionare Attività server ed eseguire il Gestisci broker DXL attività.
- Eseguire il Attiva Agent attività in Receiver (CER) dalla console ePO.
- Con una sessione SSH sul Receiver Event SIEM, riavviare il Receiver Servizi eseguendo NitroStop e NitroStart. È inoltre possibile provare a riavviare solo il servizio di raccolta eseguendo killall collectorsctl fino a quando il collectorsctl processo chiuso. Successivamente, riavviare il collectorsctl processo eseguendo collectorsctl -- +laux.
- Attendere 10 – 15 minuti, quindi verificare che gli eventi TIE nell'interfaccia utente di SIEM siano visualizzati.