McAfee Network Security Platform(以前称为 McAfee Intrushield)
JSA McAfee 网络安全平台 DSM 从 McAfee Network Security Platform 设备收集系统日志事件。JSA 记录所有相关事件。
要将迈克菲网络安全平台与 JSA 集成,请完成以下步骤:
如果未启用自动更新,可从 瞻博网络下载下载 RPM。在 JSA 控制台上下载并安装以下 RPM 的最新版本:
帝斯曼通用转速
迈克菲网络安全平台,DSM RPM
要将迈克菲网络安全平台设备配置为向 JSA 发送事件,请选择迈克菲网络安全平台设备版本。
如果 JSA 未自动检测日志源,请在 JSA 控制台上添加迈克菲网络安全平台日志源。
迈克菲网络安全平台 DSM 规格
配置 McAfee 网络安全平台时,了解 McAfee 网络安全平台 DSM 的规格有助于确保成功集成。例如,在开始之前了解迈克菲网络安全平台的支持版本有助于减少配置过程中的挫折感。
下表描述了迈克菲网络安全平台 DSM 的规格。
规范 |
价值 |
|---|---|
制造商 |
Mcafee |
帝斯曼名称 |
迈克菲网络安全平台 |
RPM 文件名 |
Dsm-McAfeeNetworkSecurityPlatform - QRadar_version-build_number.noarch.rpm |
支持的版本 |
2.x - 10.x |
协议 |
Syslog |
记录的事件类型 |
|
自动发现? |
是的 |
包括身份? |
不 |
是否包含自定义属性? |
不 |
更多信息 |
为 McAfee 网络安全平台 2.x - 5.x 配置警报事件
要从 McAfee 网络安全平台收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从迈克菲网络安全平台收集警报通知事件,您需要迈克菲网络安全平台管理器。
登录到 迈克菲网络安全平台管理器 用户界面。
在 网络安全管理器 仪表板上,单击 配置。
在 资源树中,单击 根 节点(管理员域名)。
单击 警报通知>系统日志转发器。
配置 系统日志服务器 详细信息参数。
参数
价值
启用系统日志转发器
是的
港口
514
单击 编辑。
选择以下版本之一:
表 2:迈克菲网络安全平台 2.x - 5.x 自定义消息格式 版本
描述
未修补的迈克菲网络安全平台 2.x 系统
|$ALERT_ID$|$ALERT_TYPE$|$ATTACK_TIME$|"$ATTACK_NAME$" |$ATTACK_ID$|$ATTACK_SEVERITY$|$ATTACK_SIGNATURE$ |$ATTACK_CONFIDENCE$|$ADMIN_DOMAIN$|$SENSOR_NAME$ |$INTERFACE$|$SOURCE_IP$|$SOURCE_PORT$|$DESTINATION_IP$ |$DESTINATION_PORT$|
应用修补程序以更新到 3.x - 5.x 的迈克菲网络安全平台
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$" |$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$ |$IV_ATTACK_CONFIDENCE$ |$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$ |$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。未应用软件修补程序的 McAfee 网络安全平台设备使用来自已修补系统的不同消息字符串。自定义消息的格式必须包含美元符号 ($) 作为每个警报元素前后的分隔符。如果元素缺少美元符号,则警报事件的格式可能不正确。
如果您不确定要使用哪种事件消息格式,请联系 McAfee 客户支持。
单击 保存。
当 McAfee 网络安全平台生成警报事件时,它们将被转发到您指定的系统日志目标。迈克菲网络安全平台设备转发足够多的事件后,将自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台 并验证日志源是否已在 JSA 控制台 上创建,以及 日志活动 选项卡是否显示来自 McAfee 网络安全平台设备的事件。
为 McAfee 网络安全平台 6.x - 7.x 配置警报事件
要从 McAfee 网络安全平台收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从迈克菲网络安全平台收集警报通知事件,您需要迈克菲网络安全平台管理器。
登录到 McAfee Intrushield Manager 用户界面。
在 “网络安全管理器 ”仪表板上,单击 “配置”。
展开“ 资源树 ”,然后单击“ IPS 设置 ”节点。
单击 警报通知 选项卡。
在 警报通知 菜单上,单击 系统日志 选项卡。
配置以下参数以转发告警通知事件:
表 3:迈克菲网络安全平台 6.x - 7.x 警报通知参数 参数
描述
启用系统日志通知
选择 “是 ”为 McAfee 网络安全平台启用系统日志通知。必须启用此选项才能将事件转发到 JSA。
管理域
选择以下任一选项:
当前选中此复选框可为当前域中的警报发送系统日志通知。默认情况下,此选项处于选中状态。
孩子选中此复选框可为当前域中任何子域中的警报发送系统日志通知。
服务器名称或 IP 地址
JSA 控制台或事件收集器的 IP 地址。此字段同时支持 IPv4 和 IPv6 地址。
UDP 端口
键入 514 作为系统日志事件的 UDP 端口。
设施
选择系统日志设施值。
严重性映射
选择一个值以将信息、低、中和高警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急系统已关闭或无法使用。
警报该系统需要用户立即输入或干预。
关键应针对危急情况对系统进行校正。
错误系统有非紧急故障。
警告系统有一条警告消息,指示即将发生的错误。
通知系统有通知,无需立即操作。
信息正常运行消息。
在以下情况下发送通知
选中以下复选框:
攻击定义明确启用了此通知选项
匹配以下通知筛选器,并从列表中选择“严重性信息”及以后。
通知 IPS 隔离警报
选择 否 作为“IPS 隔离时通知”选项。
消息首选项
选择 自定义 选项。
从 邮件首选项 字段中,单击 编辑 以添加自定义邮件过滤器。
若要确保警报通知的格式正确,请键入以下消息字符串:
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。McAfee 网络安全平台要求自定义消息的格式在每个警报元素之前和之后包含一个美元符号 ($) 作为分隔符。如果元素缺少美元符号,则警报事件的格式可能不正确。
您可能需要文本编辑器才能将自定义消息字符串的正确格式设置为单行。
单击 保存。
当 McAfee 网络安全平台生成警报事件时,它们将被转发到您指定的系统日志目标。迈克菲网络安全平台设备转发足够多的事件后,将自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台 并验证日志源是否已在 JSA 控制台 上创建,以及 日志活动 选项卡是否显示来自 McAfee 网络安全平台设备的事件。
为 McAfee 网络安全平台 8.x - 10.x 配置警报事件
要从 McAfee 网络安全平台收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从迈克菲网络安全平台收集警报通知事件,您需要迈克菲网络安全平台管理器。
登录到 迈克菲网络安全平台管理器 用户界面。
单击 管理器 选项卡。
从导航菜单中,选择 设置 > 通知> IPS 事件 >系统 日志。
在 “启用系统日志通知 ”窗格中,选择 “是”。
单击 保存。
在 “系统日志 ”页上,单击“ 新建”。如果使用的是版本 10.x,请单击 + 号。
在 添加系统日志通知配置文件 页面上,配置以下参数:
表 4:迈克菲网络安全平台 8.x - 10.x 系统日志通知配置文件参数 参数
描述
管理域
选择以下任一选项:
当前 - 为当前域中的警报发送系统日志通知。默认情况下,此选项处于选中状态。
子域 - 包括当前域中所有子域的警报。(不适用于NTBA)
通知配置文件名称
从中发送通知的配置文件的名称。
目标服务器
添加服务器配置文件:
单击 “添加”。
键入目标服务器配置文件名称。
键入 JSA 控制台或事件收集器的 IP 地址。
从 “协议 ”列表中,选择“ UDP”。
在 端口 字段中输入 514。
单击保存。
设施
从列表中选择系统日志设施值。
严重性映射
选择一个值以将信息、低、中和高警报通知级别映射到系统日志严重性。
紧急 - 系统已关闭或无法使用。
警报 - 系统需要立即用户输入或干预。
严重 - 应针对严重情况更正系统。
错误 - 系统出现非紧急故障。
警告 - 系统有一条警告消息,指示即将发生错误。
注意 - 系统有通知,无需立即执行操作。
信息 - 正常运行消息。
调试 - 调试级别消息。
通知所有警报
启用此选项。
隔离事件时通知
禁用此选项。
消息
若要确保警报通知的格式正确,请键入以下消息字符串:
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。McAfee 网络安全平台要求自定义消息的格式在每个警报元素之前和之后包含一个美元符号 ($) 作为分隔符。如果元素缺少美元符号,则警报事件的格式可能不正确。
您可能需要文本编辑器才能将自定义消息字符串的正确格式设置为单行。
单击 保存。
新的通知配置文件将显示在系统日志页面上。当 McAfee 网络安全平台生成警报事件时,它们将被转发到您指定的系统日志目标。迈克菲网络安全平台设备转发足够多的事件后,将在 JSA 中自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台并验证日志源是否已在 JSA 控制台上创建,以及日志活动选项卡是否显示来自 McAfee 网络安全平台设备的事件。
为 McAfee 网络安全平台 6.x - 7.x 配置故障通知事件
要将故障通知与 McAfee 网络安全平台集成,必须将 McAfee 网络安全平台配置为转发故障通知事件。
登录到 McAfee Intrushield Manager 用户界面。
在 “网络安全管理器 ”仪表板上,单击 “配置”。
展开“ 资源树”,然后单击“ IPS 设置 ”节点。
单击 故障通知 选项卡。
从 警报通知 菜单中,单击 系统日志 选项卡。
配置以下参数以转发故障通知事件:
表 5:迈克菲 Intrushield 6.x - 7.x 故障通知参数 参数
描述
启用系统日志通知
选择 “是 ”为 McAfee 网络安全平台启用系统日志通知。必须启用此选项才能将事件转发到 JSA。
管理域
选择以下任一选项:
当前选中此复选框可为当前域中的警报发送系统日志通知。默认情况下,此选项处于选中状态。
孩子选中此复选框可为当前域中任何子域中的警报发送系统日志通知。
服务器名称或 IP 地址
键入 JSA 控制台 或 事件收集器的 IP 地址。此字段同时支持 IPv4 和 IPv6 地址。
港口
键入 514 作为系统日志事件的端口。
设施
选择系统日志设施值。
严重性映射
选择一个值以将信息性、低、中和高警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急系统已关闭或无法使用。
警报该系统需要用户立即输入或干预。
关键应针对危急情况对系统进行校正。
错误系统有非紧急故障。
警告系统有一条警告消息,指示即将发生的错误。
通知系统有通知,无需立即操作。
信息正常运行消息。
具有严重级别的正向故障
选择 “信息”及以后。
从 邮件首选项 字段中,单击 编辑 以添加自定义邮件过滤器。
要确保错误通知的格式正确,请键入以下消息字符串:
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|注意:自定义消息字符串必须作为单行输入,不带回车符。McAfee 网络安全平台要求自定义消息系统日志信息的格式在每个元素之前和之后都包含一个美元符号 ($) 分隔符。如果元素缺少美元符号,则事件可能无法正确分析。
单击 保存。
由于故障事件是由 McAfee 网络安全平台生成的,因此它们将被转发到您指定的系统日志目标。
您可以登录到 JSA 控制台 并验证 “日志活动 ”选项卡是否包含来自 McAfee 网络安全平台设备的故障事件。
为 McAfee 网络安全平台 8.x - 10.x 配置故障通知事件
要将故障通知与 McAfee 网络安全平台集成,必须将 McAfee 网络安全平台配置为转发故障通知事件。
登录到 迈克菲网络安全平台管理器 用户界面。
单击 管理器 选项卡。
从导航菜单中,选择设置>>故障通知>系统日志。
在 系统日志 页面,配置以下参数以转发故障通知事件:
表 6:迈克菲网络安全平台 8.x - 10.x 故障通知参数 参数
描述
启用系统日志通知
选择 “是 ”为 McAfee 网络安全平台启用系统日志通知。必须启用此选项才能将事件转发到 JSA。
管理域
选择以下任一选项:
当前 - 选中此复选框可为当前域中的警报发送系统日志通知。默认情况下,此选项处于选中状态。
子域 - 选中此复选框可为当前域中任何子域中的警报发送系统日志通知。
服务器名称或 IP 地址
键入 JSA 控制台或事件收集器的 IP 地址。此字段同时支持 IPv4 和 IPv6 地址。
港口
键入 514 作为系统日志事件的端口。
设施
选择系统日志设施值。
严重性映射
选择一个值以将信息性、低、中和高警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急 - 系统不可用。
警报 - 系统需要立即用户输入或干预。
严重 - 应针对严重情况更正系统。
错误 - 系统出现非紧急故障。
警告 - 系统显示一条警告消息,指示即将发生的错误。
注意 - 系统有通知,无需立即执行操作。
信息 - 正常运行消息。
调试 - 调试级别消息。
正向故障
选择 “信息”及以后。
从 邮件首选项 字段中,单击 编辑 以添加自定义邮件过滤器。
要确保错误通知的格式正确,请键入以下消息字符串:
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|
注意:自定义消息字符串必须作为单行输入,不带回车符。McAfee 网络安全平台要求自定义消息系统日志信息的格式在每个元素之前和之后都包含一个美元符号 ($) 分隔符。如果元素缺少美元符号,则事件可能无法正确分析。
单击 保存。
由于故障事件是由 McAfee 网络安全平台生成的,因此它们将被转发到您指定的系统日志目标。
您可以登录到 JSA 控制台并验证 “日志活动 ”选项卡是否包含来自 McAfee 网络安全平台设备的故障事件。
迈克菲网络安全平台示例事件消息
使用这些样本事件消息验证是否成功与 JSA 集成。
由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
迈克菲网络安全平台使用 Syslog 协议时的示例消息
示例 1:以下示例事件消息显示检测到 HTTP 登录暴力破解。
<116>Feb 7 11:06:51 SyslogAlertForwarder: |5915530749831189905|Signature| 2014-02-07 11:06:49 EST |"HTTP: HTTP Login Bruteforce Detected"| 0x0040256b |Medium|Unknown|High|My Company|USILSS501| G3/2| 192.168.0.5 |0| 10.0.1.2 | 80 |Unknown|brute-force
JSA 字段名称 |
突出显示的有效负载数据 |
|---|---|
日期 |
2014-02-07 11:06:49 EST |
事件 ID |
0x0040256b |
源 IP |
192.168.0.5 |
目标 IP |
10.0.1.2 |
目标端口 |
80 |
示例 2:以下示例事件消息显示已创建用户帐户。
<109>Mar 26 07:48:49 mcafee.test: User Account Creation succeeded at 2020-03-26 07:48:49 CET
JSA 字段名称 |
突出显示的有效负载数据 |
|---|---|
日期 |
2020-03-26 07:48:49 CET |
事件 ID |
用户帐户创建成功 |