本页内容
McAfee Network Security Platform(以前称为 McAfee Intrushield)
JSA McAfee Network Security Platform DSM 从 McAfee Network Security Platform 设备收集系统日志事件。JSA 会记录所有相关事件。
要将 McAfee Network Security Platform 与 JSA 集成,请完成以下步骤:
如果未启用自动更新,则可从 瞻博网络下载下载 RPM。在 JSA 控制台上下载并安装以下 RPM 的最新版本:
DSM 通用 RPM
McAfee Network Security Platform,DSM RPM
要将 McAfee Network Security Platform 设备配置为向 JSA 发送事件,请选择您的 McAfee Network Security Platform 设备版本。
如果 JSA 未自动检测日志源,请在 JSA 控制台上添加 McAfee Network Security Platform 日志源。
McAfee Network Security Platform DSM 规格
配置 McAfee Network Security Platform 时,了解 McAfee Network Security Platform DSM 的规格有助于确保成功集成。例如,在开始之前了解受支持的 McAfee Network Security Platform 版本有助于减少配置过程中的挫败感。
下表介绍了 McAfee Network Security Platform DSM 的规格。
规范 |
价值 |
|---|---|
制造者 |
迈克菲 |
帝斯曼名称 |
McAfee 网络安全平台 |
RPM 文件名 |
帝斯曼-McAfeeNetworkSecurityPlatform - QRadar_version-build_number.noarch.rpm |
支持的版本 |
2.x - 10.x |
协议 |
系统日志 |
记录的事件类型 |
|
自动发现? |
是的 |
包括身份吗? |
不 |
包括自定义属性? |
不 |
为 McAfee Network Security Platform 2.x - 5.x 配置警报事件
要从 McAfee Network Security Platform 收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从 McAfee Network Security Platform 收集警报通知事件,您需要 McAfee Network Security Platform Manager。
登录到 McAfee Network Security Platform Manager 用户界面。
在 网络安全管理器 仪表板上,单击 配置。
在 资源树中,单击 根 节点(Admin-Domain-Name)。
单击 警报通知 >Syslog Forwarder。
配置 Syslog Server 详细信息参数。
参数
价值
启用 Syslog 转发器
是的
港口
514
单击 编辑。
选择以下版本之一:
表 2:McAfee Network Security Platform 2.x - 5.x 自定义消息格式 版本
描述
未打补丁的 McAfee Network Security Platform 2.x 系统
|$ALERT_ID$|$ALERT_TYPE$|$ATTACK_TIME$|"$ATTACK_NAME$" |$ATTACK_ID$|$ATTACK_SEVERITY$|$ATTACK_SIGNATURE$ |$ATTACK_CONFIDENCE$|$ADMIN_DOMAIN$|$SENSOR_NAME$ |$INTERFACE$|$SOURCE_IP$|$SOURCE_PORT$|$DESTINATION_IP$ |$DESTINATION_PORT$|
McAfee Network Security Platform,已应用补丁以更新到 3.x - 5.x
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$" |$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$ |$IV_ATTACK_CONFIDENCE$ |$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$ |$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。未应用软件补丁的 McAfee Network Security Platform 设备使用来自修补系统的不同消息字符串。自定义消息的格式必须包含美元符号 ($) 作为每个警报元素前后的分隔符。如果缺少元素的美元符号,则警报事件的格式可能不正确。
如果您不确定要使用哪种事件消息格式,请联系迈克菲客户支持。
点击 保存。
当 McAfee Network Security Platform 生成警报事件时,这些事件将转发到您指定的系统日志目标。在 McAfee Network Security Platform 设备转发足够多的事件后,会自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台 ,并验证是否已在 JSA 控制台 上创建日志源,以及 “日志活动 ”选项卡是否显示来自 McAfee Network Security Platform 设备的事件。
为 McAfee Network Security Platform 6.x - 7.x 配置警报事件
要从 McAfee Network Security Platform 收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从 McAfee Network Security Platform 收集警报通知事件,您需要 McAfee Network Security Platform Manager。
登录到 McAfee Intrushield Manager 用户界面。
在 网络安全管理器 仪表板上,单击 配置。
展开 “资源树 ”,然后单击 “IPS 设置 ”节点。
单击 “警报通知” 选项卡。
在 “警报通知 ”菜单上,单击 “系统日志 ”选项卡。
配置以下参数转发告警通知事件:
表 3:McAfee Network Security Platform 6.x - 7.x 警报通知参数 参数
描述
启用系统日志通知
选择 “是 ”以启用 McAfee Network Security Platform 的系统日志通知。您必须启用此选项才能将事件转发到 JSA。
管理员域
选择以下任一选项:
当前选中此复选框可发送当前域中警报的系统日志通知。默认情况下,此选项处于选中状态。
孩子选中此复选框可针对当前域中任何子域中的警报发送系统日志通知。
服务器名称或 IP 地址
JSA 控制台或事件收集器的 IP 地址。此字段支持 IPv4 和 IPv6 地址。
UDP 端口
键入 514 作为 syslog 事件的 UDP 端口。
设备
选择系统日志设施值。
严重性映射
选择一个值以将 信息性、 低、 中和 高 警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急系统已关闭或无法使用。
警报该系统需要用户立即输入或干预。
危急系统应针对危急情况进行校正。
错误系统出现非紧急故障。
警告系统有一条警告消息,指示即将发生错误。
通知系统有通知,无需立即采取行动。
信息正常作消息。
如果出现以下情况,请发送通知
选中以下复选框:
攻击定义显式启用了此通知选项
匹配以下通知筛选器,并从列表中选择“严重性信息”和更高版本。
在 IPS 隔离警报时通知
选择 “否 ”作为“IPS 隔离通知”选项。
消息首选项
选择 “自定义 ”选项。
在 “邮件首选项 ”字段中,单击 “编辑 ”以添加自定义邮件过滤器。
若要确保警报通知的格式正确,请键入以下消息字符串:
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。McAfee Network Security Platform 要求自定义消息的格式包含美元符号 ($) 作为每个警报元素前后的分隔符。如果缺少元素的美元符号,则警报事件的格式可能不正确。
您可能需要文本编辑器才能将自定义消息字符串正确格式化为单行。
点击 保存。
当 McAfee Network Security Platform 生成警报事件时,这些事件会转发到您指定的系统日志目标。在 McAfee Network Security Platform 设备转发足够多的事件后,会自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台 ,并验证是否已在 JSA 控制台 上创建日志源,以及 “日志活动 ”选项卡是否显示来自 McAfee Network Security Platform 设备的事件。
为 McAfee Network Security Platform 8.x - 10.x 配置警报事件
要从 McAfee Network Security Platform 收集警报通知事件,管理员必须配置系统日志转发器以将事件发送到 JSA。
要从 McAfee Network Security Platform 收集警报通知事件,您需要 McAfee Network Security Platform Manager。
登录到 McAfee Network Security Platform Manager 用户界面。
单击 “管理器 ”选项卡。
从导航菜单中,选择 Setup > Notification > IPS Events > Syslog。
在 “启用 Syslog 通知 ”窗格中,选择“ 是”。
点击 保存。
在 Syslog 页面上,单击 新建。如果您使用的是版本 10.x,请单击 + 号。
在 Add a Syslog Notification Profile 页面上,配置以下参数:
表 4:McAfee Network Security Platform 8.x - 10.x Syslog 通知配置文件参数 参数
描述
管理员域
选择以下任一选项:
当前 - 发送当前域中警报的系统日志通知。默认情况下,此选项处于选中状态。
子 级 - 包括当前域中所有子域的警报。(不适用于NTBA)
通知配置文件名称
发送通知的配置文件的名称。
目标服务器
添加服务器配置文件:
单击 “添加”。
键入目标服务器配置文件名称。
键入 JSA 控制台或事件收集器的 IP 地址。
从 “协议 ”列表中,选择“ UDP”。
在 “端口 ”字段中键入 514。
点击保存。
设备
从列表中选择一个 syslog 设施值。
严重性映射
选择一个值以将 信息性、 低、中和 高 警报通知级别映射到系统日志严重性。
紧急情况 - 系统已关闭或无法使用。
警报 - 系统需要用户立即输入或干预。
严重 - 应针对严重情况对系统进行校正。
错误 - 系统出现非紧急故障。
警告 - 系统有一条警告消息,指示即将发生错误。
通知 - 系统有通知,无需立即作。
信息性 - 正常作消息。
Debug - 调试级别消息。
通知所有警报
启用此选项。
在隔离事件上通知
禁用此选项。
消息
若要确保警报通知的格式正确,请键入以下消息字符串:
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
注意:自定义消息字符串必须作为单行输入,不带回车符或空格。McAfee Network Security Platform 要求自定义消息的格式包含美元符号 ($) 作为每个警报元素前后的分隔符。如果缺少元素的美元符号,则警报事件的格式可能不正确。
您可能需要文本编辑器才能将自定义消息字符串正确格式化为单行。
点击 保存。
新的通知配置文件将显示在 Syslog 页面上。当 McAfee Network Security Platform 生成警报事件时,这些事件会转发到您指定的系统日志目标。McAfee Network Security Platform 设备转发足够多的事件后,将在 JSA 中自动发现日志源。通常至少需要 25 个事件才能自动发现日志源。
管理员可以登录到 JSA 控制台,并验证是否已在 JSA 控制台上创建日志源,以及“日志活动”选项卡是否显示来自 McAfee Network Security Platform 设备的事件。
为 McAfee Network Security Platform 6.x - 7.x 配置故障通知事件
要将故障通知与 McAfee Network Security Platform 集成,您必须将 McAfee Network Security Platform 配置为转发故障通知事件。
登录到 McAfee Intrushield Manager 用户界面。
在 网络安全管理器 仪表板上,单击 配置。
展开 “资源树”,然后单击 “IPS 设置 ”节点。
单击“ 故障通知 ”选项卡。
在 “警报通知 ”菜单中,单击 “系统日志 ”选项卡。
配置以下参数以转发故障通知事件:
表 5:McAfee Intrushield 6.x - 7.x 故障通知参数 参数
描述
启用系统日志通知
选择 “是 ”以启用 McAfee Network Security Platform 的系统日志通知。您必须启用此选项才能将事件转发到 JSA。
管理员域
选择以下任一选项:
当前选中此复选框可发送当前域中警报的系统日志通知。默认情况下,此选项处于选中状态。
孩子选中此复选框可针对当前域中任何子域中的警报发送系统日志通知。
服务器名称或 IP 地址
键入 JSA 控制台 或 事件收集器的 IP 地址。此字段支持 IPv4 和 IPv6 地址。
港口
键入 514 作为系统日志事件的端口。
设施
选择系统日志设施值。
严重性映射
选择一个值以将 信息性、 低、 中和 高 警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急系统已关闭或无法使用。
警报该系统需要用户立即输入或干预。
危急系统应针对危急情况进行校正。
错误系统出现非紧急故障。
警告系统有一条警告消息,指示即将发生错误。
通知系统有通知,无需立即采取行动。
信息正常作消息。
具有严重性的正向故障
选择 “信息性及更高版本”。
在 “邮件首选项 ”字段中,单击 “编辑 ”以添加自定义邮件过滤器。
要确保错误通知的格式正确,请键入以下消息字符串:
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|注意:自定义消息字符串必须作为单行输入,不带回车符。McAfee Network Security Platform 要求自定义消息系统日志信息的格式在每个元素之前和之后包含美元符号 ($) 分隔符。如果缺少元素的美元符号,则事件可能无法正确解析。
点击 保存。
由于故障事件是由 McAfee Network Security Platform 生成的,因此它们会转发到您指定的系统日志目标。
您可以登录到 JSA 控制台 ,并验证 “日志活动 ”选项卡是否包含来自 McAfee Network Security Platform 设备的故障事件。
为 McAfee Network Security Platform 8.x - 10.x 配置故障通知事件
要将故障通知与 McAfee Network Security Platform 集成,您必须将 McAfee Network Security Platform 配置为转发故障通知事件。
登录到 McAfee Network Security Platform Manager 用户界面。
单击 “管理器 ”选项卡。
从导航菜单中,选择 Setup > Notification > Faults > Syslog。
在 Syslog 页面上,配置以下参数以转发故障通知事件:
表 6:McAfee Network Security Platform 8.x - 10.x 故障通知参数 参数
描述
启用系统日志通知
选择 “是 ”以启用 McAfee Network Security Platform 的系统日志通知。您必须启用此选项才能将事件转发到 JSA。
管理员域
选择以下任一选项:
当前 - 选中此复选框可发送当前域中警报的系统日志通知。默认情况下,此选项处于选中状态。
子 级 - 选中此复选框可发送当前域中任何子域中警报的系统日志通知。
服务器名称或 IP 地址
键入 JSA 控制台或事件收集器的 IP 地址。此字段支持 IPv4 和 IPv6 地址。
港口
键入 514 作为系统日志事件的端口。
设施
选择系统日志设施值。
严重性映射
选择一个值以将 信息性、 低、 中和 高 警报通知级别映射到系统日志严重性。
这些选项包括以下级别:
紧急情况 - 系统无法使用。
警报 - 系统需要用户立即输入或干预。
严重 - 应针对严重情况对系统进行校正。
错误 - 系统出现非紧急故障。
警告 - 系统显示一条警告消息,指示即将发生错误。
通知 - 系统有通知,无需立即作。
信息性 - 正常作消息。
Debug - 调试级别消息。
正向故障
选择 “信息性及更高版本”。
在 “邮件首选项 ”字段中,单击 “编辑 ”以添加自定义邮件过滤器。
要确保错误通知的格式正确,请键入以下消息字符串:
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|
注意:自定义消息字符串必须作为单行输入,不带回车符。McAfee Network Security Platform 要求自定义消息系统日志信息的格式在每个元素之前和之后包含美元符号 ($) 分隔符。如果缺少元素的美元符号,则事件可能无法正确解析。
点击 保存。
由于故障事件是由 McAfee Network Security Platform 生成的,因此它们会转发到您指定的系统日志目标。
您可以登录到 JSA 控制台,并验证 “日志活动 ”选项卡是否包含来自 McAfee Network Security Platform 设备的故障事件。
McAfee Network Security Platform 示例事件消息
使用这些示例事件消息验证是否成功与 JSA 集成。
由于格式问题,请将邮件格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
McAfee Network Security Platform 使用 Syslog 协议时的示例消息
示例 1:以下示例事件消息显示检测到 HTTP 登录暴力破解。
<116>Feb 7 11:06:51 SyslogAlertForwarder: |5915530749831189905|Signature| 2014-02-07 11:06:49 EST |"HTTP: HTTP Login Bruteforce Detected"| 0x0040256b |Medium|Unknown|High|My Company|USILSS501| G3/2| 192.168.0.5 |0| 10.0.1.2 | 80 |Unknown|brute-force
JSA 字段名称 |
突出显示的有效载荷数据 |
|---|---|
日期 |
2014-02-07 11:06:49 EST |
事件 ID |
0x0040256b |
源 IP |
192.168.0.5 |
目标 IP |
10.0.1.2 |
目标端口 |
80 |
示例 2:以下示例事件消息显示已创建用户帐户。
<109>Mar 26 07:48:49 mcafee.test: User Account Creation succeeded at 2020-03-26 07:48:49 CET
JSA 字段名称 |
突出显示的有效载荷数据 |
|---|---|
日期 |
2020-03-26 07:48:49 CET |
事件 ID |
用户帐户创建成功 |