項目一覧

McAfee Network Security Platform DSM の仕様
McAfee Network Security Platform 2.x - 5.x のアラートイベントの設定
McAfee Network Security Platform 6.x - 7.x のアラートイベントの設定
McAfee Network Security Platform 8.x - 10.x のアラートイベントの設定
McAfee Network Security Platform 6.x - 7.x の障害通知イベントの設定
McAfee Network Security Platform 8.x - 10.x の障害通知イベントの設定
McAfee Network Security Platform のサンプルイベントメッセージ

McAfee Network Security Platform (旧 McAfee Intrushield)

JSA McAfee Network Security Platform DSM は、McAfee Network Security Platform デバイスから syslog イベントを収集します。JSAは、関連するすべてのイベントを記録します。

McAfee Network Security Platform を JSA と統合するには、次の手順を実行します。

自動更新が有効になっていない場合、 RPMはジュニパーのダウンロードからダウンロードできます。次のRPMの最新バージョンをJSAコンソールにダウンロードしてインストールします。
- DSM 共通 RPM
- マカフィーネットワークセキュリティプラットフォーム、DSM RPM
JSA にイベントを送信するように McAfee Network Security Platform デバイスを構成するには、McAfee Network Security Platform デバイスのバージョンを選択します。
JSA がログソースを自動的に検出しない場合は、JSA コンソールで McAfee Network Security Platform ログソースを追加します。

McAfee Network Security Platform DSM の仕様

McAfee Network Security Platform を設定する場合、McAfee Network Security Platform DSM の仕様を理解しておくと、統合を成功させることができます。たとえば、開始する前に McAfee Network Security Platform のサポートされているバージョンを把握しておくと、設定プロセス中のフラストレーションを減らすことができます。

次の表に、McAfee Network Security Platform DSM の仕様を示します。

表 1: McAfee Network Security Platform DSM の仕様
仕様	価値
生産者	マカフィー
DSM名	マカフィーネットワークセキュリティプラットフォーム
RPM ファイル名	DSMの-`McAfeeNetworkSecurityPlatform - QRadar_version-build_number.noarch.rpm`
サポートされているバージョン	2.x から 10.x
議定書	syslog
記録されるイベントの種類	アラート通知イベント (McAfee Network Security Platform 2.x - 5.x) アラートと障害通知イベント (McAfee Network Security Platform 6.x - 10.x)
自動検出されますか?	はい
アイデンティティは含まれていますか?	いいえ
カスタムプロパティが含まれているか	いいえ

McAfee Network Security Platform 2.x - 5.x のアラートイベントの設定

McAfee Network Security Platform からアラート通知イベントを収集するには、管理者は JSA にイベントを送信するように syslog フォワーダーを構成する必要があります。

McAfee Network Security Platform からアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。

McAfee Network Security Platform Manager のユーザーインターフェイスにログインします。
Network Security Managerダッシュボードで、[Configure]をクリックします。
リソース・ツリーから、ルート・ノード(Admin-Domain-Name)をクリックします。
[ Alert Notification >Syslog Forwarder] をクリックします。

Syslog サーバの詳細パラメータを設定します。

パラメーター	価値
Syslog フォワーダの有効化(Enable Syslog Forwarder)	はい
港	514

[ 編集] をクリックします。

次のいずれかのバージョンを選択します。

表 2: McAfee Network Security Platform 2.x - 5.x のカスタムメッセージ形式
バージョン	形容
パッチが適用されていない McAfee Network Security Platform 2.x システム	\|$ALERT_ID$\|$ALERT_TYPE$\|$ATTACK_TIME$\|"$ATTACK_NAME$" \|$ATTACK_ID$\|$ATTACK_SEVERITY$\|$ATTACK_SIGNATURE$ \|$ATTACK_CONFIDENCE$\|$ADMIN_DOMAIN$\|$SENSOR_NAME$ \|$INTERFACE$\|$SOURCE_IP$\|$SOURCE_PORT$\|$DESTINATION_IP$ \|$DESTINATION_PORT$\|
3.x から 5.x への更新パッチが適用された McAfee Network Security Platform	\|$IV_ALERT_ID$\|$IV_ALERT_TYPE$\|$IV_ATTACK_TIME$ \|"$IV_ATTACK_NAME$" \|$IV_ATTACK_ID$\|$IV_ATTACK_SEVERITY$\|$IV_ATTACK_SIGNATURE$ \|$IV_ATTACK_CONFIDENCE$ \|$IV_ADMIN_DOMAIN$\|$IV_SENSOR_NAME$\|$IV_INTERFACE$ \|$IV_SOURCE_IP$\|$IV_SOURCE_PORT$ \|$IV_DESTINATION_IP$\|$IV_DESTINATION_PORT$\|

表 2: McAfee Network Security Platform 2.x - 5.x のカスタムメッセージ形式

バージョン

形容

パッチが適用されていない McAfee Network Security Platform 2.x システム

|$ALERT_ID$|$ALERT_TYPE$|$ATTACK_TIME$|"$ATTACK_NAME$"
|$ATTACK_ID$|$ATTACK_SEVERITY$|$ATTACK_SIGNATURE$
|$ATTACK_CONFIDENCE$|$ADMIN_DOMAIN$|$SENSOR_NAME$
|$INTERFACE$|$SOURCE_IP$|$SOURCE_PORT$|$DESTINATION_IP$
|$DESTINATION_PORT$|

3.x から 5.x への更新パッチが適用された McAfee Network Security Platform

|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$
|"$IV_ATTACK_NAME$"
|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$
|$IV_ATTACK_CONFIDENCE$
|$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$
|$IV_SOURCE_IP$|$IV_SOURCE_PORT$
|$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|

手記：

カスタムメッセージ文字列は、キャリッジリターンやスペースを含まない 1 行で入力する必要があります。ソフトウェアパッチが適用されていない McAfee Network Security Platform アプライアンスは、パッチが適用されたシステムとは異なるメッセージ文字列を使用します。カスタムメッセージの形式では、各アラート要素の前後に区切り記号 ($) としてドル記号 ($) を含める必要があります。要素にドル記号がない場合は、アラートイベントが正しく書式設定されていない可能性があります。

使用するイベントメッセージの形式がわからない場合は、マカフィーカスタマーサポートにお問い合わせください。

「保存」をクリックします。

McAfee Network Security Platform によってアラートイベントが生成されると、指定した syslog の宛先に転送されます。ログソースは、McAfee Network Security Platform アプライアンスによって十分なイベントが転送されると自動的に検出されます。通常、ログ・ソースを自動的に検出するには、最低でも 25 個のイベントが必要です。

管理者は JSA コンソールにログインし、ログソースが JSA コンソールで作成され、[ ログアクティビティ ] タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。

McAfee Network Security Platform 6.x - 7.x のアラートイベントの設定

McAfee Network Security Platform からアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。

McAfee Intrushield Manager のユーザーインターフェースにログインします。
「ネットワーク・セキュリティ・マネージャ」ダッシュボードで、「構成」をクリックします。
「リソース・ツリー」を展開し、「 IPS設定」ノードをクリックします。
「アラート通知」タブをクリックします。
[ アラート通知(Alert Notification )] メニューの [ Syslog ] タブをクリックします。

次のパラメーターを構成して、アラート通知イベントを転送します。

表 3: McAfee Network Security Platform 6.x - 7.x のアラート通知パラメーター
パラメーター	形容
Syslog通知の有効化	[ はい ] を選択して、McAfee Network Security Platform の syslog 通知を有効にします。イベントを JSAに転送するには、このオプションを有効にする必要があります。
管理ドメイン	次のいずれかのオプションを選択します。現在のこのチェックボックスをオンにすると、現在のドメインのアラートのsyslog通知が送信されます。このオプションはデフォルトで選択されています。子供このチェックボックスをオンにすると、現在のドメイン内の子ドメインのアラートのsyslog通知が送信されます。
サーバー名または IP アドレス	JSA コンソールまたはイベントコレクタの IP アドレス。このフィールドは、IPv4 アドレスと IPv6 アドレスの両方をサポートします。
UDP ポート	syslogイベントのUDPポートとして `514` を入力します。
施設	syslog ファシリティの値を選択します。
重大度マッピング	値を選択して、情報、低、中、高のアラート通知レベルを syslog 重大度にマップします。オプションには、次のレベルが含まれます。緊急システムがダウンしているか、使用できない。アラートシステムでは、即時のユーザー入力または介入が必要です。危ういシステムは、重大な状態に対して修正する必要があります。エラー緊急性のない障害がシステムに発生している。警告システムには、差し迫ったエラーを示す警告メッセージが表示されます。告知システムには通知があり、すぐにアクションする必要はありません。情報通常の操作メッセージ。
次の場合に通知を送信する	次のチェックボックスをオンにします。攻撃定義では、この通知オプションが明示的に有効になっています次の通知フィルターが一致し、一覧から [重大度情報以降] を選択します。
IPS検疫アラートで通知	[IPS 検疫の通知(Notify on IPS quarantine)] オプションとして [いいえ(No )] を選択します。
メッセージ設定	「カスタマイズ」オプションを選択します。

「メッセージ設定」フィールドから、「編集」をクリックして、カスタム・メッセージ・フィルタを追加します。
アラート通知の形式を正しくするには、次のメッセージ文字列を入力します。
手記：
カスタムメッセージ文字列は、キャリッジリターンやスペースを含まない 1 行で入力する必要があります。McAfee Network Security Platform では、カスタムメッセージの形式では、各アラート要素の前後に区切り記号としてドル記号 ($) が含まれていることを想定しています。要素にドル記号がない場合は、アラートイベントが正しく書式設定されていない可能性があります。

カスタムメッセージ文字列を 1 行として適切に書式設定するために、テキストエディターが必要になる場合があります。
「保存」をクリックします。

McAfee Network Security Platform によってアラートイベントが生成されると、指定した syslog の宛先に転送されます。ログソースは、McAfee Network Security Platform アプライアンスによって十分なイベントが転送されると自動的に検出されます。通常、ログ・ソースを自動的に検出するには、最低でも 25 個のイベントが必要です。

McAfee Network Security Platform 8.x - 10.x のアラートイベントの設定

McAfee Network Security Platform からアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。

McAfee Network Security Platform Manager のユーザーインターフェイスにログインします。
「マネージャ」タブをクリックします。
ナビゲーションメニューから [ Setup > Notification > IPS Events > Syslog] を選択します。
[ Syslog 通知の有効化(Enable Syslog Notification )] ペインで、[ はい(Yes)] を選択します。
「保存」をクリックします。
[ Syslog ] ページで、[ 新規] をクリックします。バージョン 10.x を使用している場合は、[+] 記号をクリックします。

[ Syslog 通知プロファイルの追加(Add a Syslog Notification Profile )] ページで、次のパラメータを設定します。

表 4: McAfee Network Security Platform 8.x - 10.x Syslog 通知プロファイルパラメーター
パラメーター	形容
管理ドメイン	次のいずれかのオプションを選択します。 [現在 ] - 現在のドメインのアラートの syslog 通知を送信します。このオプションはデフォルトで選択されています。子 - 現在のドメイン内のすべての子ドメインに関するアラートを含めます。(NTBAには適用されません)
通知プロファイル名	通知の送信元のプロファイルの名前。
ターゲットサーバー	サーバープロファイルを追加します。 [ 追加] をクリックします。ターゲット・サーバー・プロファイル名を入力します。 JSAコンソールまたはイベント・コレクタのIPアドレスを入力します。「プロトコル」リストから「 UDP」を選択します。 [ポート] フィールドに「514」と入力します。「保存」をクリックします。
施設	リストから syslog ファシリティ値を選択します。
重大度マッピング	値を選択して、情報、低、中、高のアラート通知レベルを syslog 重大度にマップします。 Emergency(緊急 ) - システムがダウンしているか、使用できません。アラート - システムには、即時のユーザー入力または介入が必要です。重大 - システムは重大な状態に対して修正する必要があります。 Error - システムに緊急性のない障害が発生しています。警告 - システムには、差し迫ったエラーを示す警告メッセージが表示されます。通知 - システムには通知があり、即時のアクションは必要ありません。情報 - 通常の操作メッセージ。デバッグ - デバッグレベルのメッセージ。
すべてのアラートを通知	このオプションを有効にします。
検疫イベントの通知	このオプションを無効にします。
メッセージ	アラート通知の形式を正しくするには、次のメッセージ文字列を入力します。 \|$IV_ALERT_ID$\|$IV_ALERT_TYPE$\|$IV_ATTACK_TIME$ \|"$IV_ATTACK_NAME$"\|$IV_ATTACK_ID$\|$IV_ATTACK_SEVERITY$ \|$IV_ATTACK_SIGNATURE$\|$IV_ATTACK_CONFIDENCE$\|$IV_ADMIN_DOMAIN$ \|$IV_SENSOR_NAME$\|$IV_INTERFACE$\|$IV_SOURCE_IP$\|$IV_SOURCE_PORT$ \|$IV_DESTINATION_IP$\|$IV_DESTINATION_PORT$\|$IV_DIRECTION$ \|$IV_SUB_CATEGORY$ 手記：カスタムメッセージ文字列は、キャリッジリターンやスペースを含まない 1 行で入力する必要があります。McAfee Network Security Platform では、カスタムメッセージの形式では、各アラート要素の前後に区切り記号としてドル記号 ($) が含まれていることを想定しています。要素にドル記号がない場合は、アラートイベントが正しく書式設定されていない可能性があります。カスタムメッセージ文字列を 1 行として適切に書式設定するために、テキストエディターが必要になる場合があります。

「保存」をクリックします。

新しい通知プロファイルが [Syslog] ページに表示されます。McAfee Network Security Platform によってアラートイベントが生成されると、指定した syslog の宛先に転送されます。ログソースは、McAfee Network Security Platform アプライアンスによって十分なイベントが転送されると、JSA で自動的に検出されます。通常、ログ・ソースを自動的に検出するには、最低でも 25 個のイベントが必要です。

管理者は JSA コンソールにログインし、ログソースが JSA コンソールで作成され、[ログアクティビティ] タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。

McAfee Network Security Platform 6.x - 7.x の障害通知イベントの設定

障害通知を McAfee Network Security Platform と統合するには、障害通知イベントを転送するように McAfee Network Security Platform を構成する必要があります。

McAfee Intrushield Manager のユーザーインターフェースにログインします。
「ネットワーク・セキュリティ・マネージャ」ダッシュボードで、「構成」をクリックします。
「リソース・ツリー」を展開し、「 IPS設定」ノードをクリックします。
「障害通知」タブをクリックします。
[ アラート通知(Alert Notification )] メニューから、[ Syslog ] タブをクリックします。

障害通知イベントを転送するには、次のパラメーターを設定します。

表 5: McAfee Intrushield 6.x - 7.x 障害通知パラメーター
パラメーター	形容
Syslog通知の有効化	[ はい ] を選択して、McAfee Network Security Platform の syslog 通知を有効にします。イベントを JSAに転送するには、このオプションを有効にする必要があります。
管理ドメイン	次のいずれかのオプションを選択します。現在のこのチェックボックスをオンにすると、現在のドメインのアラートのsyslog通知が送信されます。このオプションはデフォルトで選択されています。子供このチェックボックスをオンにすると、現在のドメイン内の子ドメインのアラートのsyslog通知が送信されます。
サーバー名または IP アドレス	JSAコンソールまたはイベントコレクタのIPアドレスを入力します。このフィールドは、IPv4 アドレスと IPv6 アドレスの両方をサポートします。
港	syslog イベントのポートとして「514 」と入力します。
設備	syslog ファシリティの値を選択します。
重大度マッピング	値を選択して、情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングします。オプションには、次のレベルが含まれます。緊急システムがダウンしているか、使用できない。アラートシステムでは、即時のユーザー入力または介入が必要です。危ういシステムは、重大な状態に対して修正する必要があります。エラー緊急性のない障害がシステムに発生している。警告システムには、差し迫ったエラーを示す警告メッセージが表示されます。告知システムには通知があり、すぐにアクションする必要はありません。情報通常の操作メッセージ。
重大度レベルの前方障害	[情報と後で] を選択します。

「メッセージ設定」フィールドから、「編集」をクリックして、カスタム・メッセージ・フィルタを追加します。
障害通知の形式が正しいことを確認するには、次のメッセージ文字列を入力します。

|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|

手記：
カスタムメッセージ文字列は、キャリッジリターンのない 1 行として入力する必要があります。McAfee Network Security Platform では、カスタムメッセージの syslog 情報の形式では、各要素の前後にドル記号 ($) の区切り文字が含まれていることを想定しています。要素にドル記号がない場合、イベントが正しく解析されない可能性があります。
「保存」をクリックします。

障害イベントは、McAfee Network Security Platform によって生成されると、指定した syslog の宛先に転送されます。

JSA コンソールにログインし、[ログアクティビティ] タブに McAfee Network Security Platform アプライアンスからの障害イベントが含まれていることを確認できます。

McAfee Network Security Platform 8.x - 10.x の障害通知イベントの設定

障害通知を McAfee Network Security Platform と統合するには、障害通知イベントを転送するように McAfee Network Security Platform を構成する必要があります。

McAfee Network Security Platform Manager のユーザーインターフェイスにログインします。
「マネージャ」タブをクリックします。
ナビゲーションメニューから [ Setup > Notification > Faults > Syslog] を選択します。

[ Syslog ] ページで、次のパラメータを設定して障害通知イベントを転送します。

表 6: McAfee Network Security Platform 8.x - 10.x の障害通知パラメーター
パラメーター	形容
Syslog通知の有効化	[ はい ] を選択して、McAfee Network Security Platform の syslog 通知を有効にします。イベントをJSAに転送するには、このオプションを有効にする必要があります。
管理ドメイン	次のいずれかのオプションを選択します。 [現在(Current )]:現在のドメインのアラートの syslog 通知を送信するには、このチェックボックスをオンにします。このオプションはデフォルトで選択されています。子 - 現在のドメイン内の子ドメインのアラートの syslog 通知を送信するには、このチェックボックスをオンにします。
サーバー名または IP アドレス	JSAコンソールまたはイベント・コレクタのIPアドレスを入力します。このフィールドは、IPv4 アドレスと IPv6 アドレスの両方をサポートします。
港	syslog イベントのポートとして「514 」と入力します。
設備	syslog ファシリティの値を選択します。
重大度マッピング	値を選択して、情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングします。オプションには、次のレベルが含まれます。 Emergency(緊急 ) - システムは使用できません。アラート - システムには、即時のユーザー入力または介入が必要です。重大 - システムは重大な状態に対して修正する必要があります。 Error - システムに緊急性のない障害が発生しています。警告 - エラーが差し迫っていることを示す警告メッセージが表示されます。通知 - システムには通知があり、即時のアクションは必要ありません。情報 - 通常の操作メッセージ。デバッグ - デバッグレベルのメッセージ。
転送障害	[情報と後で] を選択します。

「メッセージ設定」フィールドから、「編集」をクリックして、カスタム・メッセージ・フィルタを追加します。
障害通知の形式が正しいことを確認するには、次のメッセージ文字列を入力します。

|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|

手記：
カスタムメッセージ文字列は、キャリッジリターンのない 1 行として入力する必要があります。McAfee Network Security Platform では、カスタムメッセージの syslog 情報の形式では、各要素の前後にドル記号 ($) の区切り文字が含まれていることを想定しています。要素にドル記号がない場合、イベントが正しく解析されない可能性があります。
「保存」をクリックします。

障害イベントは、McAfee Network Security Platform によって生成されると、指定した syslog の宛先に転送されます。

JSA コンソールにログインし、[ ログアクティビティ ] タブに McAfee Network Security Platform アプライアンスからの障害イベントが含まれていることを確認できます。

McAfee Network Security Platform のサンプルイベントメッセージ

これらのサンプルイベントメッセージを使用して、JSAとの統合が成功したことを確認します。

手記：

書式設定の問題により、メッセージ形式をテキストエディタに貼り付けてから、キャリッジリターンまたは改行文字を削除します。

Syslog プロトコルを使用する場合の McAfee Network Security Platform のサンプルメッセージ

サンプル 1: 次のサンプルイベントメッセージは、HTTP ログインのブルートフォースが検出されたことを示しています。

表 7: 強調表示された JSA フィールドと強調表示されたペイロードデータ
JSAフィールド名	強調表示されたペイロードデータ
日付	2014-02-07 11:06:49 EST
イベント ID	0x0040256b
元 IP	192.168.0.5
宛先 IP	10.0.1.2
宛先ポート	80

サンプル 2: 次のサンプルイベントメッセージは、ユーザーアカウントが作成されていることを示しています。

表 8: 強調表示された JSA フィールドと強調表示されたペイロードデータ
JSAフィールド名	強調表示されたペイロードデータ
日付	2020-03-26 07:48:49 CET
イベント ID	ユーザーアカウントの作成に成功しました

項目一覧

McAfee Network Security Platform (旧 McAfee Intrushield)

McAfee Network Security Platform DSM の仕様

McAfee Network Security Platform 2.x - 5.x のアラート イベントの設定

McAfee Network Security Platform 6.x - 7.x のアラート イベントの設定

McAfee Network Security Platform 8.x - 10.x のアラート イベントの設定

McAfee Network Security Platform 6.x - 7.x の障害通知イベントの設定

McAfee Network Security Platform 8.x - 10.x の障害通知イベントの設定

McAfee Network Security Platform のサンプル イベント メッセージ

Syslog プロトコルを使用する場合の McAfee Network Security Platform のサンプル メッセージ

McAfee Network Security Platform 2.x - 5.x のアラートイベントの設定

McAfee Network Security Platform 6.x - 7.x のアラートイベントの設定

McAfee Network Security Platform 8.x - 10.x のアラートイベントの設定

McAfee Network Security Platform のサンプルイベントメッセージ

Syslog プロトコルを使用する場合の McAfee Network Security Platform のサンプルメッセージ