このページで
McAfee ネットワーク セキュリティ プラットフォーム(旧 McAfee Intrushield)
JSA McAfee ネットワーク セキュリティー プラットフォーム DSM は、McAfee ネットワーク セキュリティー プラットフォーム デバイスから syslog イベントを収集します。JSAは、関連するすべてのイベントを記録します。
McAfee ネットワーク セキュリティ プラットフォームと JSA を統合するには、次の手順を実行します。
自動更新が有効になっていない場合、RPM は 「Juniper Downloads」からダウンロードできます。JSA コンソールに以下の RPM の最新バージョンをダウンロードしてインストールします。
DSM Common RPM
McAfee ネットワーク セキュリティー プラットフォーム、DSM RPM
McAfee ネットワーク セキュリティ プラットフォーム デバイスが JSA にイベントを送信するように設定するには、McAfee ネットワーク セキュリティ プラットフォーム デバイスのバージョンを選択します。
JSA がログ ソースを自動的に検出しない場合は、JSA コンソールに McAfee ネットワーク セキュリティ プラットフォームのログ ソースを追加します。
McAfee ネットワーク セキュリティー プラットフォーム DSM の仕様
McAfee ネットワーク セキュリティー プラットフォームを構成する場合、McAfee ネットワーク セキュリティー プラットフォームの DSM の仕様を理解することで、統合を成功させることができます。たとえば、McAfee ネットワーク セキュリティ プラットフォームのサポート対象バージョンを把握してから開始すると、設定プロセスにおけるフラストレーションを軽減できます。
次の表は、McAfee ネットワーク セキュリティー プラットフォーム DSM の仕様を示しています。
仕様 |
値 |
|---|---|
メーカー |
マカフィー |
DSM 名 |
McAfee ネットワーク セキュリティ プラットフォーム |
RPM ファイル名 |
Dsm-McAfeeNetworkSecurityPlatform - QRadar_version-build_number.noarch.rpm |
サポートされているバージョン |
2.x~ 10.x |
プロトコル |
Syslog |
記録されたイベントタイプ |
|
自動的に検出されましたか? |
はい |
アイデンティティが含まれますか? |
いいえ |
カスタム プロパティを含む |
いいえ |
詳細 |
McAfee ネットワーク セキュリティ プラットフォームのアラート イベントの設定 2.x~ 5.x
McAfee ネットワーク セキュリティー プラットフォームからアラート通知イベントを収集するには、管理者が イベントを JSA に送信するように syslog フォワーダを構成する必要があります。
McAfee ネットワーク セキュリティ プラットフォームからアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。
McAfee Network Security Platform Manager ユーザー インターフェイスにログインします。
Network Security Manager ダッシュボードで、[構成] をクリックします。
リソース ツリーから、ルート ノード(Admin-Domain-Name)をクリックします。
[ アラート通知>Syslog Forwarder] をクリックします。
Syslog サーバーの詳細パラメーターを設定します。
パラメーター
値
Syslog フォワーダを有効にする
はい
ポート
514
[ 編集] をクリックします。
以下のいずれかのバージョンを選択します。
表 2:McAfee ネットワーク セキュリティ プラットフォーム 2.x - 5.x カスタム メッセージ形式 バージョン
説明
パッチ未適用の McAfee ネットワーク セキュリティー プラットフォーム 2.x システム
|$ALERT_ID$|$ALERT_TYPE$|$ATTACK_TIME$|"$ATTACK_NAME$" |$ATTACK_ID$|$ATTACK_SEVERITY$|$ATTACK_SIGNATURE$ |$ATTACK_CONFIDENCE$|$ADMIN_DOMAIN$|$SENSOR_NAME$ |$INTERFACE$|$SOURCE_IP$|$SOURCE_PORT$|$DESTINATION_IP$ |$DESTINATION_PORT$|
3.x~ 5.x への更新にパッチを適用した McAfee ネットワーク セキュリティー プラットフォーム
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$" |$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$ |$IV_ATTACK_CONFIDENCE$ |$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$ |$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|
メモ:カスタム メッセージ文字列は、キャリッジ リターンやスペースを含まない 1 行として入力する必要があります。ソフトウェア パッチが適用されていない McAfee ネットワーク セキュリティー プラットフォーム アプライアンスでは、パッチが適用されたシステムから異なるメッセージ文字列が使用されます。カスタム メッセージの形式には、それぞれのアラート 要素の前後に区切り記号としてドル記号($)を含む必要があります。要素のドル記号が見つからない場合は、アラート イベントが正しくフォーマットされていない可能性があります。
使用するイベント メッセージ形式がわからない場合は、McAfee カスタマー サポートにお問い合わせください。
[ 保存] をクリックします。
McAfee ネットワーク セキュリティ プラットフォームによってアラート イベントが生成されると、指定した syslog の宛先に転送されます。McAfee ネットワーク セキュリティ プラットフォーム アプライアンスによって十分なイベントが転送されると、ログ ソースが自動的に検出されます。通常、ログ ソースを自動的に検出するのに 25 以上のイベントが必要です。
管理者は 、JSA コンソール にログインし、ログ ソースが JSA コンソール で作成されていること、および [ ログ アクティビティ ] タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。
McAfee ネットワーク セキュリティ プラットフォームのアラート イベントの設定 6.x ~ 7.x
McAfee ネットワーク セキュリティー プラットフォームからアラート通知イベントを収集するには、管理者が イベントを JSA に送信するように syslog フォワーダを構成する必要があります。
McAfee ネットワーク セキュリティ プラットフォームからアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。
McAfee Intrushield Manager ユーザー インターフェイスにログインします。
Network Security Manager ダッシュボードで、[構成] をクリックします。
[ リソース ツリー ] を展開し、[ IPS 設定] ノードをクリックします。
[ アラート通知 ] タブをクリックします。
[ アラート通知 ] メニューの [ Syslog ] タブをクリックします。
以下のパラメーターを設定して、アラート通知イベントを転送します。
表 3:McAfee ネットワーク セキュリティー プラットフォーム 6.x ~ 7.x アラート通知パラメーター パラメーター
説明
Syslog通知を有効にする
McAfee ネットワーク セキュリティ プラットフォームの syslog 通知を有効にするには、[ はい ] を選択します。 JSA にイベントを転送するには、このオプションを有効にする必要があります。
管理ドメイン
以下のいずれかのオプションを選択します。
現在の現在のドメインのアラートに対して syslog 通知を送信する場合は、このチェック ボックスをオンにします。このオプションは、デフォルトで選択されています。
子供現在のドメイン内のすべての子ドメインにアラートの syslog 通知を送信する場合は、このチェック ボックスをオンにします。
サーバー名または IP アドレス
JSA コンソールまたはイベント コレクターの IP アドレス。このフィールドは、IPv4とIPv6の両方のアドレスをサポートします。
UDP ポート
syslogイベントのUDPポートとしてを入力します 514 。
施設
syslog ファシリティ値を選択します。
重大度マッピング
情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングする値を選択します。
オプションには、以下のレベルが含まれます。
緊急システムがダウンしているか使用できない。
警告システムは、ユーザーの入力や操作を即座に行う必要があります。
重要クリティカルな状態に対してシステムを修正する必要があります。
エラーシステムには緊急ではない障害があります。
警告システムに、差し迫ったエラーを示す警告メッセージが表示されます。
通知システムには通知があり、即時のアクションは必要ありません。
情報通常の動作メッセージ。
通知を送信する場合
次のチェック ボックスをオンにします。
攻撃定義には、この通知オプションが明示的に有効になっています。
以下の通知フィルターが一致し、一覧から [重大度情報] 以降を選択します。
IPS 隔離アラートでの通知
[IPS 隔離の通知] オプションとして [ いいえ] を選択します。
メッセージ優先度
[カスタマイズ] オプションを選択します。
「メッセージ設定」フィールドで、「編集」をクリックしてカスタム・メッセージ・フィルターを追加します。
アラート通知が正しくフォーマットされていることを確認するには、以下のメッセージ文字列を入力します。
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
メモ:カスタム メッセージ文字列は、キャリッジ リターンやスペースを含まない 1 行として入力する必要があります。McAfee ネットワーク セキュリティ プラットフォームでは、カスタム メッセージの形式には、それぞれのアラート 要素の前後にドル記号($)が区切り文字として含まれることが想定されています。要素にドル記号が見つからない場合は、アラート イベントが正しくフォーマットされていない可能性があります。
カスタム メッセージ文字列を 1 行として適切に書式設定するには、テキスト エディターが必要になる場合があります。
[ 保存] をクリックします。
McAfee ネットワーク セキュリティ プラットフォームによってアラート イベントが生成されると、指定した syslog 宛先に転送されます。McAfee ネットワーク セキュリティ プラットフォーム アプライアンスによって十分なイベントが転送されると、ログ ソースが自動的に検出されます。通常、ログ ソースを自動的に検出するのに 25 以上のイベントが必要です。
管理者は 、JSA コンソール にログインし、ログ ソースが JSA コンソール で作成されていること、および [ ログ アクティビティ ] タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。
McAfee ネットワーク セキュリティー プラットフォーム 8.x~ 10.x のアラート イベントの設定
McAfee ネットワーク セキュリティー プラットフォームからアラート通知イベントを収集するには、管理者がイベントを JSA に送信するように syslog フォワーダを構成する必要があります。
McAfee ネットワーク セキュリティ プラットフォームからアラート通知イベントを収集するには、McAfee Network Security Platform Manager が必要です。
McAfee Network Security Platform Manager ユーザー インターフェイスにログインします。
[ マネージャー ] タブをクリックします。
ナビゲーションメニューから、[ 設定 > 通知 > IPSイベント > Syslogを選択します。
[ Syslog 通知の有効化] ウィンドウで、[ はい] を選択します。
[ 保存] をクリックします。
Syslog ページで 、 新規をクリックします。バージョン 10.x を使用している場合は、+ 記号をクリックします。
[ Syslog 通知プロファイルの追加] ページで、以下のパラメーターを設定します。
表 4:McAfee ネットワーク セキュリティ プラットフォーム 8.x - 10.x Syslog 通知プロファイル パラメーター パラメーター
説明
管理ドメイン
以下のいずれかのオプションを選択します。
現在 - 現在 のドメインのアラートに対して syslog 通知を送信します。このオプションは、デフォルトで選択されています。
子 ドメイン - 現在のドメイン内のすべての子ドメインにアラートを含めます。(NTBA には適用されません)
通知プロファイル名
通知の送信元となるプロファイルの名前。
ターゲット サーバー
サーバー プロファイルを追加します。
[ 追加] をクリックします。
ターゲット サーバー プロファイル名を入力します。
JSA コンソールまたはイベント コレクターの IP アドレスを入力します。
プロトコルリストからUDPを選択します。
「ポート」フィールドに「514」と入力します。
[保存] をクリックします。
施設
リストから syslog ファシリティ値を選択します。
重大度マッピング
情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングする値を選択します。
緊急 - システムがダウンしているか使用不可。
アラート - システムは、ユーザーの入力や操作を即座に行う必要があります。
クリティカル - クリティカル な状態に対してシステムを修正する必要があります。
エラー - システムに緊急ではない障害があります。
警告 - システムに、差し迫ったエラーを示す警告メッセージが表示されます。
通知 - システムに通知があり、即時のアクションは必要ありません。
通知 - 通常の動作メッセージ。
デバッグ - デバッグレベルメッセージ。
すべてのアラートに対する通知
このオプションを有効にします。
隔離イベントに関する通知
このオプションを無効にします。
メッセージ
アラート通知が正しくフォーマットされていることを確認するには、以下のメッセージ文字列を入力します。
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$ |"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$ |$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$ |$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$ |$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$ |$IV_SUB_CATEGORY$
メモ:カスタム メッセージ文字列は、キャリッジ リターンやスペースを含まない 1 行として入力する必要があります。McAfee ネットワーク セキュリティ プラットフォームでは、カスタム メッセージの形式には、それぞれのアラート 要素の前後にドル記号($)が区切り文字として含まれることが想定されています。要素にドル記号が見つからない場合は、アラート イベントが正しくフォーマットされていない可能性があります。
カスタム メッセージ文字列を 1 行として適切に書式設定するには、テキスト エディターが必要になる場合があります。
[ 保存] をクリックします。
新しい通知プロファイルが Syslog ページに表示されます。McAfee ネットワーク セキュリティ プラットフォームによってアラート イベントが生成されると、指定した syslog の宛先に転送されます。McAfee Network Security Platform アプライアンスによって十分な数のイベントが転送された後、ログ ソースは JSA で自動的に検出されます。通常、ログ ソースを自動的に検出するのに 25 以上のイベントが必要です。
管理者は、JSA コンソールにログインし、ログ ソースが JSA コンソールで作成されていること、および [ログ アクティビティ] タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。
McAfee ネットワーク セキュリティ プラットフォームの障害通知イベントの設定 6.x ~ 7.x
McAfee ネットワーク セキュリティー プラットフォームと障害通知を統合するには、障害通知イベントを転送するように McAfee ネットワーク セキュリティー プラットフォームを設定する必要があります。
McAfee Intrushield Manager ユーザー インターフェイスにログインします。
Network Security Manager ダッシュボードで、[構成] をクリックします。
[ リソース ツリー] を展開し、 [ IPS 設定] ノードをクリックします。
[ 障害通知 ] タブをクリックします。
[ アラート通知 ] メニューの [ Syslog ] タブをクリックします。
障害通知イベントを転送するには、以下のパラメーターを設定します。
表 5:McAfee Intrushield 6.x - 7.x 障害通知パラメーター パラメーター
説明
Syslog通知を有効にする
McAfee ネットワーク セキュリティ プラットフォームの syslog 通知を有効にするには、[ はい ] を選択します。 JSA にイベントを転送するには、このオプションを有効にする必要があります。
管理ドメイン
以下のいずれかのオプションを選択します。
現在の現在のドメインのアラートに対して syslog 通知を送信する場合は、このチェック ボックスをオンにします。このオプションは、デフォルトで選択されています。
子供現在のドメイン内のすべての子ドメインにアラートの syslog 通知を送信する場合は、このチェック ボックスをオンにします。
サーバー名または IP アドレス
JSA コンソールまたはイベント コレクターの IP アドレスを入力します。このフィールドは、IPv4とIPv6の両方のアドレスをサポートします。
ポート
syslog イベントのポートとして 514 と入力します。
設備
syslog ファシリティ値を選択します。
重大度マッピング
情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングする値を選択します。
オプションには、以下のレベルが含まれます。
緊急システムがダウンしているか使用できない。
警告システムは、ユーザーの入力や操作を即座に行う必要があります。
重要クリティカルな状態に対してシステムを修正する必要があります。
エラーシステムには緊急ではない障害があります。
警告システムに、差し迫ったエラーを示す警告メッセージが表示されます。
通知システムには通知があり、即時のアクションは必要ありません。
情報通常の動作メッセージ。
重大度レベルでの障害の転送
[ Informational 以降] を選択します。
「メッセージ設定」フィールドで、「編集」をクリックしてカスタム・メッセージ・フィルターを追加します。
障害通知が正しくフォーマットされていることを確認するには、以下のメッセージ文字列を入力します。
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|メモ:カスタム メッセージ文字列は、キャリッジ リターンのない 1 行として入力する必要があります。McAfee ネットワーク セキュリティ プラットフォームでは、カスタム メッセージ syslog 情報の形式には、各要素の前後にドル記号($)区切り記号が含まれることが想定されています。要素のドル記号が見つからない場合、イベントが正しく解析されない可能性があります。
[ 保存] をクリックします。
McAfee ネットワーク セキュリティ プラットフォームによって障害イベントが生成されると、指定した syslog の宛先に転送されます。
JSA コンソールにログインし、[ログ アクティビティ] タブに McAfee Network Security Platform アプライアンスからの障害イベントが含まれていることを確認できます。
McAfee ネットワーク セキュリティ プラットフォームの障害通知イベントの設定 8.x ~ 10.x
McAfee ネットワーク セキュリティー プラットフォームと障害通知を統合するには、障害通知イベントを転送するように McAfee ネットワーク セキュリティー プラットフォームを設定する必要があります。
McAfee Network Security Platform Manager ユーザー インターフェイスにログインします。
[ マネージャー ] タブをクリックします。
ナビゲーションメニューから、[ 設定 > 通知 > 障害 > Syslogを選択します。
Syslog ページで、以下のパラメーターを設定して障害通知イベントを転送します。
表 6:McAfee Network Security Platform 8.x - 10.x 障害通知パラメーター パラメーター
説明
Syslog通知を有効にする
McAfee ネットワーク セキュリティ プラットフォームの syslog 通知を有効にするには、[ はい ] を選択します。JSA にイベントを転送するには、このオプションを有効にする必要があります。
管理ドメイン
以下のいずれかのオプションを選択します。
現在 のドメインのアラートに対して syslog 通知を送信する場合は、このチェック ボックスをオンにします。このオプションは、デフォルトで選択されています。
子 - 現在のドメイン内のすべての子ドメインでアラートに対して syslog 通知を送信する場合は、このチェック ボックスをオンにします。
サーバー名または IP アドレス
JSA コンソールまたはイベント コレクターの IP アドレスを入力します。このフィールドは、IPv4とIPv6の両方のアドレスをサポートします。
ポート
syslog イベントのポートとして 514 と入力します。
設備
syslog ファシリティ値を選択します。
重大度マッピング
情報、低、中、高のアラート通知レベルを syslog の重大度にマッピングする値を選択します。
オプションには、以下のレベルが含まれます。
緊急 - システムは使用できません。
アラート - システムは、ユーザーの入力や操作を即座に行う必要があります。
クリティカル - クリティカル な状態に対してシステムを修正する必要があります。
エラー - システムに緊急ではない障害があります。
警告 - システムに、差し迫ったエラーを示す警告メッセージが表示されます。
通知 - システムに通知があり、即時のアクションは必要ありません。
通知 - 通常の動作メッセージ。
デバッグ - デバッグレベルメッセージ。
前方障害
[ Informational 以降] を選択します。
「メッセージ設定」フィールドで、「編集」をクリックしてカスタム・メッセージ・フィルターを追加します。
障害通知が正しくフォーマットされていることを確認するには、以下のメッセージ文字列を入力します。
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|
メモ:カスタム メッセージ文字列は、キャリッジ リターンのない 1 行として入力する必要があります。McAfee ネットワーク セキュリティ プラットフォームでは、カスタム メッセージ syslog 情報の形式には、各要素の前後にドル記号($)区切り記号が含まれることが想定されています。要素のドル記号が見つからない場合、イベントが正しく解析されない可能性があります。
[ 保存] をクリックします。
McAfee ネットワーク セキュリティ プラットフォームによって障害イベントが生成されると、指定した syslog の宛先に転送されます。
JSA コンソールにログインし、[ ログ アクティビティ ] タブに McAfee Network Security Platform アプライアンスからの障害イベントが含まれていることを確認できます。
McAfee ネットワーク セキュリティー プラットフォームのサンプル イベント メッセージ
これらのサンプル イベント メッセージを使用して、JSA との統合が成功したことを確認します。
書式設定の問題により、メッセージ形式をテキスト エディタに貼り付け、キャリッジ リターンまたは改行文字を削除します。
Syslog プロトコルを使用する場合の McAfee ネットワーク セキュリティー プラットフォームのサンプル メッセージ
サンプル1:以下のサンプルイベントメッセージは、HTTPログイン総当たりが検出されていることを示しています。
<116>Feb 7 11:06:51 SyslogAlertForwarder: |5915530749831189905|Signature| 2014-02-07 11:06:49 EST |"HTTP: HTTP Login Bruteforce Detected"| 0x0040256b |Medium|Unknown|High|My Company|USILSS501| G3/2| 192.168.0.5 |0| 10.0.1.2 | 80 |Unknown|brute-force
JSAフィールド名 |
ハイライトされたペイロード データ |
|---|---|
日付 |
2014-02-07 11:06:49 EST |
イベント ID |
0x0040256b |
ソース IP |
192.168.0.5 |
宛先 IP |
10.0.1.2 |
宛先ポート |
80 |
サンプル 2: 次のサンプル イベント メッセージは、ユーザー アカウントが作成されていることを示しています。
<109>Mar 26 07:48:49 mcafee.test: User Account Creation succeeded at 2020-03-26 07:48:49 CET
JSAフィールド名 |
ハイライトされたペイロード データ |
|---|---|
日付 |
2020-03-26 07:48:49 CET |
イベント ID |
ユーザー アカウントの作成に成功しました。 |