McAfee MVISION Cloud(旧 Skyhigh Networks Cloud Security Platform)
MCAfee MVISIONクラウド向けJSA DSMは、McAfee MVISIONクラウドプラットフォームからログを収集します。
McAfee MVISION クラウドは、以前は Skyhigh Networks Cloud Security Platform として知られていました。
次の表は、McAfee MVISION Cloud DSM の仕様を示しています。
仕様 |
値 |
|---|---|
メーカー |
マカフィー |
DSM名 |
McAfee MVISION クラウド |
RPM ファイル名 |
DSM-SkyhighNetworksCloudSecurityPlatform-JSA_versionbuild_ number.noarch.rpm |
サポートされているバージョン |
2.4 および 3.3 |
プロトコル |
Syslog |
イベント形式 |
リーフ |
記録されたイベントタイプ |
特権アクセス、内部関係者の脅威、侵害されたアカウント、アクセス、管理、データ、ポリシー、監査 |
自動的に検出されましたか? |
はい |
アイデンティティが含まれますか? |
いいえ |
カスタム プロパティを含む |
いいえ |
詳細 |
McAfee MVISION Cloud と JSA を統合するには、次の手順を実行します。
-
自動更新が有効になっていない場合は、 Juniper Downloads から次の RPM の最新バージョンを JSA コンソールにダウンロードしてインストールします。
-
Skyhigh Networks Cloud Security Platform DSM RPM
-
DSMCommon RPM
-
McAfee MVISION クラウド デバイスが syslog イベントを JSA に送信するように構成します。
JSA がログ ソースを自動的に検出しない場合は、JSA コンソールに McAfee MVISION クラウド のログ ソースを追加します。次の表では、McAfee MVISION Cloud イベント収集に固有の値を必要とするパラメーターについて説明します。
表 2:McAfee MVISION クラウド ログ ソース パラメーター パラメーター
値
ログ ソース タイプ
McAfee MVISION クラウド
プロトコル設定
Syslog
ログ ソース識別子
イベントを JSA に送信する McAfee MVISION クラウドの IP アドレスまたはホスト名。
MCAfee MVISION クラウドが JSA と通信するための設定
McAfee エンタープライズ コネクター管理インターフェイスにログインします。
SIEM 統合>エンタープライズ統合を選択します。
以下の SIEM SYSLOG サービス パラメーターを設定します。
パラメーター
値
SIEM サーバー
に
形式
ログ イベント拡張形式(LEEF)
Syslog プロトコル
Tcp
Syslog サーバー
<JSA IP or hostname>
Syslog ポート
514
SIEM への送信
新しい異常のみ
4. [保存] をクリック します。
McAfee MVISION クラウドのサンプル イベント メッセージ
これらのサンプル イベント メッセージを使用して、JSA との統合が成功したことを確認します。
書式設定の問題により、メッセージ形式をテキスト エディタに貼り付け、キャリッジ リターンまたは改行文字を削除します。
Syslog プロトコル使用時の McAfee MVISION クラウド サンプル メッセージ
次のサンプル イベント メッセージは、CAP インシデントが発生したことを示しています。
<14>Dec 21 18:00:47 mcafee.mvision.test LEEF:1.0|McAfee|MVISION Cloud|4.0.2.1-SNAPSHOT| Incident | cat= Alert.Policy.CloudAccess devTimeFormat=MMM dd yyyy HH:mm:ss.SSS zzz devTime= Sep 18 2018 03:28:08.000 UTC usrName= user@user.example.com sev=10 activityName=[Created] actorIdType=USER incidentId=35227 riskSeverity=high collaborationSharedLink=false contentItemHierarchy=Confidential.docx contentItemId=AAAAAAAA1 contentItemName=Confidential.docx informationContentItemParent=Confidential.docx FileSize=29344 contentItemType=FILE externalCollaborators=[] policyId=1 policyName=Enterprise DLP totalMatchCount=0 instanceId=4008 instanceName=Default response=[Deleted] serviceNames=[Slack] status=new updatedOn=Sep 25 2018 09:19:51.480 UTC
JSAフィールド名 |
イベント ペイロードのハイライトされた値 |
|---|---|
イベント ID |
事件 |
イベントカテゴリー |
アラート.Policy.Cloudアクセス |
名 |
user@user.example.com |
デバイスの時刻 |
2018 年 9 月 18 日 03:28:08.000 UTC (日付と時刻のフィールドから抽出) |