McAfee Web ゲートウェイ
McAfee Web ゲートウェイを JSA と統合するように設定できます。
次のいずれかの方法を使用します。
McAfee Web ゲートウェイは、以前は McAfee WebWasher として知られていました。
次の表は、McAfee Web Gateway DSM の仕様を示しています。
| 仕様 |
値 |
|---|---|
| メーカー |
マカフィー |
| Dsm |
McAfee Web ゲートウェイ |
| RPM ファイル名 |
DSM-McAfeeWebGateway-jsaversion-buildnumber.noarch |
| サポートされているバージョン |
v6.0.0以降 |
| プロトコル |
Syslog、ログ ファイル プロトコル |
| Jsa 記録されたイベント |
関連するすべてのイベント |
| 自動的に検出 |
はい |
| ID を含む |
いいえ |
| 詳細 |
McAfee Web サイト(http://www.mcafee.com) |
McAfee Web ゲートウェイ DSM 統合プロセス
McAfee Web Gateway DSM と JSA を統合できます。
次の手順を使用します。
-
Juniper Downloads から McAfee Web Gateway DSM RPM の最新バージョンをダウンロードして、JSA コンソールにインストールします。
-
McAfee Web Gateway の各インスタンスについて、 JSA との通信を有効にするように McAfee Web ゲートウェイ VPN システムを構成します。
-
JSA がログ ソースを自動的に検出しない場合は、統合する各 McAfee Web ゲートウェイ サーバーについて、JSA コンソールでログ ソースを作成します。
-
McAfee Web Gateway v7.0.0 以降を使用する場合は、イベント マップを作成します。
JSA と通信するための McAfee Web ゲートウェイの設定(syslog)
McAfee Web ゲートウェイからすべてのイベントを収集するには、syslog サーバーとして JSA を指定し、メッセージ形式を設定する必要があります。
-
McAfee Web ゲートウェイ コンソールにログインします。
-
ツールバーの [構成] をクリックします。
-
[ ファイル エディター] タブをクリックします。
-
アプライアンス ファイルを展開し、/etc/rsyslog.conf ファイルを選択します。
ファイル エディターは、編集用に rsyslog.conf ファイルを表示します。
-
rsyslog.conf ファイルを変更して、以下の情報を含めます。
# send access log to qradar *.info; daemon.!=info; mail.none;authpriv.none; cron.none -/var/log/messages *.info;mail.none; authpriv.none; cron.none @<IP Address>:<Port>
どこ:
-
IP Address<>は JSA の IP アドレスです。
-
Port<>は syslog ポート番号(例:514)です。
-
-
[ 変更を保存] をクリックします。
これで、McAfee Web ゲートウェイ アプライアンスで syslog ハンドラー用のポリシーをインポートする準備ができました。詳細については、 Syslog ログ ハンドラーのインポートを参照してください。
Syslog ログ ハンドラーのインポート
syslog ハンドラーのポリシー ルール セットをインポートするには、以下の手順にしたがっています。
-
サポート Web サイトから、以下の圧縮ファイルをダウンロードします。
log_handlers-1.1.tar.gz
-
ファイルを抽出します。
抽出ファイルは、McAfee Web Gateway アプライアンスにバージョン依存の XML ファイルを提供します。
表 2:McAfee Web ゲートウェイに必要なログ ハンドラー ファイル バージョン
必要な XML ファイル
McAfee Web ゲートウェイ V7.0
syslog_loghandler_70.xml
McAfee Web ゲートウェイ V7.3
syslog_loghandler_73.xml
-
McAfee Web ゲートウェイ コンソールにログインします。
-
メニューツールバーを使用して、 ポリシーをクリックします。
-
[ ログ ハンドラー] をクリックします。
-
メニュー ツリーを使用して、 既定を選択します。
-
[追加] リストから [ライブラリからルール セット] を選択します。
-
[ ファイルからインポート ] ボタンをクリックします。
-
ダウンロードしたsyslog_handlerファイルが含まれるディレクトリに移動し、インポートするファイルとして syslog_loghandler.xml を選択します。
メモ:McAfee Webゲートウェイアプライアンスがルールセットとの競合を検出した場合、その競合を解決する必要があります。詳細については、 McAfee Webゲートウェイのドキュメントをご覧ください。
-
[ OK] をクリックします。
-
[ 変更を保存] をクリックします。
-
これで、JSA でログ ソースを設定する準備が整いました。
JSA は、McAfee Web ゲートウェイ アプライアンスから syslog イベントを自動的に検出します。
syslog イベントを受信するように JSA を手動で設定する場合は、[ ログ ソース タイプ ] リストから [McAfee Web Gateway] を選択します。
MCAfee Web ゲートウェイが JSA と通信するための設定(ログ ファイル プロトコル)
McAfee Web Gateway アプライアンスには、 JSA による取得用にイベント ログ ファイルを暫定ファイル サーバーに転送するオプションが用意されています。
-
サポート Web サイトから、以下のファイルをダウンロードします。
log_handlers-1.1.tar.gz
-
ファイルを抽出します。
これにより、McAfee Web ゲートウェイ アプライアンスの構成に必要なアクセス ハンドラー ファイルが提供されます。
access_log_file_loghandler.xml
-
McAfee Web ゲートウェイ コンソールにログインします。
-
メニューツールバーを使用して、 ポリシーをクリックします。
メモ:McAfee Webゲートウェイアプライアンスに既存のアクセスログ設定がある場合は、access_log_file_loghandler.xmlを追加する前にルールセットライブラリから既存のアクセスログを削除する必要があります。
-
[ ログ ハンドラー] をクリックします。
-
メニュー ツリーを使用して、 既定を選択します。
-
[追加] リストから [ライブラリからルール セット] を選択します。
-
[ ファイルからインポート ] ボタンをクリックします。
-
ダウンロードした access_log_file_loghandler.xml ファイルが含まれるディレクトリに移動し、インポートするファイルとして syslog_loghandler.xml を選択します。
access_log_file_loghandler.xml に対してルール セットをインポートすると、現在の設定にすでにアクセス ログ構成が存在し、コンフリクト ソリューションが提示されていることを示すコンフリクトが発生する可能性があります。
-
McAfee Webゲートウェイアプライアンスが、アクセスログ設定が既に存在することを検出した場合は、 コンフリクトソリューション:表示される 名前の変更 オプションを選択してルールセットの競合を解決します。
競合の解決の詳細については、 McAfee Webゲートウェイベンダーのドキュメントを参照してください。
自動ローテーションで、 access.log ファイルを暫定サーバーにプッシュするように設定する必要があります。 access.log ファイルの時間またはサイズに基づいて、ファイルを暫定サーバーにプッシュしても問題ではありません。自動ローテーションの詳細については、 McAfee Web Gateway ベンダーのドキュメントをご覧ください。
メモ:生成される access.log ファイルのサイズにより、McAfee Web Gate アプライアンスでローテーション後にオプション GZIP ファイルを選択することをお勧めします。
-
[ OK] をクリックします。
-
[ 変更を保存] をクリックします。
メモ:デフォルトでは、McAfee Web Gateway は /opt/mwg/log/user-defined-logs/access.log/ ディレクトリにアクセス ログ を書き込むよう設定されています。
これで、McAfee Web ゲートウェイから access.log ファイルを受信するように JSA を構成する準備ができました。詳細については、 ログファイルプロトコルを使用したデータのプルを参照してください。
ログファイルプロトコルを使用したデータのプル
ログ ファイル プロトコル ソースにより、 JSA はアーカイブされたログ ファイルをリモート ホストから取得できます。McAfee Web Gateway DSM は、ログ ファイル プロトコル ソースを使用して access.log ファイルの一括読み込みをサポートします。McAfee Webゲートウェイアクセスログのデフォルトディレクトリは 、/opt/mwg/log/user-defined-logs/access.log/ ディレクトリです。
JSA でログ ソースとプロトコルを設定できるようになりました。
-
McAfee Web ゲートウェイ アプライアンスからイベントを受信するように JSA を構成するには、[ログ ソース タイプ] リストから [McAfee Web Gateway] を選択します。
-
プロトコルを設定するには、プロトコル設定リストからログファイルオプションを選択する必要があります。
-
ファイル パターン パラメーターを設定するには、access[0-9]+\.log などの access.log ファイルの正規表現文字列を入力する必要があります。
メモ:GZIP に選択した場合は、access.log ファイルは、FIle パターン フィールドを入力access[0-9]+\.log\.gzする必要がありますと、[プロセッサ] ボックスの一覧から GZIP を選択します。
McAfee Web ゲートウェイ イベント用イベント マップの作成
McAfee Web Gateway v7.0.0 以降から収集したすべてのイベントには、イベント マッピングが必要です。
デバイスの各イベントを JSA のイベント カテゴリに個別にマッピングできます。イベントのマッピングにより、 JSA はネットワーク デバイスから定期的なイベントを特定、結合、追跡できます。イベントをマッピングするまで、McAfee Web Gateway の [ ログ アクティビティ ] タブに表示される一部のイベントは 、 に Unknown分類され、一部のイベントは既に既存の QID マップに割り当てられている場合があります。未知のイベントは、 簡単にイベント名 列として識別され、 低レベルのカテゴリー 列が表示されます Unknown。
未知のイベントの発見
この手順により、すべてのイベント タイプをマップし、頻繁に生成されないイベントを見逃さないことを確認し、この手順を 1 つの期間にわたって何度も繰り返します。
-
JSAにログインします。
-
[ ログ アクティビティ ] タブをクリックします。
-
[ フィルターの追加] をクリックします。
-
最初のリストから[ ログ ソース]を選択します。
-
[ ログ ソース グループ ] リストから、ログ ソース グループまたは [その他] を選択します。
グループに割り当てられないログ ソースは、「 その他」に分類されます。
-
[ ログ ソース ] リストから、McAfee Web ゲートウェイのログ ソースを選択します。
-
[ フィルターの追加] をクリックします。
[ログ アクティビティ] タブは、ログ ソースのフィルターとともに表示されます。
-
[表示] リストから [最終時間] を選択します。
McAfee Web ゲートウェイ DSM によって過去 1 時間に生成されたイベントが表示されます。[イベント名] 列または [低レベル のカテゴリ] 列に として
Unknown表示されるイベントには、イベントマッピングが必要です。メモ:[条件の保存] をクリックすると、既存の検索フィルターを 保存できます。
これで、イベント マップを変更する準備ができました。
イベント マップの変更
イベント マップを変更して、イベントを JSA 識別子 (QID)マップに手動で分類します。
ログソースに分類されたイベントは、新しい JSA識別子 (QID)に再マッピングできます。
ログ ソースが定義されていないイベントは、イベントにマッピングできません。[ログ ソース] 列にログ ソースのないイベントが表示されますSIM Generic Log。
-
[ イベント名] 列で、McAfee Web ゲートウェイの不明なイベントをダブルクリックします。
詳細なイベント情報が表示されます。
-
[ マップ イベント] をクリックします。
-
[ JSA 識別子 の参照] ウィンドウで、次の検索オプションのいずれかを選択して、 JSA 識別子 (QID)のイベント カテゴリを絞り込みます。
-
[上位レベルのカテゴリ] リストから、上位レベルのイベント分類を選択します。
-
[下位レベルのカテゴリ] リストから、下位レベルのイベント分類を選択します。
-
[ ログ ソース タイプ ] リストから、ログ ソース タイプを選択します。
「ログ・ソース・タイプ」リストには、他のログ・ソースからのQIDを検索するためのオプションが用意されています。イベントが他の既存のネットワーク デバイスと類似している場合に、ログ ソースで QID を検索すると便利です。たとえば、McAfee Web Gateway がポリシー イベントを提供している場合、同様のイベントをキャプチャする可能性のある別の製品を選択できます。
名前で QID を検索するには、[ QID/名前 ] フィールドに名前を入力します。
QID/Name フィールドには、特定の単語(ポリシーなど)のQIDの完全なリストをフィルタリングするオプションが用意されています。
-
-
[ 検索] をクリックします。
QIDのリストが表示されます。
-
不明なイベントに関連付ける QID を選択します。
-
[ OK] をクリックします。
JSA は、デバイスから転送される追加のイベントを、イベント ペイロードと一致する同じ QID でマッピングします。イベント数は、イベントが JSA によって識別されるたびに増加します。
新しい JSA 識別子 (QID)マップでイベントを更新した場合、 JSA に保存されている過去のイベントは更新されません。新しいイベントのみが新しい QID で分類されます。
McAfee Webゲートウェイのサンプルイベントメッセージ
このサンプル イベント メッセージを使用して、JSA との統合が成功したことを確認します。
書式設定の問題により、メッセージ形式をテキスト エディタに貼り付け、キャリッジ リターンまたは改行文字を削除します。
Syslog プロトコルを使用する場合の McAfee Web ゲートウェイ サンプル メッセージ
次のサンプル イベント メッセージは、Web アクセスが検証されていることを示しています。
<30>Oct 13 15:59:02 WebGatewayHost mwg: LEEF:1.0|McAfee|Web Gateway|8.2.9|0|devTime=1602597542000| src=10.10.10.10|usrName=user1|httpStatus=204|dst=10.20.10.20|urlCategories=Messaging|blockReason=| url=https://www.example.com/rt-pub/node/hub/negotiate? appId=180&sId=4A87EE607A615896&cId=8B1D&dev=Personal %20computer&br=Chrome&os=Windows&cc=IT&rc=RM&v=0.1
| JSAフィールド名 |
イベント ペイロードのハイライトされた値 |
|---|---|
| イベント ID |
0 |
| イベントカテゴリー |
このDSMには、ペイロード内のデバイスのキーからキーまでのカテゴリフィールドはありません。JSA は静的カテゴリーとして値を提供します。 |
| ソース IP |
Src |
| 宛先 IP |
Dst |
| 名 |
usrName |