McAfee EPolicy 오케스트레이터
McAfee ePolicy Orchestrator용 JSA DSM은 McAfee ePolicy Orchestrator 장치에서 이벤트를 수집합니다.
다음 표에는 McAfee ePolicy Orchestrator DSM의 사양이 나와 있습니다.
사양 |
값 |
|---|---|
생산자 |
맥아피 |
DSM 이름 |
McAfee ePolicy 오케스트레이터 |
RPM 파일 이름 |
DSM-McAfee에포-JSA_version-build_number.noarch.rpm |
지원되는 버전 |
3.5에서 5.10 |
프로토콜 |
JDBC - 버전 3.5 - 5.9 지원 SNMPv1 - 버전 3.5 - 5.9 지원 SNMPv2 - 버전 3.5 - 5.9 지원 SNMPv3 - 버전 3.5 - 5.9 지원 TLS Syslog - 버전 5.10 지원 |
기록된 이벤트 유형 |
바이러스 백신 이벤트 |
자동으로 검색되나요? |
아니요 |
ID를 포함합니까? |
아니요 |
사용자 지정 속성을 포함합니까? |
아니요 |
추가 정보 |
McAfee 웹 사이트 |
McAfee ePolicy Orchestrator를 JSA와 통합하려면 다음 단계를 완료하십시오.
자동 업데이트가 활성화되지 않은 경우 RPM을 https://support.juniper.net/support/downloads/ 에서 다운로드할 수 있습니다. JSA 콘솔에 다음 RPM의 최신 버전을 다운로드하여 설치합니다.
JDBC 프로토콜 RPM
SNMP 프로토콜 RPM
TLS Syslog 프로토콜 RPM
DSM컨트롤 RPM
McAfee ePolicy Orchestrator DSM RPM
JSA에 이벤트를 보내도록 McAfee ePolicy Orchestrator 장치를 구성합니다.
등록된 서버를 추가합니다. JDBC 프로토콜을 사용하는 경우 등록된 서버를 추가할 필요가 없습니다.
SNMP 알림을 구성합니다. JDBC 프로토콜 또는 TLS Syslog 프로토콜을 사용하는 경우 추가 구성이 필요하지 않습니다.
상위 레벨 SNMP 암호 해독 알고리즘을 위해 Java Cryptography Extension을 설치합니다. 자세한 내용은 다음 절차를 참조하십시오.
JSA 콘솔에서 McAfee ePolicy Orchestrator 로그 소스를 추가합니다. 다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv1, SNMPv2, SNMPv3, JDBC 및 TLS syslog 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv1 프로토콜 로그 원본 매개 변수에 대해 설명합니다.
표 2: McAfee EPolicy Orchestrator SNMPv1 로그 소스 매개변수 매개 변수
값
로그 소스 이름
로그 소스의 고유한 이름을 입력합니다.
로그 소스 설명 (선택 사항)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy 오케스트레이터
프로토콜 구성
SNMPv1
로그 소스 식별자
로그 소스의 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv2 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 3: McAfee EPolicy Orchestrator SNMPv2 로그 소스 매개변수 매개 변수
값
로그 소스 이름
로그 소스의 고유한 이름을 입력합니다.
로그 소스 설명 (선택 사항)
로그 소스에 대한 설명을 입력합니다
로그 소스 유형
McAfee ePolicy 오케스트레이터
프로토콜 구성
- SNMPv2
로그 소스 식별자
로그 소스의 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv3 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 4: McAfee EPolicy Orchestrator SNMPv3 로그 소스 매개변수 매개 변수
값
로그 소스 이름
로그 소스의 고유한 이름을 입력합니다.
로그 소스 설명 (선택 사항)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy 오케스트레이터
프로토콜 구성
SNMPv3
로그 소스 식별자
로그 소스의 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 JDBC 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 5: McAfee EPolicy Orchestrator JDBC 로그 소스 매개변수 매개 변수
값
로그 소스 이름
로그 소스의 고유한 이름을 입력합니다.
로그 소스 설명 (선택 사항)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy 오케스트레이터
프로토콜 구성
JDBC (JDBC)
데이터베이스 유형
목록에서 MSDE 를 선택합니다.
테이블 이름
다음과 같이 이벤트 레코드를 포함하는 테이블 또는 보기:
ePolicy Orchestrator 3.x의 경우 Events를 입력합니다.
ePolicy Orchestrator 4.x의 경우 EPOEvents를 입력합니다.
ePolicy Orchestrator 5.x의 경우 EPOEvents를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 TLS syslog 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 6: McAfee ePolicy Orchestrator TLS syslog 로그 소스 매개변수 매개 변수
값
로그 소스 이름
로그 소스의 고유한 이름을 입력합니다.
로그 소스 설명 (선택 사항)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy 오케스트레이터
프로토콜 구성
TLS Syslog
McAfee EPolicy Orchestrator에서 SNMP 알림 구성
McAfee ePolicy Orchestrator에서 JSA로 SNMP 이벤트를 전송하려면 McAfee ePolicy Orchestrator 장치에서 SNMP 알림을 구성해야 합니다.
다음 단계를 완료하기 전에 등록된 서버를 McAfee ePolicy Orchestrator에 추가해야 합니다.
메뉴 >자동화 >자동 응답.
New Responses(새 응답)를 클릭하고 다음 값을 구성합니다.
응답의 이름과 설명을 입력합니다.
이벤트 그룹 목록에서 ePO 알림 이벤트를 선택합니다.
Event type(이벤트 유형) 목록에서 Threats(위협)를 선택합니다.
Status( 상태 ) 목록에서 Enabled(사용)를 선택합니다.
다음을 클릭합니다.
값 열에서 시스템 선택에 사용할 값을 입력하거나 줄임표 아이콘을 클릭합니다.
옵션: 사용 가능한 특성 목록에서 추가 필터를 선택하여 응답 결과의 범위를 좁히십시오.
다음을 클릭합니다.
Trigger this response for every event(모든 이벤트에 대해 이 응답 트리거)를 선택하고 Next(다음)를 클릭합니다.
McAfee ePolicy Orchestrator 응답에 대한 집계를 구성할 때 제한을 사용하지 마십시오.
Actions( 작업 ) 목록에서 Send SNMP Trap(SNMP 트랩 전송)을 선택합니다.
다음 값을 구성합니다.
SNMP 서버 목록에서 등록된 서버를 추가할 때 등록한 SNMP 서버를 선택합니다.
Available Types(사용 가능한 유형) 목록에서 List of All Values(모든 값 목록)를 선택합니다.
>> 클릭하여 McAfee ePolicy Orchestrator 버전과 연결된 이벤트 유형을 추가합니다. 다음 표를 지침으로 사용하십시오.
사용 가능한 유형
선택한 유형
ePolicy Orchestrator 버전
감지된 UTC
{listOfDetectedUTC}
4.5, 5.9
수신된 UTC
{listOfReceivedUTC}
4.5, 5.9
제품 IPv4 주소 감지
{listOfAnalyzerIPV4}
4.5, 5.9
제품 IPv6 주소 감지
{listOfAnalyzerIPV6}
4.5, 5.9
제품 MAC 주소 감지
{listOfAnalyzerMAC}
4.5, 5.9
소스 IPv4 주소
{listOfSourceIPV4}
4.5, 5.9
소스 IPv6 주소
{listOfSourceIPV6}
4.5, 5.9
소스 MAC 주소
{listOfSourceMAC}
4.5, 5.9
원본 사용자 이름
{listOf소스 사용자 이름}
4.5, 5.9
대상 IPv4 주소
{listOfTargetIPV4}
4.5, 5.9
대상 IPv6 주소
{listOfTargetIPV6}
4.5, 5.9
대상 MAC
{listOfTargetMAC}
4.5, 5.9
대상 포트
{listOfTargetPort}
4.5, 5.9
위협 이벤트 ID
{listOf위협 이벤트 ID}
4.5, 5.9
위협 이벤트 ID
{listOf위협 이벤트 ID}
4.5, 5.9
위협 심각도
{listOf위협 심각도}
4.5, 5.9
SourceComputers (소스 컴퓨터)
4.0
영향을 받는 컴퓨터 IP
4.0
이벤트 ID
4.0
TimeNotification보냄
4.0
Next(다음)를 클릭한 다음 Save(저장)를 클릭합니다.
JSA에서 로그 소스를 추가합니다.
상위 레벨 SNMP 암호 해독 알고리즘을 위해 Java Cryptography Extension을 설치합니다.
McAfee EPolicy Orchestrator에 Java Cryptography Extension 설치
JCE(Java Cryptography Extension)는 JSA가 AES192 또는 AES256에 대한 고급 암호화 알고리즘을 해독하는 데 필요한 Java 프레임워크입니다. 다음 정보는 McAfee ePolicy Orchestrator(McAfee ePO) 장치에 Oracle JCE를 설치하는 방법에 대해 설명합니다.
웹 사이트에서 JavaTM Cryptography Extension의 최신 버전을 다운로드하십시오.
JavaTM Cryptography Extension 버전은 McAfee ePO 장치에 설치된 Java 버전과 일치해야 합니다.
JCE 압축 파일을 McAfee ePO 장치의 다음 디렉터리에 복사합니다.
<installation path to McAfee ePO>/jre/lib/보안
JSA에 Java 암호화 확장 프로그램 설치
JCE(Java Cryptography Extension)는 JSA가 AES192 또는 AES256에 대한 고급 암호화 알고리즘을 해독하는 데 필요한 Java 프레임워크입니다. 다음 정보는 JSA 어플라이언스에 Oracle JCE를 설치하는 방법에 대해 설명합니다.
웹 사이트에서 JavaTM Cryptography Extension의 최신 버전을 다운로드하십시오.
JavaTM Cryptography Extension 버전은 JSA에 설치된 Java 버전과 일치해야 합니다.
JCE 파일의 압축을 풉니다.
JCE 다운로드에는 다음 JAR(Java Archive) 파일이 포함되어 있습니다.
local_policy.jar
US_export_policy.jar
JSA 콘솔 또는 JSA 이벤트 수집 기에 루트 사용자로 로그인합니다.
JCE JAR 파일을 JSA 콘솔 또는 이벤트 수집기의 다음 디렉토리에 복사합니다.
/usr/자바/j2sdk/jre/lib/
메모:JCE JAR 파일은 AES192 또는 AE256 암호화 파일을 수신하는 시스템에만 복사됩니다.
다음 명령 중 하나를 입력하여 JSA 서비스를 다시 시작합니다.
JSA 2014.x를 사용하는 경우 을 입력합니다 service ecs-ec restart.
JSA 7.3.0을 사용하는 경우 을 입력합니다 systemctl restart ecs-ec.service.
JSA 7.3.1을 사용하는 경우 을 입력합니다 systemctl restart ecs-ec-ingress.service.
McAfee ePolicy Orchestrator 샘플 이벤트 메시지
이 샘플 이벤트 메시지를 사용하여 JSA와의 성공적인 통합을 확인하십시오.
서식 문제로 인해 메시지 형식을 텍스트 편집기에 붙여 넣은 다음 캐리지 리턴 또는 줄 바꿈 문자를 제거합니다.
JDBC 프로토콜을 사용할 때 McAfee ePolicy Orchestrator 샘플 이벤트 메시지
다음의 샘플 이벤트 메시지는 호스트 침입이 탐지되었으나 처리되지 않았음을 보여줍니다.
AutoID: "231426750" AutoGUID: "995F348A-4CA3-4CEF-B259-5E678106884E" ServerID: "QRADARSERVER1" ReceivedUTC: "2014-07-23 08:02:13.553" DetectedUTC: "2014-07-23 07:55:11.0" AgentGUID: "2AB7C0C3-23C5-4FBD-B0A6-9A3A9B802A9E" Analyzer: "HOSTIPS_8000" AnalyzerName: "McAfee Host Intrusion Prevention" AnalyzerVersion: "8.0.0" AnalyzerHostName: "QRADARANALYZER" AnalyzerIPV4: "739325208" AnalyzerIPV6: "[B@e00e408" AnalyzerMAC: "001cc4e0e79e" AnalyzerDATVersion: "null" AnalyzerEngineVersion: "null" AnalyzerDetectionMethod: "null" SourceHostName: "null" SourceIPV4: "739325208" SourceIPV6: "[B@7d03cef5" SourceMAC: "00005E005300" SourceUserName: "QRADAR\SYSTEM" SourceProcessName: "C:\WINNT\SYSTEM32\SERVICES.EXE" SourceURL: "file:///C:\WINNT\SYSTEM32\SERVICES.EXE" TargetHostName: "QRADAR" TargetIPV4: "739325208" TargetIPV6: "[B@cf5e07d2" TargetMAC: "00005E005300" TargetUserName: "null" TargetPort: "null" TargetProtocol: "null" TargetProcessName: "null" TargetFileName: "null" ThreatCategory: "hip.Registry" ThreatEventID: "18000" ThreatSeverity: "2" ThreatName: "915" ThreatType: "modify" ThreatActionTaken: "hip.reaction.permit" ThreatHandled: "false" TheTimestamp: "[B@6d04e225"
TLS Syslog 프로토콜을 사용할 때 McAfee ePolicy Orchestrator 샘플 메시지
다음 샘플 이벤트 메시지는 감염된 파일이 삭제되었음을 보여줍니다.
<29>1 2018-06-29T10:53:33.0Z mcafee.epo.test EPOEvents - EventFwd [agentInfo@3401 tenantId="1"
bpsId="1" tenantGUID="{00000000-0000-0000-0000-000000000000}" tenantNodePath="1\2"] <?
xml version="1.0" encoding="UTF-8"?><EPOEvent><MachineInfo><MachineName>mcafee.epo.test</
MachineName><AgentGUID>{890cc45c-7b89-11e8-1cd6-005056afc747}</
AgentGUID><IPAddress>10.254.35.131</IPAddress><OSName>Windows Server
2012 R2</OSName><UserName>SYSTEM</UserName><TimeZoneBias>-330</
TimeZoneBias><RawMACAddress>00-00-5E-00-53-00 through 00-00-5E-00-53-
FF</RawMACAddress></MachineInfo><SoftwareInfo ProductName="McAfee Endpoint
Security" ProductVersion="10.6.0" ProductFamily="TVD"><CommonFields><Analyzer>ENDP_AM_1060</
Analyzer><AnalyzerName>McAfee Endpoint Security</
AnalyzerName><AnalyzerVersion>10.6.0</AnalyzerVersion><AnalyzerHostName>mcafee.epo.test</
AnalyzerHostName><AnalyzerEngineVersion>5900.7806</
AnalyzerEngineVersion><AnalyzerDetectionMethod>On-Access
Scan</AnalyzerDetectionMethod><AnalyzerDATVersion>3389.0</AnalyzerDATVersion></
CommonFields><Event><EventID>1027</EventID><Severity>3</Severity><GMTTime>2018-06-29T10:52:58</
GMTTime><CommonFields><ThreatCategory>av.detect</ThreatCategory><ThreatEventID>1027</
ThreatEventID><ThreatSeverity>2</ThreatSeverity><ThreatName>Elspy.worm</
ThreatName><ThreatType>virus</ThreatType><DetectedUTC>2018-06-29T10:52:58Z</
DetectedUTC><ThreatActionTaken>IDS_ALERT_ACT_TAK_DEL</ThreatActionTaken><ThreatHandled>True</
ThreatHandled><SourceHostName>mcafee.epo.test</SourceHostName><SourceProcessName>c:\Program
Files\QRadar\file1.ext</SourceProcessName><TargetHostName>mcafee.epo.test</
TargetHostName><TargetUserName>domain\admin</TargetUserName><TargetFileName>c:\Program
Files\QRadar_v1\91</TargetFileName></CommonFields><CustomFields
target="EPExtendedEventMT"><BladeName>IDS_BLADE_NAME_SPB</
BladeName><AnalyzerContentCreationDate>2018-06-28T02:04:00Z</
AnalyzerContentCreationDate><AnalyzerGTIQuery>False</
AnalyzerGTIQuery><ThreatDetectedOnCreation>True</ThreatDetectedOnCreation><TargetName>91</
TargetName><TargetPath>c:\Program
Files\QRadar_v2\Desktop</TargetPath><TargetHash>ed066136978a05009cf30c35de92e08e</
TargetHash><TargetFileSize>70</TargetFileSize><TargetModifyTime>2018-06-29T10:52:57Z</
TargetModifyTime><TargetAccessTime>2018-06-29T10:52:57Z</
TargetAccessTime><TargetCreateTime>2018-06-29T10:52:57Z</TargetCreateTime><Cleanable>True</
Cleanable><TaskName>IDS_OAS_TASK_NAME</TaskName><FirstAttemptedAction>IDS_ALERT_THACT_ATT_CLE</
FirstAttemptedAction><FirstActionStatus>True</
FirstActionStatus><SecondAttemptedAction>IDS_ALERT_THACT_ATT_DEL</
SecondAttemptedAction><SecondActionStatus>False</
SecondActionStatus><AttackVectorType>4</AttackVectorType><DurationBeforeDetection>1</
DurationBeforeDetection><NaturalLangDescription>IDS_NATURAL_LANG_OAS_DETECTION_DEL|
TargetName=91|TargetPath=c:\Program Files\QRadar_v2\Desktop|
ThreatName=Elspy.worm|SourceProcessName=c:\Program Files\QRadar\file1.ext|
ThreatType=virus|TargetUserName=domain\admin</NaturalLangDescription><AccessRequested></
AccessRequested><DetectionMessage>IDS_OAS_DEFAULT_THREAT_MESSAGE</
DetectionMessage><AMCoreContentVersion>3389.0</AMCoreContentVersion></CustomFields></Event></
SoftwareInfo></EPOEvent>