McAfee EPolicy Orchestrator
McAfee ePolicy Orchestrator용 JSA DSM은 McAfee ePolicy Orchestrator 디바이스에서 이벤트를 수집합니다.
다음 표는 McAfee ePolicy Orchestrator DSM의 사양을 식별합니다.
사양 |
값 |
|---|---|
제조업체 |
Mcafee |
DSM 이름 |
McAfee ePolicy Orchestrator |
RPM 파일 이름 |
DSM-McAfeeEpo-noarch.rpmJSA_version-build_number |
지원되는 버전 |
3.5 ~ 5.10 |
프로토콜 |
JDBC - 3.5~ 5.9 버전 지원 SNMPv1 - 버전 3.5~ 5.9 지원 SNMPv2 - 버전 3.5~ 5.9 지원 SNMPv3 - 버전 3.5~ 5.9 지원 TLS Syslog - 버전 5.10 지원 |
기록된 이벤트 유형 |
바이러스 차단 이벤트 |
자동으로 발견되었습니까? |
아니요 |
ID가 포함되어 있습니까? |
아니요 |
사용자 지정 속성을 포함합니까? |
아니요 |
자세한 정보 |
McAfee ePolicy Orchestrator를 JSA와 통합하려면 다음 단계를 완료하십시오.
자동 업데이트가 활성화되지 않은 경우 https://support.juniper.net/support/downloads/ RPM 을 다운로드할 수 있습니다. JSA 콘솔에 가장 최신 버전의 다음 RPM을 다운로드하여 설치합니다.
JDBC 프로토콜 RPM
SNMP 프로토콜 RPM
TLS Syslog 프로토콜 RPM
DSMCommon RPM
McAfee ePolicy Orchestrator DSM RPM
JSA에 이벤트를 보내도록 McAfee ePolicy Orchestrator 디바이스를 구성합니다.
등록된 서버를 추가합니다. JDBC 프로토콜을 사용하는 경우 등록 서버를 추가할 필요가 없습니다. 서버 등록에 대한 자세한 내용은 다음 절차를 참조하십시오.
SNMP 알림을 구성합니다. JDBC 프로토콜 또는 TLS Syslog 프로토콜을 사용하는 경우 더 이상 구성이 필요하지 않습니다.
높은 수준의 SNMP 암호 해독 알고리즘을 위해 Java 암호화 확장을 설치합니다. 자세한 내용은 다음 절차를 참조하십시오.
JSA 콘솔에 McAfee ePolicy Orchestrator 로그 소스를 추가합니다. 다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv1, SNMPv2, SNMPv3, JDBC 및 TLS syslog 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv1 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 2: McAfee EPolicy Orchestrator SNMPv1 로그 소스 매개 변수 매개 변수
값
로그 소스 이름
로그 소스에 대한 고유한 이름을 입력합니다.
로그 소스 설명 (옵션)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy Orchestrator
프로토콜 구성
SNMPv1
로그 소스 식별자
로그 소스에 대한 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv2 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 3: McAfee EPolicy Orchestrator SNMPv2 로그 소스 매개 변수 매개 변수
값
로그 소스 이름
로그 소스에 대한 고유한 이름을 입력합니다.
로그 소스 설명 (옵션)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy Orchestrator
프로토콜 구성
SNMPv2
로그 소스 식별자
로그 소스에 대한 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 SNMPv3 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 4: McAfee EPolicy Orchestrator SNMPv3 로그 소스 매개 변수 매개 변수
값
로그 소스 이름
로그 소스에 대한 고유한 이름을 입력합니다.
로그 소스 설명 (옵션)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy Orchestrator
프로토콜 구성
SNMPv3
로그 소스 식별자
로그 소스에 대한 고유 식별자를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 JDBC 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 5: McAfee EPolicy Orchestrator JDBC 로그 소스 매개 변수 매개 변수
값
로그 소스 이름
로그 소스에 대한 고유한 이름을 입력합니다.
로그 소스 설명 (옵션)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy Orchestrator
프로토콜 구성
Jdbc
데이터베이스 유형
목록에서 MSDE 를 선택합니다.
테이블 이름
다음과 같이 이벤트 기록을 포함하는 테이블 또는 보기:
ePolicy Orchestrator 3.x의 경우, 이벤트를 입력합니다.
ePolicy Orchestrator 4.x의 경우 EPOEvents를 입력합니다.
ePolicy Orchestrator 5.x의 경우 EPOEvents를 입력합니다.
다음 표에서는 McAfee ePolicy Orchestrator에서 이벤트를 수집하기 위해 특정 값이 필요한 TLS syslog 프로토콜 로그 소스 매개 변수에 대해 설명합니다.
표 6: McAfee ePolicy Orchestrator TLS syslog 로그 소스 매개 변수 매개 변수
값
로그 소스 이름
로그 소스에 대한 고유한 이름을 입력합니다.
로그 소스 설명 (옵션)
로그 소스에 대한 설명을 입력합니다.
로그 소스 유형
McAfee ePolicy Orchestrator
프로토콜 구성
TLS Syslog
McAfee EPolicy Orchestrator에서 SNMP 알림 구성
McAfee ePolicy Orchestrator에서 JSA로 SNMP 이벤트를 전송하려면 McAfee ePolicy Orchestrator 디바이스에서 SNMP 알림을 구성해야 합니다.
다음 단계를 완료하기 전에 등록한 서버를 McAfee ePolicy Orchestrator에 추가해야 합니다.
메뉴 >자동화 >자동 응답을 선택합니다.
새 응답을 클릭한 다음 다음 값을 구성합니다.
응답에 대한 이름과 설명을 입력합니다.
이벤트 그룹 목록에서 ePO 알림 이벤트를 선택합니다.
이벤트 유형 목록에서 위협을 선택합니다.
상태 목록에서 활성화를 선택합니다.
다음을 클릭합니다.
값 열에서 시스템 선택에 사용할 값을 입력하거나 타원 아이콘을 클릭합니다.
선택 사항: 사용 가능한 속성 목록에서 응답 결과를 좁히기 위해 더 많은 필터를 선택합니다.
다음을 클릭합니다.
모든 이벤트에 대해 이 응답을 트리거한 다음 다음을 클릭합니다.
McAfee ePolicy Orchestrator 응답에 대한 어그리게이션을 구성할 때 제한 기능을 사용하지 마십시오.
작업 목록에서 SNMP 트랩 보내기를 선택합니다.
다음 값을 구성합니다.
SNMP 서버 목록에서 등록한 서버를 추가할 때 등록한 SNMP 서버를 선택합니다.
사용 가능한 유형 목록에서 모든 값 목록을 선택합니다.
>> 을(를) 클릭하여 McAfee ePolicy Orchestrator 버전과 관련된 이벤트 유형을 추가합니다. 가이드로 다음 표를 사용하십시오.
사용 가능한 유형
선택한 유형
ePolicy Orchestrator 버전
탐지된 UTC
{listOfDetectedUTC}
4.5, 5.9
수신 UTC
{listOfReceivedUTC}
4.5, 5.9
제품 IPv4 주소 탐지
{listOfAnalyzerIPV4}
4.5, 5.9
제품 IPv6 주소 탐지
{listOfAnalyzerIPV6}
4.5, 5.9
제품 MAC 주소 감지
{listOfAnalyzerMAC}
4.5, 5.9
소스 IPv4 주소
{listOfSourceIPV4}
4.5, 5.9
소스 IPv6 주소
{listOfSourceIPV6}
4.5, 5.9
소스 MAC 주소
{listOfSourceMAC}
4.5, 5.9
소스 사용자 이름
{listOfSourceUserName}
4.5, 5.9
대상 IPv4 주소
{listOfTargetIPV4}
4.5, 5.9
대상 IPv6 주소
{listOfTargetIPV6}
4.5, 5.9
대상 MAC
{listOfTargetMAC}
4.5, 5.9
대상 포트
{listOfTargetPort}
4.5, 5.9
위협 이벤트 ID
{listThreatEventID}
4.5, 5.9
위협 이벤트 ID
{listThreatEventID}
4.5, 5.9
위협 심각도
{listOfReatSeverity}
4.5, 5.9
소스컴퓨터
4.0
영향을 받는컴퓨터 IP
4.0
이벤트 OID
4.0
시간 통계
4.0
다음을 클릭한 다음 저장을 클릭합니다.
JSA에 로그 소스를 추가합니다.
높은 수준의 SNMP 암호 해독 알고리즘을 위해 Java 암호화 확장을 설치합니다.
McAfee EPolicy Orchestrator에 Java 암호화 확장 설치
JCE(Java Cryptography Extension)는 JSA가 AES192 또는 AES256에 대한 고급 암호화 알고리즘을 해독하는 데 필요한 Java 프레임워크입니다. 다음 정보는 McAfee ePolicy Orchestrator(McAfee ePO) 디바이스에 Oracle JCE를 설치하는 방법에 대해 설명합니다.
다음 웹 사이트에서 JavaTM 암호화 확장의 최신 버전을 다운로드합니다.
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
JavaTM 암호화 확장 버전은 McAfee ePO 디바이스에 설치된 Java 버전과 일치해야 합니다.
JCE 압축 파일을 McAfee ePO 디바이스의 다음 디렉터리로 복사합니다.
<installation path to McAfee ePO>/jre/lib/security
JSA에 Java 암호화 확장 설치
JCE(Java Cryptography Extension)는 JSA가 AES192 또는 AES256에 대한 고급 암호화 알고리즘을 해독하는 데 필요한 Java 프레임워크입니다. 다음 정보는 JSA 어플라이언스에 Oracle JCE를 설치하는 방법에 대해 설명합니다.
다음 웹 사이트에서 JavaTM 암호화 확장의 최신 버전을 다운로드합니다.
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
JavaTM 암호화 확장 버전은 JSA에 설치된 Java 버전과 일치해야 합니다.
JCE 파일을 추출합니다.
다음 Java 아카이브(JAR) 파일은 JCE 다운로드에 포함되어 있습니다.
local_policy.jar
US_export_policy.jar
루트 사용자로 JSA 콘솔 또는 JSA 이벤트 컬렉터 에 로그인합니다.
JSA 콘솔 또는 이벤트 컬렉터의 다음 디렉터리로 JCE JAR 파일을 복사합니다.
/usr/java/j2sdk/jre/lib/
참고:JCE JAR 파일은 AES192 또는 AE256 암호화된 파일을 수신하는 시스템에만 복사됩니다.
다음 명령 중 하나를 입력하여 JSA 서비스를 다시 시작합니다.
JSA 2014.x를 사용하는 경우 을(를) 입력합니다 service ecs-ec restart.
JSA 7.3.0을 사용하는 경우 을(를) 입력합니다 systemctl restart ecs-ec.service.
JSA 7.3.1을 사용하는 경우 을(를) 입력합니다 systemctl restart ecs-ec-ingress.service.
McAfee ePolicy Orchestrator 샘플 이벤트 메시지
이러한 샘플 이벤트 메시지를 사용하여 JSA와의 성공적인 통합을 확인합니다.
서식 문제로 인해 메시지 형식을 텍스트 편집기에 붙여 넣은 다음 캐리지 반환 또는 라인 피드 문자를 제거합니다.
JDBC 프로토콜을 사용할 때 McAfee ePolicy Orchestrator 샘플 이벤트 메시지
다음 샘플 이벤트 메시지는 호스트 침입이 감지되었지만 처리되지 않음을 보여줍니다.
AutoID: "231426750" AutoGUID: "995F348A-4CA3-4CEF-B259-5E678106884E" ServerID: "QRADARSERVER1" ReceivedUTC: "2014-07-23 08:02:13.553" DetectedUTC: "2014-07-23 07:55:11.0" AgentGUID: "2AB7C0C3-23C5-4FBD-B0A6-9A3A9B802A9E" Analyzer: "HOSTIPS_8000" AnalyzerName: "McAfee Host Intrusion Prevention" AnalyzerVersion: "8.0.0" AnalyzerHostName: "QRADARANALYZER" AnalyzerIPV4: "739325208" AnalyzerIPV6: "[B@e00e408" AnalyzerMAC: "001cc4e0e79e" AnalyzerDATVersion: "null" AnalyzerEngineVersion: "null" AnalyzerDetectionMethod: "null" SourceHostName: "null" SourceIPV4: "739325208" SourceIPV6: "[B@7d03cef5" SourceMAC: "00005E005300" SourceUserName: "QRADAR\SYSTEM" SourceProcessName: "C:\WINNT\SYSTEM32\SERVICES.EXE" SourceURL: "file:///C:\WINNT\SYSTEM32\SERVICES.EXE" TargetHostName: "QRADAR" TargetIPV4: "739325208" TargetIPV6: "[B@cf5e07d2" TargetMAC: "00005E005300" TargetUserName: "null" TargetPort: "null" TargetProtocol: "null" TargetProcessName: "null" TargetFileName: "null" ThreatCategory: "hip.Registry" ThreatEventID: "18000" ThreatSeverity: "2" ThreatName: "915" ThreatType: "modify" ThreatActionTaken: "hip.reaction.permit" ThreatHandled: "false" TheTimestamp: "[B@6d04e225"
TLS Syslog 프로토콜을 사용할 때 McAfee ePolicy Orchestrator 샘플 메시지
다음 샘플 이벤트 메시지는 감염된 파일이 삭제되었음을 보여줍니다.
<29>1 2018-06-29T10:53:33.0Z mcafee.epo.test EPOEvents - EventFwd [agentInfo@3401 tenantId="1"
bpsId="1" tenantGUID="{00000000-0000-0000-0000-000000000000}" tenantNodePath="1\2"] <?
xml version="1.0" encoding="UTF-8"?><EPOEvent><MachineInfo><MachineName>mcafee.epo.test</
MachineName><AgentGUID>{890cc45c-7b89-11e8-1cd6-005056afc747}</
AgentGUID><IPAddress>10.254.35.131</IPAddress><OSName>Windows Server
2012 R2</OSName><UserName>SYSTEM</UserName><TimeZoneBias>-330</
TimeZoneBias><RawMACAddress>00-00-5E-00-53-00 through 00-00-5E-00-53-
FF</RawMACAddress></MachineInfo><SoftwareInfo ProductName="McAfee Endpoint
Security" ProductVersion="10.6.0" ProductFamily="TVD"><CommonFields><Analyzer>ENDP_AM_1060</
Analyzer><AnalyzerName>McAfee Endpoint Security</
AnalyzerName><AnalyzerVersion>10.6.0</AnalyzerVersion><AnalyzerHostName>mcafee.epo.test</
AnalyzerHostName><AnalyzerEngineVersion>5900.7806</
AnalyzerEngineVersion><AnalyzerDetectionMethod>On-Access
Scan</AnalyzerDetectionMethod><AnalyzerDATVersion>3389.0</AnalyzerDATVersion></
CommonFields><Event><EventID>1027</EventID><Severity>3</Severity><GMTTime>2018-06-29T10:52:58</
GMTTime><CommonFields><ThreatCategory>av.detect</ThreatCategory><ThreatEventID>1027</
ThreatEventID><ThreatSeverity>2</ThreatSeverity><ThreatName>Elspy.worm</
ThreatName><ThreatType>virus</ThreatType><DetectedUTC>2018-06-29T10:52:58Z</
DetectedUTC><ThreatActionTaken>IDS_ALERT_ACT_TAK_DEL</ThreatActionTaken><ThreatHandled>True</
ThreatHandled><SourceHostName>mcafee.epo.test</SourceHostName><SourceProcessName>c:\Program
Files\QRadar\file1.ext</SourceProcessName><TargetHostName>mcafee.epo.test</
TargetHostName><TargetUserName>domain\admin</TargetUserName><TargetFileName>c:\Program
Files\QRadar_v1\91</TargetFileName></CommonFields><CustomFields
target="EPExtendedEventMT"><BladeName>IDS_BLADE_NAME_SPB</
BladeName><AnalyzerContentCreationDate>2018-06-28T02:04:00Z</
AnalyzerContentCreationDate><AnalyzerGTIQuery>False</
AnalyzerGTIQuery><ThreatDetectedOnCreation>True</ThreatDetectedOnCreation><TargetName>91</
TargetName><TargetPath>c:\Program
Files\QRadar_v2\Desktop</TargetPath><TargetHash>ed066136978a05009cf30c35de92e08e</
TargetHash><TargetFileSize>70</TargetFileSize><TargetModifyTime>2018-06-29T10:52:57Z</
TargetModifyTime><TargetAccessTime>2018-06-29T10:52:57Z</
TargetAccessTime><TargetCreateTime>2018-06-29T10:52:57Z</TargetCreateTime><Cleanable>True</
Cleanable><TaskName>IDS_OAS_TASK_NAME</TaskName><FirstAttemptedAction>IDS_ALERT_THACT_ATT_CLE</
FirstAttemptedAction><FirstActionStatus>True</
FirstActionStatus><SecondAttemptedAction>IDS_ALERT_THACT_ATT_DEL</
SecondAttemptedAction><SecondActionStatus>False</
SecondActionStatus><AttackVectorType>4</AttackVectorType><DurationBeforeDetection>1</
DurationBeforeDetection><NaturalLangDescription>IDS_NATURAL_LANG_OAS_DETECTION_DEL|
TargetName=91|TargetPath=c:\Program Files\QRadar_v2\Desktop|
ThreatName=Elspy.worm|SourceProcessName=c:\Program Files\QRadar\file1.ext|
ThreatType=virus|TargetUserName=domain\admin</NaturalLangDescription><AccessRequested></
AccessRequested><DetectionMessage>IDS_OAS_DEFAULT_THREAT_MESSAGE</
DetectionMessage><AMCoreContentVersion>3389.0</AMCoreContentVersion></CustomFields></Event></
SoftwareInfo></EPOEvent>