McAfee EPolicy Orchestrator
JSA DSM para McAfee ePolicy Orchestrator recopila eventos de un dispositivo McAfee ePolicy Orchestrator.
En la siguiente tabla se identifican las especificaciones del DSM de McAfee ePolicy Orchestrator:
Especificación |
Valor |
---|---|
Fabricante |
Mcafee |
Nombre de DSM |
McAfee ePolicy Orchestrator |
Nombre de archivo RPM |
DSM-McAfeeEpo-JSA_version-build_number.noarch.rpm |
Versiones compatibles |
3,5 a 5,10 |
Protocolo |
JDBC - admite las versiones 3.5 a 5.9 SNMPv1: admite las versiones 3.5 a 5.9 SNMPv2: admite las versiones 3.5 a 5.9 SNMPv3: admite las versiones 3.5 a 5.9 TLS Syslog: admite la versión 5.10 |
Tipos de eventos registrados |
Eventos antivirus |
¿Se detecta automáticamente? |
No |
¿Incluye identidad? |
No |
¿Incluye propiedades personalizadas? |
No |
Más información |
Para integrar McAfee ePolicy Orchestrator con JSA, realice los siguientes pasos:
Si las actualizaciones automáticas no están habilitadas, las RPM estarán disponibles para su descarga desde el https://support.juniper.net/support/downloads/. Descargue e instale la versión más reciente de las siguientes RPM en su consola JSA.
RPM de protocolo JDBC
RPM de protocolo SNMP
RPM del protocolo Syslog TLS
RPMcommon de DSM
McAfee ePolicy Orchestrator, RPM
Configure su dispositivo McAfee ePolicy Orchestrator para enviar eventos a JSA.
Agregue un servidor registrado. Si utiliza el protocolo JDBC, no es necesario agregar un servidor registrado. Para obtener más información acerca de cómo registrar servidores, consulte los siguientes procedimientos:
Configure las notificaciones SNMP. Si utiliza el protocolo JDBC o el protocolo SYSlog TLS, no se requiere ninguna otra configuración.
Instale la Extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel. Para obtener más información, consulte los procedimientos siguientes:
Agregue un origen de registro de McAfee ePolicy Orchestrator en la consola JSA. En las tablas siguientes se describen los parámetros de origen de registro del protocolo syslog SNMPv1, SNMPv2, SNMPv3, JDBC y TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv1 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 2: Parámetros de origen de registro SNMPv1 de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de fuente de registro
McAfee ePolicy Orchestrator
Configuración de protocolo
SNMPv1
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro de protocolo SNMPv2 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 3: Parámetros de origen de registro mcAfee EPolicy Orchestrator SNMPv2 Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro
Tipo de fuente de registro
McAfee ePolicy Orchestrator
Configuración de protocolo
SNMPv2
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv3 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 4: Parámetros de origen de registro SNMPv3 de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de fuente de registro
McAfee ePolicy Orchestrator
Configuración de protocolo
SNMPv3
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro de protocolo JDBC que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 5: Parámetros de origen de registro JDBC de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de fuente de registro
McAfee ePolicy Orchestrator
Configuración de protocolo
JDBC
Tipo de base de datos
Seleccione MSDE en la lista.
Nombre de la tabla
Una tabla o vista que incluya los registros de eventos de la siguiente manera:
En ePolicy Orchestrator 3.x, escriba Eventos.
Para ePolicy Orchestrator 4.x, escriba EPOEvents.
Para ePolicy Orchestrator 5.x, escriba EPOEvents
En la tabla siguiente se describen los parámetros de origen de registro del protocolo syslog TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 6: Parámetros de origen de registro TLS syslog de McAfee ePolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de fuente de registro
McAfee ePolicy Orchestrator
Configuración de protocolo
TLS Syslog
Configuración de notificaciones SNMP en McAfee EPolicy Orchestrator
Para enviar eventos SNMP desde McAfee ePolicy Orchestrator a JSA, debe configurar las notificaciones SNMP en su dispositivo McAfee ePolicy Orchestrator.
Debe agregar un servidor registrado a McAfee ePolicy Orchestrator antes de realizar los siguientes pasos.
Seleccione menú >Automatización > Respuestas automáticas.
Haga clic en Nuevas respuestas y, a continuación, configure los valores siguientes.
Escriba un nombre y una descripción para la respuesta.
En la lista Grupo de eventos , seleccione Eventos de notificación de ePO.
En la lista Tipo de evento , seleccione Amenazas.
En la lista Estado , seleccione Habilitado.
Haga clic en Siguiente.
En la columna Valor , escriba un valor que se utilizará para la selección del sistema o haga clic en el icono de puntos suspensivos.
Opcional: En la lista Propiedades disponibles , seleccione más filtros para limitar los resultados de respuesta.
Haga clic en Siguiente.
Seleccione Activar esta respuesta para cada evento y, luego, haga clic en Siguiente.
Cuando configure la agregación para las respuestas de McAfee ePolicy Orchestrator, no active la limitación.
En la lista Acciones , seleccione Enviar captura SNMP.
Configure los siguientes valores:
En la lista de servidores SNMP, seleccione el servidor SNMP que registró cuando agregó un servidor registrado.
En la lista Tipos disponibles , seleccione Lista de todos los valores.
Haga clic en >> para agregar el tipo de evento asociado a la versión de McAfee ePolicy Orchestrator. Utilice la siguiente tabla como guía:
Tipos disponibles
Tipos seleccionados
Versión de ePolicy Orchestrator
DETECCIÓN DE LA UTC
{listOfDetectedUTC}
4.5, 5.9
Recibido el UTC
{listOfReceivedUTC}
4.5, 5.9
Detección de la dirección IPv4 del producto
{listOfAnalyzerIPV4}
4.5, 5.9
Detección de la dirección IPv6 del producto
{listOfAnalyzerIPV6}
4.5, 5.9
Detección de la dirección MAC del producto
{listOfAnalyzerMAC}
4.5, 5.9
Dirección IPv4 de origen
{listOfSourceIPV4}
4.5, 5.9
Dirección IPv6 de origen
{listOfSourceIPV6}
4.5, 5.9
Dirección MAC de origen
{listOfSourceMAC}
4.5, 5.9
Nombre de usuario de origen
{listOfSourceUserName}
4.5, 5.9
Dirección IPv4 de destino
{listOfTargetIPV4}
4.5, 5.9
Dirección IPv6 de destino
{listOfTargetIPV6}
4.5, 5.9
MAC de destino
{listOfTargetMAC}
4.5, 5.9
Puerto de destino
{listOfTargetPort}
4.5, 5.9
ID de evento de amenaza
{listOfThreatEventID}
4.5, 5.9
ID de evento de amenaza
{listOfThreatEventID}
4.5, 5.9
Gravedad de las amenazas
{listOfThreatSeverity}
4.5, 5.9
Ordenadores de origen
4.0
ComputerIP afectados
4.0
ID de eventos
4.0
TimeNotificationSent
4.0
Haga clic en Siguiente y, a continuación, en Guardar.
Agregue un origen de registro en JSA.
Instale la Extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel.
Instalación de la extensión de criptografía de Java en McAfee EPolicy Orchestrator
La Extensión de criptografía de Java (JCE) es un marco java necesario para que JSA descifra algoritmos de criptografía avanzada para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en su dispositivo McAfee ePolicy Orchestrator (McAfee ePO).
Descargue la última versión de javaTM Cryptography Extension desde el siguiente sitio web:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
La versión de JavaTM Cryptography Extension debe coincidir con la versión de Java instalada en el dispositivo ePO de McAfee.
Copie el archivo comprimido JCE en el siguiente directorio en su dispositivo McAfee ePO:
<installation path to McAfee ePO>/jre/lib/security
Instalación de la extensión de criptografía de Java en JSA
La Extensión de criptografía de Java (JCE) es un marco java necesario para que JSA descifra algoritmos de criptografía avanzada para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en su dispositivo JSA.
Descargue la última versión de javaTM Cryptography Extension desde el siguiente sitio web:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
La versión de JavaTM Cryptography Extension debe coincidir con la versión de Java instalada en JSA.
Extraiga el archivo JCE.
Los siguientes archivos java (JAR) se incluyen en la descarga de JCE:
local_policy.jar
US_export_policy.jar
Inicie sesión en la consola de JSA o en el recopilador de eventos JSA como usuario raíz.
Copie los archivos JAR de JCE en el directorio siguiente en la consola de JSA o en el recopilador de eventos:
/usr/java/j2sdk/jre/lib/
Nota:Los archivos JAR JCE solo se copian al sistema que recibe los archivos cifrados AES192 o AE256.
Reinicie los servicios JSA escribiendo uno de los siguientes comandos:
Si utiliza JSA 2014.x, escriba service ecs-ec restart.
Si utiliza JSA 7.3.0, escriba systemctl restart ecs-ec.service.
Si utiliza JSA 7.3.1, escriba systemctl restart ecs-ec-ingress.service.
Mensajes de evento de ejemplo de McAfee ePolicy Orchestrator
Utilice estos mensajes de evento de ejemplo para comprobar que la integración con JSA es correcta.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine cualquier retorno de transporte o caracteres de alimentación de línea.
Mensaje de evento de ejemplo de McAfee ePolicy Orchestrator cuando utiliza el protocolo JDBC
El siguiente mensaje de evento de ejemplo muestra que se detectó una intrusión de host, pero no se manejó.
AutoID: "231426750" AutoGUID: "995F348A-4CA3-4CEF-B259-5E678106884E" ServerID: "QRADARSERVER1" ReceivedUTC: "2014-07-23 08:02:13.553" DetectedUTC: "2014-07-23 07:55:11.0" AgentGUID: "2AB7C0C3-23C5-4FBD-B0A6-9A3A9B802A9E" Analyzer: "HOSTIPS_8000" AnalyzerName: "McAfee Host Intrusion Prevention" AnalyzerVersion: "8.0.0" AnalyzerHostName: "QRADARANALYZER" AnalyzerIPV4: "739325208" AnalyzerIPV6: "[B@e00e408" AnalyzerMAC: "001cc4e0e79e" AnalyzerDATVersion: "null" AnalyzerEngineVersion: "null" AnalyzerDetectionMethod: "null" SourceHostName: "null" SourceIPV4: "739325208" SourceIPV6: "[B@7d03cef5" SourceMAC: "00005E005300" SourceUserName: "QRADAR\SYSTEM" SourceProcessName: "C:\WINNT\SYSTEM32\SERVICES.EXE" SourceURL: "file:///C:\WINNT\SYSTEM32\SERVICES.EXE" TargetHostName: "QRADAR" TargetIPV4: "739325208" TargetIPV6: "[B@cf5e07d2" TargetMAC: "00005E005300" TargetUserName: "null" TargetPort: "null" TargetProtocol: "null" TargetProcessName: "null" TargetFileName: "null" ThreatCategory: "hip.Registry" ThreatEventID: "18000" ThreatSeverity: "2" ThreatName: "915" ThreatType: "modify" ThreatActionTaken: "hip.reaction.permit" ThreatHandled: "false" TheTimestamp: "[B@6d04e225"
Mensaje de ejemplo de McAfee ePolicy Orchestrator cuando utiliza el protocolo TLS Syslog
El siguiente mensaje de evento de ejemplo muestra que se eliminó un archivo infectado.
<29>1 2018-06-29T10:53:33.0Z mcafee.epo.test EPOEvents - EventFwd [agentInfo@3401 tenantId="1" bpsId="1" tenantGUID="{00000000-0000-0000-0000-000000000000}" tenantNodePath="1\2"] <? xml version="1.0" encoding="UTF-8"?><EPOEvent><MachineInfo><MachineName>mcafee.epo.test</ MachineName><AgentGUID>{890cc45c-7b89-11e8-1cd6-005056afc747}</ AgentGUID><IPAddress>10.254.35.131</IPAddress><OSName>Windows Server 2012 R2</OSName><UserName>SYSTEM</UserName><TimeZoneBias>-330</ TimeZoneBias><RawMACAddress>00-00-5E-00-53-00 through 00-00-5E-00-53- FF</RawMACAddress></MachineInfo><SoftwareInfo ProductName="McAfee Endpoint Security" ProductVersion="10.6.0" ProductFamily="TVD"><CommonFields><Analyzer>ENDP_AM_1060</ Analyzer><AnalyzerName>McAfee Endpoint Security</ AnalyzerName><AnalyzerVersion>10.6.0</AnalyzerVersion><AnalyzerHostName>mcafee.epo.test</ AnalyzerHostName><AnalyzerEngineVersion>5900.7806</ AnalyzerEngineVersion><AnalyzerDetectionMethod>On-Access Scan</AnalyzerDetectionMethod><AnalyzerDATVersion>3389.0</AnalyzerDATVersion></ CommonFields><Event><EventID>1027</EventID><Severity>3</Severity><GMTTime>2018-06-29T10:52:58</ GMTTime><CommonFields><ThreatCategory>av.detect</ThreatCategory><ThreatEventID>1027</ ThreatEventID><ThreatSeverity>2</ThreatSeverity><ThreatName>Elspy.worm</ ThreatName><ThreatType>virus</ThreatType><DetectedUTC>2018-06-29T10:52:58Z</ DetectedUTC><ThreatActionTaken>IDS_ALERT_ACT_TAK_DEL</ThreatActionTaken><ThreatHandled>True</ ThreatHandled><SourceHostName>mcafee.epo.test</SourceHostName><SourceProcessName>c:\Program Files\QRadar\file1.ext</SourceProcessName><TargetHostName>mcafee.epo.test</ TargetHostName><TargetUserName>domain\admin</TargetUserName><TargetFileName>c:\Program Files\QRadar_v1\91</TargetFileName></CommonFields><CustomFields target="EPExtendedEventMT"><BladeName>IDS_BLADE_NAME_SPB</ BladeName><AnalyzerContentCreationDate>2018-06-28T02:04:00Z</ AnalyzerContentCreationDate><AnalyzerGTIQuery>False</ AnalyzerGTIQuery><ThreatDetectedOnCreation>True</ThreatDetectedOnCreation><TargetName>91</ TargetName><TargetPath>c:\Program Files\QRadar_v2\Desktop</TargetPath><TargetHash>ed066136978a05009cf30c35de92e08e</ TargetHash><TargetFileSize>70</TargetFileSize><TargetModifyTime>2018-06-29T10:52:57Z</ TargetModifyTime><TargetAccessTime>2018-06-29T10:52:57Z</ TargetAccessTime><TargetCreateTime>2018-06-29T10:52:57Z</TargetCreateTime><Cleanable>True</ Cleanable><TaskName>IDS_OAS_TASK_NAME</TaskName><FirstAttemptedAction>IDS_ALERT_THACT_ATT_CLE</ FirstAttemptedAction><FirstActionStatus>True</ FirstActionStatus><SecondAttemptedAction>IDS_ALERT_THACT_ATT_DEL</ SecondAttemptedAction><SecondActionStatus>False</ SecondActionStatus><AttackVectorType>4</AttackVectorType><DurationBeforeDetection>1</ DurationBeforeDetection><NaturalLangDescription>IDS_NATURAL_LANG_OAS_DETECTION_DEL| TargetName=91|TargetPath=c:\Program Files\QRadar_v2\Desktop| ThreatName=Elspy.worm|SourceProcessName=c:\Program Files\QRadar\file1.ext| ThreatType=virus|TargetUserName=domain\admin</NaturalLangDescription><AccessRequested></ AccessRequested><DetectionMessage>IDS_OAS_DEFAULT_THREAT_MESSAGE</ DetectionMessage><AMCoreContentVersion>3389.0</AMCoreContentVersion></CustomFields></Event></ SoftwareInfo></EPOEvent>