Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

McAfee EPolicy Orchestrator

JSA DSM para McAfee ePolicy Orchestrator recopila eventos de un dispositivo McAfee ePolicy Orchestrator.

En la siguiente tabla se identifican las especificaciones del DSM de McAfee ePolicy Orchestrator:

Tabla 1: McAfee EPolicy Orchestrator

Especificación

Valor

Fabricante

Mcafee

Nombre de DSM

McAfee ePolicy Orchestrator

Nombre de archivo RPM

DSM-McAfeeEpo-JSA_version-build_number.noarch.rpm

Versiones compatibles

3,5 a 5,10

Protocolo

JDBC - admite las versiones 3.5 a 5.9

SNMPv1: admite las versiones 3.5 a 5.9

SNMPv2: admite las versiones 3.5 a 5.9

SNMPv3: admite las versiones 3.5 a 5.9

TLS Syslog: admite la versión 5.10

Tipos de eventos registrados

Eventos antivirus

¿Se detecta automáticamente?

No

¿Incluye identidad?

No

¿Incluye propiedades personalizadas?

No

Más información

Sitio web de McAfee

Para integrar McAfee ePolicy Orchestrator con JSA, realice los siguientes pasos:

  1. Si las actualizaciones automáticas no están habilitadas, las RPM estarán disponibles para su descarga desde el https://support.juniper.net/support/downloads/. Descargue e instale la versión más reciente de las siguientes RPM en su consola JSA.

    • RPM de protocolo JDBC

    • RPM de protocolo SNMP

    • RPM del protocolo Syslog TLS

    • RPMcommon de DSM

    • McAfee ePolicy Orchestrator, RPM

  2. Configure su dispositivo McAfee ePolicy Orchestrator para enviar eventos a JSA.

    1. Agregue un servidor registrado. Si utiliza el protocolo JDBC, no es necesario agregar un servidor registrado. Para obtener más información acerca de cómo registrar servidores, consulte los siguientes procedimientos:

    2. Configure las notificaciones SNMP. Si utiliza el protocolo JDBC o el protocolo SYSlog TLS, no se requiere ninguna otra configuración.

    3. Instale la Extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel. Para obtener más información, consulte los procedimientos siguientes:

  3. Agregue un origen de registro de McAfee ePolicy Orchestrator en la consola JSA. En las tablas siguientes se describen los parámetros de origen de registro del protocolo syslog SNMPv1, SNMPv2, SNMPv3, JDBC y TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv1 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    Tabla 2: Parámetros de origen de registro SNMPv1 de McAfee EPolicy Orchestrator

    Parámetro

    Valor

    Nombre del origen del registro

    Escriba un nombre único para el origen del registro.

    Descripción del origen del registro (opcional)

    Escriba una descripción para el origen del registro.

    Tipo de fuente de registro

    McAfee ePolicy Orchestrator

    Configuración de protocolo

    SNMPv1

    Identificador de origen de registro

    Escriba un identificador único para el origen del registro.

    En la tabla siguiente se describen los parámetros de origen de registro de protocolo SNMPv2 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    Tabla 3: Parámetros de origen de registro mcAfee EPolicy Orchestrator SNMPv2

    Parámetro

    Valor

    Nombre del origen del registro

    Escriba un nombre único para el origen del registro.

    Descripción del origen del registro (opcional)

    Escriba una descripción para el origen del registro

    Tipo de fuente de registro

    McAfee ePolicy Orchestrator

    Configuración de protocolo

    SNMPv2

    Identificador de origen de registro

    Escriba un identificador único para el origen del registro.

    En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv3 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    Tabla 4: Parámetros de origen de registro SNMPv3 de McAfee EPolicy Orchestrator

    Parámetro

    Valor

    Nombre del origen del registro

    Escriba un nombre único para el origen del registro.

    Descripción del origen del registro (opcional)

    Escriba una descripción para el origen del registro.

    Tipo de fuente de registro

    McAfee ePolicy Orchestrator

    Configuración de protocolo

    SNMPv3

    Identificador de origen de registro

    Escriba un identificador único para el origen del registro.

    En la tabla siguiente se describen los parámetros de origen de registro de protocolo JDBC que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    Tabla 5: Parámetros de origen de registro JDBC de McAfee EPolicy Orchestrator

    Parámetro

    Valor

    Nombre del origen del registro

    Escriba un nombre único para el origen del registro.

    Descripción del origen del registro (opcional)

    Escriba una descripción para el origen del registro.

    Tipo de fuente de registro

    McAfee ePolicy Orchestrator

    Configuración de protocolo

    JDBC

    Tipo de base de datos

    Seleccione MSDE en la lista.

    Nombre de la tabla

    Una tabla o vista que incluya los registros de eventos de la siguiente manera:

    • En ePolicy Orchestrator 3.x, escriba Eventos.

    • Para ePolicy Orchestrator 4.x, escriba EPOEvents.

    • Para ePolicy Orchestrator 5.x, escriba EPOEvents

    En la tabla siguiente se describen los parámetros de origen de registro del protocolo syslog TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.

    Tabla 6: Parámetros de origen de registro TLS syslog de McAfee ePolicy Orchestrator

    Parámetro

    Valor

    Nombre del origen del registro

    Escriba un nombre único para el origen del registro.

    Descripción del origen del registro (opcional)

    Escriba una descripción para el origen del registro.

    Tipo de fuente de registro

    McAfee ePolicy Orchestrator

    Configuración de protocolo

    TLS Syslog

Configuración de notificaciones SNMP en McAfee EPolicy Orchestrator

Para enviar eventos SNMP desde McAfee ePolicy Orchestrator a JSA, debe configurar las notificaciones SNMP en su dispositivo McAfee ePolicy Orchestrator.

Debe agregar un servidor registrado a McAfee ePolicy Orchestrator antes de realizar los siguientes pasos.

  1. Seleccione menú >Automatización > Respuestas automáticas.

  2. Haga clic en Nuevas respuestas y, a continuación, configure los valores siguientes.

    1. Escriba un nombre y una descripción para la respuesta.

    2. En la lista Grupo de eventos , seleccione Eventos de notificación de ePO.

    3. En la lista Tipo de evento , seleccione Amenazas.

    4. En la lista Estado , seleccione Habilitado.

  3. Haga clic en Siguiente.

  4. En la columna Valor , escriba un valor que se utilizará para la selección del sistema o haga clic en el icono de puntos suspensivos.

  5. Opcional: En la lista Propiedades disponibles , seleccione más filtros para limitar los resultados de respuesta.

  6. Haga clic en Siguiente.

  7. Seleccione Activar esta respuesta para cada evento y, luego, haga clic en Siguiente.

    Cuando configure la agregación para las respuestas de McAfee ePolicy Orchestrator, no active la limitación.

  8. En la lista Acciones , seleccione Enviar captura SNMP.

  9. Configure los siguientes valores:

    1. En la lista de servidores SNMP, seleccione el servidor SNMP que registró cuando agregó un servidor registrado.

    2. En la lista Tipos disponibles , seleccione Lista de todos los valores.

    3. Haga clic en >> para agregar el tipo de evento asociado a la versión de McAfee ePolicy Orchestrator. Utilice la siguiente tabla como guía:

    Tipos disponibles

    Tipos seleccionados

    Versión de ePolicy Orchestrator

    DETECCIÓN DE LA UTC

    {listOfDetectedUTC}

    4.5, 5.9

    Recibido el UTC

    {listOfReceivedUTC}

    4.5, 5.9

    Detección de la dirección IPv4 del producto

    {listOfAnalyzerIPV4}

    4.5, 5.9

    Detección de la dirección IPv6 del producto

    {listOfAnalyzerIPV6}

    4.5, 5.9

    Detección de la dirección MAC del producto

    {listOfAnalyzerMAC}

    4.5, 5.9

    Dirección IPv4 de origen

    {listOfSourceIPV4}

    4.5, 5.9

    Dirección IPv6 de origen

    {listOfSourceIPV6}

    4.5, 5.9

    Dirección MAC de origen

    {listOfSourceMAC}

    4.5, 5.9

    Nombre de usuario de origen

    {listOfSourceUserName}

    4.5, 5.9

    Dirección IPv4 de destino

    {listOfTargetIPV4}

    4.5, 5.9

    Dirección IPv6 de destino

    {listOfTargetIPV6}

    4.5, 5.9

    MAC de destino

    {listOfTargetMAC}

    4.5, 5.9

    Puerto de destino

    {listOfTargetPort}

    4.5, 5.9

    ID de evento de amenaza

    {listOfThreatEventID}

    4.5, 5.9

    ID de evento de amenaza

    {listOfThreatEventID}

    4.5, 5.9

    Gravedad de las amenazas

    {listOfThreatSeverity}

    4.5, 5.9

    Ordenadores de origen

     

    4.0

    ComputerIP afectados

     

    4.0

    ID de eventos

     

    4.0

    TimeNotificationSent

     

    4.0

  10. Haga clic en Siguiente y, a continuación, en Guardar.

  1. Agregue un origen de registro en JSA.

  2. Instale la Extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel.

Instalación de la extensión de criptografía de Java en McAfee EPolicy Orchestrator

La Extensión de criptografía de Java (JCE) es un marco java necesario para que JSA descifra algoritmos de criptografía avanzada para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en su dispositivo McAfee ePolicy Orchestrator (McAfee ePO).

  1. Descargue la última versión de javaTM Cryptography Extension desde el siguiente sitio web:

    https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk

    La versión de JavaTM Cryptography Extension debe coincidir con la versión de Java instalada en el dispositivo ePO de McAfee.

  2. Copie el archivo comprimido JCE en el siguiente directorio en su dispositivo McAfee ePO:

    <installation path to McAfee ePO>/jre/lib/security

Instalación de la extensión de criptografía de Java en JSA

La Extensión de criptografía de Java (JCE) es un marco java necesario para que JSA descifra algoritmos de criptografía avanzada para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en su dispositivo JSA.

  1. Descargue la última versión de javaTM Cryptography Extension desde el siguiente sitio web:

    https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk

    La versión de JavaTM Cryptography Extension debe coincidir con la versión de Java instalada en JSA.

  2. Extraiga el archivo JCE.

    Los siguientes archivos java (JAR) se incluyen en la descarga de JCE:

    • local_policy.jar

    • US_export_policy.jar

  3. Inicie sesión en la consola de JSA o en el recopilador de eventos JSA como usuario raíz.

  4. Copie los archivos JAR de JCE en el directorio siguiente en la consola de JSA o en el recopilador de eventos:

    /usr/java/j2sdk/jre/lib/

    Nota:

    Los archivos JAR JCE solo se copian al sistema que recibe los archivos cifrados AES192 o AE256.

  5. Reinicie los servicios JSA escribiendo uno de los siguientes comandos:

    • Si utiliza JSA 2014.x, escriba service ecs-ec restart.

    • Si utiliza JSA 7.3.0, escriba systemctl restart ecs-ec.service.

    • Si utiliza JSA 7.3.1, escriba systemctl restart ecs-ec-ingress.service.

Mensajes de evento de ejemplo de McAfee ePolicy Orchestrator

Utilice estos mensajes de evento de ejemplo para comprobar que la integración con JSA es correcta.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine cualquier retorno de transporte o caracteres de alimentación de línea.

Mensaje de evento de ejemplo de McAfee ePolicy Orchestrator cuando utiliza el protocolo JDBC

El siguiente mensaje de evento de ejemplo muestra que se detectó una intrusión de host, pero no se manejó.

Mensaje de ejemplo de McAfee ePolicy Orchestrator cuando utiliza el protocolo TLS Syslog

El siguiente mensaje de evento de ejemplo muestra que se eliminó un archivo infectado.