McAfee EPolicy Orchestrator
JSA DSM para McAfee ePolicy Orchestrator recopila eventos de un dispositivo de McAfee ePolicy Orchestrator.
En la tabla siguiente se identifican las especificaciones de McAfee ePolicy Orchestrator DSM:
Especificación |
Valor |
|---|---|
Fabricante |
Mcafee |
Nombre DSM |
McAfee ePolicy Orchestrator |
Nombre de archivo RPM |
DSM-McAfeeEpo-JSA_version-build_number.noarch.rpm |
Versiones compatibles |
3.5 a 5.10 |
Protocolo |
JDBC: admite las versiones 3.5 a 5.9 SNMPv1: admite las versiones 3.5 a 5.9 SNMPv2: admite las versiones 3.5 a 5.9 SNMPv3: admite las versiones 3.5 a 5.9 TLS Syslog - compatible con la versión 5.10 |
Tipos de eventos grabados |
Eventos antivirus |
¿Detectado automáticamente? |
No |
¿Incluye identidad? |
No |
¿Incluye propiedades personalizadas? |
No |
Más información |
Sitio web de McAfee |
Para integrar McAfee ePolicy Orchestrator con JSA, siga estos pasos:
Si las actualizaciones automáticas no están habilitadas, los RPM están disponibles para su descarga desde el https://support.juniper.net/support/downloads/. Descargue e instale la versión más reciente de los siguientes RPM en su consola JSA.
RPM de protocolo JDBC
Protocolo SNMP RPM
RPM del protocolo TLS Syslog
DSMCommon RPM
McAfee ePolicy Orchestrator DSM RPM
Configure el dispositivo McAfee ePolicy Orchestrator para enviar eventos a JSA.
Agregue un servidor registrado. Si utiliza el protocolo JDBC, no es necesario agregar un servidor registrado.
Configure las notificaciones SNMP. Si utiliza el protocolo JDBC o TLS Syslog, no se requiere ninguna otra configuración.
Instale la extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel. Para obtener más información, consulte los procedimientos siguientes:
Añada un origen de registro de McAfee ePolicy Orchestrator en la consola de JSA. En las tablas siguientes se describen los parámetros de origen de registro del protocolo syslog SNMPv1, SNMPv2, SNMPv3, JDBC y TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv1 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 2: Parámetros de origen de registro SNMPv1 de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de origen de registro
McAfee ePolicy Orchestrator
Configuración del protocolo
SNMPv1
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv2 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 3: Parámetros de origen de registro SNMPv2 de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro
Tipo de origen de registro
McAfee ePolicy Orchestrator
Configuración del protocolo
SNMPv2
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo SNMPv3 que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 4: Parámetros de origen de registro SNMPv3 de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de origen de registro
McAfee ePolicy Orchestrator
Configuración del protocolo
SNMPv3
Identificador de origen de registro
Escriba un identificador único para el origen del registro.
En la tabla siguiente se describen los parámetros de origen de registro del protocolo JDBC que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 5: Parámetros de origen de registro de JDBC de McAfee EPolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de origen de registro
McAfee ePolicy Orchestrator
Configuración del protocolo
JDBC
Tipo de base de datos
Seleccione MSDE en la lista.
Nombre de la tabla
Una tabla o vista que incluye los registros de eventos de la siguiente manera:
En ePolicy Orchestrator 3.x, escriba Eventos.
En ePolicy Orchestrator 4.x, escriba EPOEvents.
Para ePolicy Orchestrator 5.x, escriba EPOEvents
En la tabla siguiente se describen los parámetros de origen de registro del protocolo syslog TLS que requieren valores específicos para recopilar eventos de McAfee ePolicy Orchestrator.
Tabla 6: Parámetros del origen del registro syslog TLS de McAfee ePolicy Orchestrator Parámetro
Valor
Nombre del origen del registro
Escriba un nombre único para el origen del registro.
Descripción del origen del registro (opcional)
Escriba una descripción para el origen del registro.
Tipo de origen de registro
McAfee ePolicy Orchestrator
Configuración del protocolo
TLS Syslog
Configuración de notificaciones SNMP en McAfee EPolicy Orchestrator
Para enviar eventos SNMP desde McAfee ePolicy Orchestrator a JSA, debe configurar las notificaciones SNMP en el dispositivo McAfee ePolicy Orchestrator.
Debe agregar un servidor registrado a McAfee ePolicy Orchestrator antes de completar los pasos siguientes.
Seleccione Menú >Automatización >Respuestas automáticas.
Haga clic en Nuevas respuestas y, a continuación, configure los siguientes valores.
Escriba un nombre y una descripción para la respuesta.
En la lista Grupo de eventos , seleccione Eventos de notificación de ePO.
En la lista Tipo de evento , seleccione Amenazas.
En la lista Estado , seleccione Habilitado.
Haga clic en Siguiente.
En la columna Valor , escriba el valor que desea utilizar para la selección del sistema o haga clic en el icono de puntos suspensivos.
Opcional: En la lista Propiedades disponibles , seleccione más filtros para restringir los resultados de la respuesta.
Haga clic en Siguiente.
Seleccione Desencadenar esta respuesta para cada evento y, a continuación, haga clic en Siguiente.
Cuando configure la agregación para las respuestas de McAfee ePolicy Orchestrator, no active la limitación.
En la lista Acciones , seleccione Enviar captura SNMP.
Configure los valores siguientes:
En la lista de servidores SNMP, seleccione el servidor SNMP que registró al agregar un servidor registrado.
En la lista Tipos disponibles , seleccione Lista de todos los valores.
Haga clic en >> para agregar el tipo de evento asociado a su versión de McAfee ePolicy Orchestrator. Utilice la siguiente tabla como guía:
Tipos disponibles
Tipos seleccionados
Versión de ePolicy Orchestrator
UTC detectado
{listOfDetectedUTC}
4.5, 5.9
UTC recibido
{listOfReceivedUTC}
4.5, 5.9
Detección de la dirección IPv4 del producto
{listOfAnalyzerIPV4}
4.5, 5.9
Detección de la dirección IPv6 del producto
{listOfAnalyzerIPV6}
4.5, 5.9
Detección de la dirección MAC del producto
{listOfAnalyzerMAC}
4.5, 5.9
Dirección IPv4 de origen
{listOfSourceIPV4}
4.5, 5.9
Dirección IPv6 de origen
{listOfSourceIPV6}
4.5, 5.9
Dirección MAC de origen
{listOfSourceMAC}
4.5, 5.9
Nombre de usuario de origen
{listOfSourceUserName}
4.5, 5.9
Dirección IPv4 de destino
{listOfTargetIPV4}
4.5, 5.9
Dirección IPv6 de destino
{listOfTargetIPV6}
4.5, 5.9
MAC de destino
{listOfTargetMAC}
4.5, 5.9
Puerto de destino
{listOfTargetPort}
4.5, 5.9
Identificador de evento de amenaza
{listOfThreatEventID}
4.5, 5.9
Identificador de evento de amenaza
{listOfThreatEventID}
4.5, 5.9
Gravedad de la amenaza
{listOfThreatSeverity}
4.5, 5.9
SourceComputers
4.0
EquiposIP afectados
4.0
ID de evento
4.0
TimeNotificationSent
4.0
Haga clic en Siguiente y, a continuación, haga clic en Guardar.
Agregue un origen de registro en JSA.
Instale la extensión de criptografía de Java para algoritmos de descifrado SNMP de alto nivel.
Instalación de Java Cryptography Extension en McAfee EPolicy Orchestrator
Java Cryptography Extension (JCE) es un marco Java que se requiere para que JSA descifre algoritmos de criptografía avanzados para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en el dispositivo McAfee ePolicy Orchestrator (McAfee ePO).
Descargue la última versión de la extensión de criptografía JavaTM desde el sitio web.
La versión de la extensión de criptografía JavaTM debe coincidir con la versión de Java instalada en el dispositivo McAfee ePO.
Copie el archivo comprimido JCE en el siguiente directorio del dispositivo McAfee ePO:
<installation path to McAfee ePO>/jre/lib/security
Instalación de Java Cryptography Extension en JSA
Java Cryptography Extension (JCE) es un marco Java que se requiere para que JSA descifre algoritmos de criptografía avanzados para AES192 o AES256. La siguiente información describe cómo instalar Oracle JCE en su dispositivo JSA.
Descargue la última versión de la extensión de criptografía JavaTM desde el sitio web.
La versión de JavaTM Cryptography Extension debe coincidir con la versión de Java instalada en JSA.
Extraiga el archivo JCE.
Los siguientes archivos de archivo Java (JAR) se incluyen en la descarga de JCE:
local_policy.jar
US_export_policy.jar
Inicie sesión en la consola de JSA o en el recopilador de eventos de JSA como usuario raíz.
Copie los archivos JAR JCE en el siguiente directorio de su consola JSA o recopilador de eventos:
/usr/java/j2sdk/jre/lib/
Nota:Los archivos JAR JCE solo se copian en el sistema que recibe los archivos cifrados AES192 o AE256.
Reinicie los servicios JSA escribiendo uno de los siguientes comandos:
Si utiliza JSA 2014.x, escriba service ecs-ec restart.
Si utiliza JSA 7.3.0, escriba systemctl restart ecs-ec.service.
Si utiliza JSA 7.3.1, escriba systemctl restart ecs-ec-ingress.service.
Mensajes de eventos de muestra de McAfee ePolicy Orchestrator
Utilice estos mensajes de eventos de ejemplo para verificar una integración correcta con JSA.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los retornos de carro o los caracteres de avance de línea.
Mensaje de suceso de ejemplo de McAfee ePolicy Orchestrator cuando se utiliza el protocolo JDBC
El siguiente mensaje de suceso de ejemplo muestra que se detectó, pero no se controló una intrusión en el host.
AutoID: "231426750" AutoGUID: "995F348A-4CA3-4CEF-B259-5E678106884E" ServerID: "QRADARSERVER1" ReceivedUTC: "2014-07-23 08:02:13.553" DetectedUTC: "2014-07-23 07:55:11.0" AgentGUID: "2AB7C0C3-23C5-4FBD-B0A6-9A3A9B802A9E" Analyzer: "HOSTIPS_8000" AnalyzerName: "McAfee Host Intrusion Prevention" AnalyzerVersion: "8.0.0" AnalyzerHostName: "QRADARANALYZER" AnalyzerIPV4: "739325208" AnalyzerIPV6: "[B@e00e408" AnalyzerMAC: "001cc4e0e79e" AnalyzerDATVersion: "null" AnalyzerEngineVersion: "null" AnalyzerDetectionMethod: "null" SourceHostName: "null" SourceIPV4: "739325208" SourceIPV6: "[B@7d03cef5" SourceMAC: "00005E005300" SourceUserName: "QRADAR\SYSTEM" SourceProcessName: "C:\WINNT\SYSTEM32\SERVICES.EXE" SourceURL: "file:///C:\WINNT\SYSTEM32\SERVICES.EXE" TargetHostName: "QRADAR" TargetIPV4: "739325208" TargetIPV6: "[B@cf5e07d2" TargetMAC: "00005E005300" TargetUserName: "null" TargetPort: "null" TargetProtocol: "null" TargetProcessName: "null" TargetFileName: "null" ThreatCategory: "hip.Registry" ThreatEventID: "18000" ThreatSeverity: "2" ThreatName: "915" ThreatType: "modify" ThreatActionTaken: "hip.reaction.permit" ThreatHandled: "false" TheTimestamp: "[B@6d04e225"
Mensaje de ejemplo de McAfee ePolicy Orchestrator cuando se utiliza el protocolo TLS Syslog
El siguiente mensaje de evento de ejemplo muestra que se eliminó un archivo infectado.
<29>1 2018-06-29T10:53:33.0Z mcafee.epo.test EPOEvents - EventFwd [agentInfo@3401 tenantId="1"
bpsId="1" tenantGUID="{00000000-0000-0000-0000-000000000000}" tenantNodePath="1\2"] <?
xml version="1.0" encoding="UTF-8"?><EPOEvent><MachineInfo><MachineName>mcafee.epo.test</
MachineName><AgentGUID>{890cc45c-7b89-11e8-1cd6-005056afc747}</
AgentGUID><IPAddress>10.254.35.131</IPAddress><OSName>Windows Server
2012 R2</OSName><UserName>SYSTEM</UserName><TimeZoneBias>-330</
TimeZoneBias><RawMACAddress>00-00-5E-00-53-00 through 00-00-5E-00-53-
FF</RawMACAddress></MachineInfo><SoftwareInfo ProductName="McAfee Endpoint
Security" ProductVersion="10.6.0" ProductFamily="TVD"><CommonFields><Analyzer>ENDP_AM_1060</
Analyzer><AnalyzerName>McAfee Endpoint Security</
AnalyzerName><AnalyzerVersion>10.6.0</AnalyzerVersion><AnalyzerHostName>mcafee.epo.test</
AnalyzerHostName><AnalyzerEngineVersion>5900.7806</
AnalyzerEngineVersion><AnalyzerDetectionMethod>On-Access
Scan</AnalyzerDetectionMethod><AnalyzerDATVersion>3389.0</AnalyzerDATVersion></
CommonFields><Event><EventID>1027</EventID><Severity>3</Severity><GMTTime>2018-06-29T10:52:58</
GMTTime><CommonFields><ThreatCategory>av.detect</ThreatCategory><ThreatEventID>1027</
ThreatEventID><ThreatSeverity>2</ThreatSeverity><ThreatName>Elspy.worm</
ThreatName><ThreatType>virus</ThreatType><DetectedUTC>2018-06-29T10:52:58Z</
DetectedUTC><ThreatActionTaken>IDS_ALERT_ACT_TAK_DEL</ThreatActionTaken><ThreatHandled>True</
ThreatHandled><SourceHostName>mcafee.epo.test</SourceHostName><SourceProcessName>c:\Program
Files\QRadar\file1.ext</SourceProcessName><TargetHostName>mcafee.epo.test</
TargetHostName><TargetUserName>domain\admin</TargetUserName><TargetFileName>c:\Program
Files\QRadar_v1\91</TargetFileName></CommonFields><CustomFields
target="EPExtendedEventMT"><BladeName>IDS_BLADE_NAME_SPB</
BladeName><AnalyzerContentCreationDate>2018-06-28T02:04:00Z</
AnalyzerContentCreationDate><AnalyzerGTIQuery>False</
AnalyzerGTIQuery><ThreatDetectedOnCreation>True</ThreatDetectedOnCreation><TargetName>91</
TargetName><TargetPath>c:\Program
Files\QRadar_v2\Desktop</TargetPath><TargetHash>ed066136978a05009cf30c35de92e08e</
TargetHash><TargetFileSize>70</TargetFileSize><TargetModifyTime>2018-06-29T10:52:57Z</
TargetModifyTime><TargetAccessTime>2018-06-29T10:52:57Z</
TargetAccessTime><TargetCreateTime>2018-06-29T10:52:57Z</TargetCreateTime><Cleanable>True</
Cleanable><TaskName>IDS_OAS_TASK_NAME</TaskName><FirstAttemptedAction>IDS_ALERT_THACT_ATT_CLE</
FirstAttemptedAction><FirstActionStatus>True</
FirstActionStatus><SecondAttemptedAction>IDS_ALERT_THACT_ATT_DEL</
SecondAttemptedAction><SecondActionStatus>False</
SecondActionStatus><AttackVectorType>4</AttackVectorType><DurationBeforeDetection>1</
DurationBeforeDetection><NaturalLangDescription>IDS_NATURAL_LANG_OAS_DETECTION_DEL|
TargetName=91|TargetPath=c:\Program Files\QRadar_v2\Desktop|
ThreatName=Elspy.worm|SourceProcessName=c:\Program Files\QRadar\file1.ext|
ThreatType=virus|TargetUserName=domain\admin</NaturalLangDescription><AccessRequested></
AccessRequested><DetectionMessage>IDS_OAS_DEFAULT_THREAT_MESSAGE</
DetectionMessage><AMCoreContentVersion>3389.0</AMCoreContentVersion></CustomFields></Event></
SoftwareInfo></EPOEvent>