Pour envoyer des événements SNMP de McAfee ePolicy Orchestrator à IBM®
QRadar®, vous devez configurer les notifications SNMP sur votre périphérique McAfee ePolicy Orchestrator.
Avant de commencer
Vous devez ajouter un serveur enregistré à McAfee ePolicy Orchestrator avant de procéder aux étapes suivantes. Pour plus d'informations, voir Enregistrement des serveurs syslog (https://docs.mcafee.com/bundle/epolicy-orchestrator-5.10.0-product-guide/page/GUID-5C5332B3-837A-4DDA-BE5C-1513A230D90A.html).
Procédure
- Sélectionnez .
- Cliquez sur Nouvelles réponses, puis configurez les valeurs suivantes.
- Entrez un nom et une description pour la réponse.
- Dans la liste Groupe d'événements, sélectionnez Evénements de notification ePO.
- Dans la liste Type d'événement, sélectionnez Menaces.
- Dans la liste Statut, sélectionnez Activé.
- Cliquez sur Suivant.
- Dans la colonne Valeur , entrez une valeur à utiliser pour la sélection du système ou cliquez sur l'icône des points de suspension.
- Facultatif: Dans la liste Propriétés disponibles , sélectionnez des filtres supplémentaires pour limiter les résultats de la réponse.
- Cliquez sur Suivant.
- Sélectionnez Déclencher cette réponse pour chaque événement , puis cliquez sur Suivant.
Lorsque vous configurez l'agrégation pour vos réponses McAfee ePolicy Orchestrator, n'activez pas la régulation.
- Dans la liste Actions , sélectionnez Envoyer une alerte SNMP.
- Configurez les valeurs suivantes :
- Dans la liste des serveurs SNMP, sélectionnez le serveur SNMP que vous avez enregistré lorsque vous avez ajouté un serveur enregistré.
- Dans la liste Types disponibles, sélectionnez Liste de toutes les valeurs.
- Cliquez sur >> pour ajouter le type d'événement associé à votre version McAfee ePolicy Orchestrator. Utilisez le tableau suivant comme guide :
Types disponibles |
Types sélectionnés |
Version ePolicy Orchestrator |
UTC détectée |
{listOfDetectedUTC} |
4.5, 5.9 |
UTC reçu |
{listOfReceivedUTC} |
4.5, 5.9 |
Détection de l'adresse IPv4 du produit |
{listOfAnalyzerIPV4} |
4.5, 5.9 |
Détection de l'adresse IPv6 du produit |
{listOfAnalyzerIPV6} |
4.5, 5.9 |
Détection d'une adresse MAC du produit |
{listOfAnalyzerMAC} |
4.5, 5.9 |
Adresse IPv4 source |
{listOfSourceIPV4} |
4.5, 5.9 |
Adresse IPv6 source |
{listOfSourceIPV6} |
4.5, 5.9 |
Adresse MAC source |
{listOfSourceMAC} |
4.5, 5.9 |
Nom de l'utilisateur source |
{listOfSourceUserName} |
4.5, 5.9 |
Adresse IPv4 cible |
{listOfTargetIPV4} |
4.5, 5.9 |
Adresse IPv6 cible |
{listOfTargetIPV6} |
4.5, 5.9 |
MAC cible |
{listOfTargetMAC} |
4.5, 5.9 |
Port cible |
{listOfTargetPort} |
4.5, 5.9 |
ID d'événement de menace |
{listOfThreatEventID} |
4.5, 5.9 |
ID d'événement de menace |
{listOfThreatEventID} |
4.5, 5.9 |
Gravité de la menace |
{listOfThreatSeverity} |
4.5, 5.9 |
SourceComputers |
|
4.0 |
AffectedComputerIPs |
|
4.0 |
EventIDs |
|
4.0 |
TimeNotificationSent |
|
4.0 |
- Cliquez sur Suivant, puis sur Sauvegarder.
Etape suivante
- Ajoutez une source de journal dans QRadar.
- Installez Java™ Cryptography Extension pour les algorithmes de déchiffrement SNMP de haut niveau.