Configuration des notifications SNMP sur McAfee ePolicy Orchestrator

Pour envoyer des événements SNMP de McAfee ePolicy Orchestrator à IBM® QRadar®, vous devez configurer les notifications SNMP sur votre périphérique McAfee ePolicy Orchestrator.

Avant de commencer

Vous devez ajouter un serveur enregistré à McAfee ePolicy Orchestrator avant de procéder aux étapes suivantes. Pour plus d'informations, voir Enregistrement des serveurs syslog (https://docs.mcafee.com/bundle/epolicy-orchestrator-5.10.0-product-guide/page/GUID-5C5332B3-837A-4DDA-BE5C-1513A230D90A.html).

Procédure

  1. Sélectionnez Menu > Automatisation > Réponses automatiques.
  2. Cliquez sur Nouvelles réponses, puis configurez les valeurs suivantes.
    1. Entrez un nom et une description pour la réponse.
    2. Dans la liste Groupe d'événements, sélectionnez Evénements de notification ePO.
    3. Dans la liste Type d'événement, sélectionnez Menaces.
    4. Dans la liste Statut, sélectionnez Activé.
  3. Cliquez sur Suivant.
  4. Dans la colonne Valeur , entrez une valeur à utiliser pour la sélection du système ou cliquez sur l'icône des points de suspension.
  5. Facultatif: Dans la liste Propriétés disponibles , sélectionnez des filtres supplémentaires pour limiter les résultats de la réponse.
  6. Cliquez sur Suivant.
  7. Sélectionnez Déclencher cette réponse pour chaque événement , puis cliquez sur Suivant.

    Lorsque vous configurez l'agrégation pour vos réponses McAfee ePolicy Orchestrator, n'activez pas la régulation.

  8. Dans la liste Actions , sélectionnez Envoyer une alerte SNMP.
  9. Configurez les valeurs suivantes :
    1. Dans la liste des serveurs SNMP, sélectionnez le serveur SNMP que vous avez enregistré lorsque vous avez ajouté un serveur enregistré.
    2. Dans la liste Types disponibles, sélectionnez Liste de toutes les valeurs.
    3. Cliquez sur >> pour ajouter le type d'événement associé à votre version McAfee ePolicy Orchestrator. Utilisez le tableau suivant comme guide :
    Types disponibles Types sélectionnés Version ePolicy Orchestrator
    UTC détectée {listOfDetectedUTC} 4.5, 5.9
    UTC reçu {listOfReceivedUTC} 4.5, 5.9
    Détection de l'adresse IPv4 du produit {listOfAnalyzerIPV4} 4.5, 5.9
    Détection de l'adresse IPv6 du produit {listOfAnalyzerIPV6} 4.5, 5.9
    Détection d'une adresse MAC du produit {listOfAnalyzerMAC} 4.5, 5.9
    Adresse IPv4 source {listOfSourceIPV4} 4.5, 5.9
    Adresse IPv6 source {listOfSourceIPV6} 4.5, 5.9
    Adresse MAC source {listOfSourceMAC} 4.5, 5.9
    Nom de l'utilisateur source {listOfSourceUserName} 4.5, 5.9
    Adresse IPv4 cible {listOfTargetIPV4} 4.5, 5.9
    Adresse IPv6 cible {listOfTargetIPV6} 4.5, 5.9
    MAC cible {listOfTargetMAC} 4.5, 5.9
    Port cible {listOfTargetPort} 4.5, 5.9
    ID d'événement de menace {listOfThreatEventID} 4.5, 5.9
    ID d'événement de menace {listOfThreatEventID} 4.5, 5.9
    Gravité de la menace {listOfThreatSeverity} 4.5, 5.9
    SourceComputers   4.0
    AffectedComputerIPs   4.0
    EventIDs   4.0
    TimeNotificationSent   4.0
  10. Cliquez sur Suivant, puis sur Sauvegarder.

Etape suivante

  1. Ajoutez une source de journal dans QRadar.
  2. Installez Java™ Cryptography Extension pour les algorithmes de déchiffrement SNMP de haut niveau.