McAfee Network Security Platform からアラート通知イベントを収集するには、管理者がイベントを IBM
QRadarに送信するように syslog フォワーダーを構成する必要があります。
始める前に
McAfee Network Security Platform からアラート通知イベントを収集するには、McAfee
Network Security Platform Manager が必要です。
手順
- McAfee Network Security Platform Manager ユーザー・インターフェースにログインします。
- Network Security Manager ダッシュボードで、 「構成」をクリックします。
- 「リソース・ツリー」から、 ルート ・ノード (Admin-Domain-Name) をクリックします。
- をクリックします。
- Syslog サーバー の詳細パラメーターを構成します。
| パラメーター |
値 |
| Enable Syslog Forwarder |
はい |
| ポート |
514 |
- 「編集」をクリックします。
- 以下のいずれかのバージョンを選択します。
表 1. McAfee Network Security Platform 2.x から 5.x のカスタム・メッセージ・フォーマット
バージョン
|
説明
|
| Unpatched McAfee Network Security Platform 2.x systems |
|$ALERT_ID$|$ALERT_TYPE$|$ATTACK_TIME$|"$ATTACK_NAME$"|$ATTACK_ID$|$ATTACK_SEVERITY$|$ATTACK_SIGNATURE$|$ATTACK_CONFIDENCE$|$ADMIN_DOMAIN$|$SENSOR_NAME$|$INTERFACE$|$SOURCE_IP$|$SOURCE_PORT$|$DESTINATION_IP$|$DESTINATION_PORT$|
|
| McAfee Network Security Platform that has patches applied to update to 3.x -
5.x. |
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$|"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$|$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|
|
注: カスタム・メッセージ・ストリングは、復帰やスペースを含まない単一行として入力する必要があります。 ソフトウェア・パッチが適用されていない McAfee Network Security Platform アプライアンスでは、パッチが適用されているシステムとは異なるメッセージ・ストリングが使用されます。 カスタム・メッセージ・フォーマットには、各アラート・エレメントの前後に区切り文字としてドル記号 ($) を含める必要があります。 エレメントのドル記号がないと、アラート・イベントが正しくフォーマットされない可能性があります。
使用するイベント・メッセージ・フォーマットが分からない場合は、McAfee のお客様サポートにお問い合わせください。
- 「保存」をクリックします。
McAfee Network Security Platform によってアラート・イベントが生成されると、指定した Syslog 宛先に転送されます。 十分な数のイベントが McAfee Network Security Platform アプライアンスによって転送されると、ログ・ソースが自動的に検出されます。 通常、ログ・ソースの自動検出に必要なイベントの最小数は 25 です。
次に実行するタスク
管理者は QRadar
Console にログインして、ログ・ソースが QRadar
Console で作成されていること、および 「ログ・アクティビティー」 タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。