McAfee Network Security Platform からアラート通知イベントを収集するには、管理者は IBM
QRadar にイベントを送信するように syslog フォワーダーを構成する必要があります。
始める前に
McAfee Network Security Platform からアラート通知イベントを収集するには、McAfee
Network Security Platform Manager が必要です。
手順
- McAfee Network Security Platform Manager ユーザー・インターフェースにログインします。
- Network Security Manager ダッシュボードで、 「構成」をクリックします。
- 「リソース・ツリー」 を展開し、 「IPS 設定」 ノードをクリックします。
- Alert Notification タブをクリックします。
- Alert Notification メニューで、 「Syslog」 タブをクリックします。
- アラート通知イベントを転送するため、以下のパラメーターを構成します。
表 1. McAfee Network Security Platform 6.x から 7.x のアラート通知パラメーター
パラメーター
|
説明
|
| Syslog 通知の有効化 (Enable Syslog Notification) |
McAfee Network Security Platform の Syslog 通知を有効にするには「はい (Yes)」を選択します。 イベントを QRadarに転送するには、このオプションを有効にする必要があります。
|
| 管理ドメイン |
以下のいずれかのオプションを選択します。
- 「現行 (Current)」 - 現行ドメインのアラートの Syslog 通知を送信するには、このチェック・ボックスを選択します。 このオプションはデフォルトで選択されています。
- 「子 (Children)」 - 現行ドメイン内の子ドメインのアラートの Syslog 通知を送信するには、このチェック・ボックスを選択します。
|
| サーバー名または IP アドレス |
ご使用の QRadar
Console または Event Collectorの IP アドレス。 このフィールドでは、IPv4 アドレスと IPv6 アドレスの両方がサポートされています。
|
| UDPポート |
Syslog イベントの UDP ポートとして 514 を入力します。
|
| ファシリティー (Facility) |
Syslog ファシリティー値を選択します。
|
| 重大度マッピング |
アラート通知レベル informational、low、medium、および high を Syslog 重大度にマップするための値を選択します。
このオプションには次のレベルがあります。
- 緊急 (Emergency) - システムが停止しているかまたは使用不可の状態です。
- アラート (Alert) - システムはユーザーによる即時の入力または介入を必要としています。
- 重大 (Critical) - システムの重大な状態を修正する必要があります。
- エラー (Error) - 緊急ではない障害がシステムで発生しています。
- 警告 (Warning) - システムに、エラーが発生する可能性を示す警告メッセージがあります。
- 注意 (Notice) - システムに通知があります。即時アクションは不要です。
- 通知 (Informational) - 通常の運用メッセージです。
|
| 次の場合に通知を送信 |
以下のチェック・ボックスを選択します。
- 攻撃定義でこの通知オプションが明示的に有効化されている (The attack definition has this notification option explicitly
enabled)
- 次の通知フィルターに一致する (The following notification filter is matched)」。リストから「重大度: 通知以上 (Severity Informational and later)」を選択します。
|
| IPS 検疫アラートの通知 (Notify on IPS Quarantine Alert) |
IPS 検疫の通知のオプションとして「いいえ (No)」を選択します。
|
| メッセージ設定 |
「 カスタマイズ 」オプションを選択します。
|
- 「メッセージ設定」 フィールドから、 「編集」 をクリックしてカスタム・メッセージ・フィルターを追加します。
- アラート通知を正しくフォーマットするため、以下のメッセージ文字列を入力します。
|$IV_ALERT_ID$|$IV_ALERT_TYPE$|$IV_ATTACK_TIME$|"$IV_ATTACK_NAME$"|$IV_ATTACK_ID$|$IV_ATTACK_SEVERITY$|$IV_ATTACK_SIGNATURE$|$IV_ATTACK_CONFIDENCE$|$IV_ADMIN_DOMAIN$|$IV_SENSOR_NAME$|$IV_INTERFACE$|$IV_SOURCE_IP$|$IV_SOURCE_PORT$|$IV_DESTINATION_IP$|$IV_DESTINATION_PORT$|$IV_DIRECTION$|$IV_SUB_CATEGORY$
注: カスタム・メッセージ・ストリングは、復帰やスペースを含まない単一行として入力する必要があります。 McAfee Network Security Platform では、各アラート・エレメントの前後に区切り文字としてドル記号 ($) を使用したカスタム・メッセージのフォーマットが必要です。 エレメントのドル記号がないと、アラート・イベントが正しくフォーマットされない可能性があります。
テキスト・エディターで、カスタム・メッセージ文字列を 1 行で入力し、適切にフォーマットする必要があります。
- 「保存」をクリックします。
McAfee Network Security Platform により生成されたアラート・イベントは、指定した Syslog 宛先に転送されます。 十分な数のイベントが McAfee Network Security Platform アプライアンスによって転送されると、ログ・ソースが自動的に検出されます。 通常、ログ・ソースの自動検出に必要なイベントの最小数は 25 です。
次に実行するタスク
管理者は QRadar
Console にログインして、ログ・ソースが QRadar
Console で作成されていること、および 「ログ・アクティビティー」 タブに McAfee Network Security Platform アプライアンスからのイベントが表示されていることを確認できます。