Comment mettre en œuvre des packs de contenu SIEM
Articles techniques ID:
KB83783
Date de la dernière modification : 13/09/2022
Date de la dernière modification : 13/09/2022
Environnement
McAfee SIEM Enterprise Security Manager (ESM) 11.x
McAfee SIEM Advanced correlation Engine (ACE) 11.x
McAfee SIEM Event Receiver (Receiver) 11.x
McAfee SIEM Advanced correlation Engine (ACE) 11.x
McAfee SIEM Event Receiver (Receiver) 11.x
Synthèse
Dans ESM, vous pouvez télécharger et mettre en œuvre des packs de contenu que McAfee crée et distribue. Cet article explique comment mettre en œuvre des packs de contenu.
Remarques:
Remarques:
- Les packs de contenu sont compatibles avec les versions 11.x d’ESM et versions ultérieures. Cependant, tous les packs de contenu ne sont pas compatibles avec toutes les versions d’ESM. Vérifiez toujours la documentation du Pack de contenu et confirmez qu’il peut être utilisé avec votre installation SIEM.
- Pour obtenir la liste des questions fréquemment posées sur les packs de contenu, voir KB84036-FAQ pour les packs de contenu Siem.
Les packs de contenu vous permettent de sélectionner, de télécharger et de déployer facilement les paramètres de configuration SIEM critiques. Ces paramètres sont axés sur la surveillance des cas d’utilisation, tels que les menaces internes, les fuites de données, le contenu des e-mails, le pare-feu, l' activité malveillante, les logiciels malveillants, les stratégies, la reconnaissance, l'activité suspecte, le filtrage de contenu Webet Ces packs de contenu sont préconfigurés pour offrir aux utilisateurs un accès rapide aux fonctionnalités avancées de gestion des menaces ou de la conformité.
Un pack de contenu unique peut contenir des combinaisons d’un ou plusieurs des composants suivants :
- Alarmes
- Règles de corrélation
- Rapports et dispositions de rapport
- Variables
- Vues
- Listes de valeurs
Pour installer des packs de contenu
Les packs de contenu sont automatiquement téléchargés dans le cadre du processus de mise à jour des règles. Si l’ESM ne dispose pas d’un accès Internet externe, reportez-vous à la section intitulée « pour localiser et installer des packs de contenu à partir de la base de connaissances » pour obtenir des instructions d’installation.
Lors de la publication de nouveaux packs de contenu, un article distinct pour chaque pack de contenu est ajouté à la base de connaissances. Ces articles contiennent le Pack de contenu dans un .zip fichier, ainsi que des informations d’utilisation détaillées au format PDF.
Remarque: les articles Siem Content Pack ne sont disponibles que pour les utilisateurs ServicePortal enregistrés. Vous devez vous connecter à ServicePortal pour y accéder.
Les nouveaux articles du Pack de contenu sont ajoutés régulièrement. Suivez les étapes ci-dessous pour rechercher et installer manuellement un pack de contenu :
Les packs de contenu sont automatiquement téléchargés dans le cadre du processus de mise à jour des règles. Si l’ESM ne dispose pas d’un accès Internet externe, reportez-vous à la section intitulée « pour localiser et installer des packs de contenu à partir de la base de connaissances » pour obtenir des instructions d’installation.
- Dans le tableau de bord principal de l’ESM, cliquez sur l’icône Propriétés du système dans le coin supérieur droit.
- Dans la fenêtre Propriétés du système , cliquez sur l’onglet packs de contenu à gauche. Tous les packs de contenu installés sont affichés ici.
- Cliquez sur Parcourir pour afficher tous les packs de contenu disponibles.
- Dans la fenêtre Parcourir les contenus , activez la case à cocher en regard des packs de contenu que vous souhaitez installer, puis cliquez sur installer.
REMARQUES :- Il vous est demandé ce que vous souhaitez faire. Vous pouvez déployer la stratégie avec les installations de contenu Pack ou installer les packs de contenu sans déploiement de stratégie. Vous pouvez également annuler à ce stade.
- Lorsque les packs de contenu sont installés, l’état installé s’affiche dans la colonne Etat.
- Une fois que vous avez vérifié les informations dans la fenêtre installation terminée , cliquez sur Fermer, puis à nouveau sur Fermer dans la fenêtre Parcourir les packs de contenu .
- Les packs de contenu installés peuvent être gérés à partir de la fenêtre content packs installée.
Lors de la publication de nouveaux packs de contenu, un article distinct pour chaque pack de contenu est ajouté à la base de connaissances. Ces articles contiennent le Pack de contenu dans un .zip fichier, ainsi que des informations d’utilisation détaillées au format PDF.
Remarque: les articles Siem Content Pack ne sont disponibles que pour les utilisateurs ServicePortal enregistrés. Vous devez vous connecter à ServicePortal pour y accéder.
Les nouveaux articles du Pack de contenu sont ajoutés régulièrement. Suivez les étapes ci-dessous pour rechercher et installer manuellement un pack de contenu :
- Pour rechercher et télécharger le Pack de contenu:
- Accédez à https://supportm.trellix.com.
- Dans l’onglet Knowledge Center de ServicePortal, saisissez
siem content pack le champ terme de recherche, et dans la liste déroulante concordance, sélectionnez exactement. - Dans le champ produit, sélectionnez Siem-tous les produits.
- Cliquez sur Recherche. Les packs de contenu sont répertoriés comme étant enregistrés : Siem Content Pack fou
. - Cliquez sur un lien du Pack de contenu. Cette action ouvre l’article correspondant.
- Dans la section pièces jointes vers le bas de l’article, téléchargez le .zip fichier du Pack de contenu.
- Pour ajouter le Pack de contenu à l’ESM, procédez comme suit :
- Dans le tableau de bord principal de l’ESM, cliquez sur l’icône Propriétés du système dans l’angle supérieur droit.
- Dans la fenêtre Propriétés du système , cliquez sur l’onglet packs de contenu à gauche. Tous les packs de contenu installés sont affichés ici.
- Cliquez sur Parcourir ; Ensuite, dans la fenêtre Parcourir le contenu , cliquez sur Importer.
- Cliquez sur choisir un fichier, puis recherchez et sélectionnez le fichier du Pack .zip de contenu téléchargé.
- Cliquez sur Charger.
- Dans la fenêtre Parcourir les contenus , activez la case à cocher en regard des packs de contenu que vous souhaitez installer, puis cliquez sur installer.
REMARQUES :- Il vous est demandé ce que vous souhaitez faire. Vous pouvez déployer la stratégie avec les installations de contenu Pack ou installer les packs de contenu sans déploiement de stratégie. Vous pouvez également annuler à ce stade.
- Lorsque les packs de contenu sont installés, l’état installé s’affiche dans la colonne Etat.
- Une fois que vous avez vérifié les informations dans la fenêtre installation terminée , cliquez sur Fermer, puis à nouveau sur Fermer dans la fenêtre Parcourir les packs de contenu .
- Les packs de contenu installés peuvent être gérés à partir de la fenêtre content packs installée.
Comment modifier les composants d’alarme
Vous pouvez modifier les alarmes au sein des packs de contenu pour effectuer d’autres actions. Par exemple, pour envoyer des e-mails aux destinataires, marquer les systèmes dans ePO et exécuter des commandes à distance. Pour modifier ces paramètres :
- Dans l’arborescence de navigation du système ESM, cliquez sur Propriétés du système, alarmes.
- Mettez en surbrillance l’alarme que vous souhaitez modifier, puis cliquez sur modifier.
- Apportez les modifications requises et Enregistrez vos paramètres.
Remarque : Les configurations supplémentaires effectuées sur les alarmes des packs de contenu ne sont pas reportées si le Pack de contenu est mis à jour.
Pour plus d’informations sur les alarmes, reportez-vous à la section "utilisation des alarmes" de l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Pour plus d’informations sur les alarmes, reportez-vous à la section "utilisation des alarmes" de l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Comment modifier les paramètres de la règle de corrélation
Pour modifier les règles de corrélation :
Pour modifier les règles de corrélation :
- Cliquez sur l’icône Editeur de stratégies , puis sélectionnez corrélation sous types de règle.
- Mettez en surbrillance la règle de corrélation que vous souhaitez modifier, cliquez sur modifier, puis sur modifier. Vous pouvez ensuite modifier la logique ou les paramètres de la règle de corrélation.
- Enregistrez vos paramètres après avoir apporté vos modifications.
Pour plus d’informations sur les règles de corrélation, reportez-vous aux règles de corrélation "" et "exemple de sections de règles de corrélation personnalisées ou de" de composant dans l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Comment modifier les rapports et les dispositions de rapport
Les packs de contenu peuvent contenir des rapports et des dispositions de rapport. Les dispositions de rapport sont les modèles de rapports. Vous pouvez modifier l’aspect et le contenu du rapport en modifiant la disposition pour mieux répondre à vos besoins. Par exemple, vous pouvez modifier un rapport pour qu’il s’exécute automatiquement à une heure spécifique, être envoyé à des destinataires spécifiques ou être stocké dans des emplacements spécifiés/autres.
Les packs de contenu peuvent contenir des rapports et des dispositions de rapport. Les dispositions de rapport sont les modèles de rapports. Vous pouvez modifier l’aspect et le contenu du rapport en modifiant la disposition pour mieux répondre à vos besoins. Par exemple, vous pouvez modifier un rapport pour qu’il s’exécute automatiquement à une heure spécifique, être envoyé à des destinataires spécifiques ou être stocké dans des emplacements spécifiés/autres.
Pour modifier le rapport, procédez comme suit :
- Dans l’interface utilisateur d’ESM, cliquez sur l’icône rapport .
- Sélectionnez le rapport que vous souhaitez modifier, puis cliquez sur modifier. Vous pouvez modifier la condition, le fuseau horaire, le formulaire de datet, la langue, le format de rapportet les filtres utilisés dans le rapport.
- Pour modifier la disposition du rapport, cliquez sur le nom du rapport, puis cliquez sur modifier.
Remarque : Si aucun rapport n’existe, cliquez sur Ajouter dans la section rapports . Sélectionnez la disposition de rapport dont vous avez besoin dans la section 5 , puis cliquez sur modifier. (Vous pouvez choisir une disposition de rapport existante ou en créer une à inclure dans ce rapport.)
- Enregistrez vos paramètres après avoir apporté vos modifications.
Pour plus d’informations sur les rapports et les dispositions de rapport, reportez-vous aux rubriques suivantes de l’aide en ligne d’ESM :
- Gestion des rapports
- Ajout d’une condition de rapport
- Ajout d’une disposition de rapport
Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Comment modifier les variables
Les variables ajoutées via les packs de contenu peuvent être modifiées pour répondre aux besoins de votre organisation. Pour modifier une variable :
- Cliquez sur l’icône Editeur de stratégies , puis sélectionnez variable.
- Recherchez la variable que vous souhaitez modifier, cliquez sur modifier, puis sur modifier.
- Enregistrez vos paramètres après avoir apporté vos modifications.
Pour plus d’informations sur la gestion des variables et leur utilisation, reportez-vous à la section "variables" de l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Comment modifier les vues
Vous pouvez modifier les vues fournies par les packs de contenu pour modifier leur apparence ou les filtres utilisés avec eux. Toute modification apportée aux vues est rétablie sur la valeur par défaut lors d’une mise à jour vers un pack de contenu. Vous pouvez toutefois créer une version de la vue pour enregistrer vos personnalisations. Les vues peuvent encore être filtrées par le biais du volet filtre sur le côté droit de l’écran. Pour modifier la vue :
- Sélectionnez la vue, puis cliquez sur modifier la vue actuelle.
- Sélectionnez le composant que vous souhaitez modifier, puis cliquez sur modifier la requête.
- Enregistrez vos paramètres après avoir apporté vos modifications.
Pour plus d’informations sur la gestion des vues, reportez-vous à la section "gestion des vues" de l’aide en ligne d’ESM. Pour plus d’informations sur l’utilisation des filtres, reportez-vous à la section "Filtering views" de l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Comment modifier listes valeurs
Vous pouvez ajouter des valeurs aux listes de listes valeurs statiques fournies par les packs de contenu. Si un pack de contenu est mis à jour, les valeurs que vous avez ajoutées à la liste valeurs ne sont pas reportées. Pour ajouter d’autres éléments à un Liste valeurs, procédez comme suit :
- Cliquez sur l’icône Liste valeurs , sélectionnez les Liste valeurs que vous souhaitez modifier, puis cliquez sur modifier.
- Cliquez sur l’onglet valeurs , faites défiler la liste jusqu’en bas et ajoutez les valeurs à la fin du Liste valeurs.
Remarque : Spécifiez une seule entrée par ligne.
- Enregistrez vos paramètres après avoir apporté vos modifications.
Pour plus d’informations sur Listes valeurs, reportez-vous à la section "listes valeurs" de l’aide en ligne d’ESM. Pour accéder à l’aide en ligne à partir de l’ESM, cliquez sur l’icône d’aide dans le coin supérieur droit de la fenêtre ESM, ou cliquez sur le menu aide dans la console ESM.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :