ePO 提供了一个选项以发送简单网络管理协议 (SNMP) 陷阱作为 自动响应 操作。 本文介绍在
EPO-MIB.mib文件。
陷阱类型
以下为五种陷阱类型
epoAlerting#,如图 1 所示:
- epoThreatEvent -ePO 事件类别的类型。
- epoStatusEvent-ePO 事件类别的类型。
- epoClientStatusEvent- ePO 事件类别的类型。
- ePOTestEvents - 用于测试,当用户单击 ePO SNMP 配置 UI 中的测试按钮时发送。
- rsdAddDetectedSystemEvent-事件Rogue System Detection类型。
图 1:ePO 陷阱类型
ePOEvent 条目
图 1 显示了以下定义的五个条目类型
epoEvent,则每个陷阱类型都有一个陷阱。 这些条目包含对象,这些对象可包含在特定的 TRAP 中;
ePOEventEntry 包含属于此组的对象
epoThreatEvent 陷阱;
epoServerEventEntry 包含属于此组的对象
epoStatusEvent 陷阱。
此外,有三个对象属于任意陷阱:
- epoCount- 事件的总数。
- epoResponseEventType- 事件类型。
- epoResponseRuleName-用户名响应规则。
epoEventEntry
如前文所介绍,
epoEventEntry包含属于
epoThreatEvent陷阱。 每个 威胁事件 属性都有四个条目;一个用于属性本身,三个用于合计。 这四个对象名称如下:
- epoEvent= 事件属性本身的值。
- epoEventDistinctCountOf- 不同属性值的数量。
- epoEventSetOf- 值集(仅不同值)。
- epoEventListOf - 值(所有值)的列表。
例如,图 2 显示下面列出的前四个条目
epoEventEntry 都是
ReceivedUTC性能。
图 2:epoThreatEvent TRAP 条目
其他威胁事件属性信息
MIB 本身包含每个对象的说明字符串。 大多数事件条目属性都是直接从 ePO 事件表列提取,如表 1 所示。
领域 |
属性 |
目的 |
AgentGUID |
唯一标识符,必需 |
报告 CMA 代理标识符。 在所有 ePO 服务器上所有 ePO 代理中唯一。 |
ReceivedUTC |
Datetime,必需,默认=GETDATE() |
事件存储在数据库中的日期/时间(以 UTC 日期时间格式存储)。 |
DetectedUTC |
Datetime,必填项 |
分析器检测到此事件的日期/时间。 ReceivedUTC 不同且始终在之前(请参阅上)。 以 UTC 格式存储。 |
Analyzer |
Nvarchar(16),必需 |
生成此事件的软件/硬件。 此事件是 ePO 传统 SoftwareID 或 ProductCode 的不活动事件。 示例: VSE8000 |
AnalyzerName |
Nvarchar(64),必需 |
产品名称为可显示字符串。 |
AnalyzerVersion |
Nvarchar(20),必需 |
分析器的版本字符串。 |
AnalyzerHostName |
Nvarchar(128),可选 |
计算机的网络主机名,包括所需的域前缀。 |
AnalyzerIPV4 |
Int,可选,default=null |
分析器 32 位 IPv4 地址。 |
AnalyzerIPV6 |
二进制文件 (16),可选,默认为 null |
分析器 128 位 IPv6 地址。 |
AnalyzerMAC |
Nvarchar(16),可选,默认为 null |
分析MAC 地址的索引。 |
AnalyzerDATVersion |
Nvarchar(20),可选,默认为 null |
以下时间后,详细信息会存储在此处:
- 通过使用 DAT 技术的产品检测到威胁。
以及
- 检测事件事件DAT 版本。
|
AnalyzerENGVersion |
Nvarchar(20),可选,默认为 null |
以下时间后,详细信息会存储在此处:
- 通过使用该技术的产品检测到扫描引擎威胁。
以及
- 事件报告此引擎版本字符串。
|
SourceHostName |
Nvarchar(128),可选,默认为 null |
如果威胁来源主机名,例如 IPS 事件(如果可检测到)主机名。 |
SourceIPV4 |
Int,可选,default=null |
威胁来源 32 位 IPv4 地址。 |
SourceIPV6 |
二进制文件 (16),可选,默认为 null |
128 位 IPv6 地址。 |
SourceMAC |
Nvarchar(16),可选,默认为 null |
适用威胁来源 MAC 地址可用。 |
SourceUserName |
Nvarchar(128),可选,默认为 null |
威胁来源用户名或电子邮件地址。 |
SourceProcessName |
Nvarchar(128),可选,默认为 null |
进程威胁来源(如果可检测到)。 |
SourceURL |
Nvarchar(256),可选,默认为 null |
目标威胁来源 URL(如果可检测到)(对于触发威胁检测的 http 请求)。 |
TargetHostName |
Nvarchar(128),可选,默认为 null |
主机威胁目标主机名(如适用)(如 IPS 事件)。 |
TargetIPV4 |
Int,可选,default=null |
32 位 威胁目标 IPv4 地址。 |
TargetIPV6 |
二进制文件 (16),可选,默认为 null |
128 位 IPv6 地址。 |
TargetMAC |
Nvarchar(16),可选,默认为 null |
威胁目标 MAC 地址(如适用)。 |
TargetUserName |
Nvarchar(128),可选,默认为 null |
用户名威胁目标电子邮件地址。 |
TargetPort |
Smallint,可选,default=null |
威胁目标威胁类别的主端口。 |
TargetProtocol |
Nvarchar(16),可选,默认为 null |
网络威胁目标威胁类(http、ftp、Netbios、SMTP、SNMP)的加密协议,请从 Linux /etc/services 文件选择您喜欢的协议。 |
TargetProcessName |
Nvarchar(128),可选,默认为 null |
进程威胁目标(如适用)。 |
TargetFileName |
Nvarchar(256),可选,默认为 null |
文件名威胁目标(如适用)。 |
ThreatCategory |
Nvarchar(128),必需 |
描述威胁的层级类别字符串。 |
ThreatEventID |
uint32, uint32 |
事件 ID (当前为 TVD 事件标识符)。 托管产品从 McAfee 获取事件 ID 范围。 |
ThreatSeverity |
uint32,必需,default=1 |
事件实例的严重性。 摘要地,此值从一 (1) 到七 (7) 个,其中 (1) 具有最高严重性,(7) 表示最低严重性/信息。 |
ThreatName |
uint32必填 |
此威胁的名称,如病毒、防火墙规则名称。 |
ThreatType |
Nvarchar(32),必需 |
事件类型的依赖于分析器的分类。 例如,VSE 用作"病毒"、"特洛伊木马程序"、"pup"。 如果 ePO 为托管产品提供建议,以使用产品代码为值添加前缀,则提供友好的解码器。 |
ThreatActionTaken |
Nvarchar(32),必填,默认=无 |
对威胁采取的操作(如果有)。 例如,"清理"、"已删除"、"阻止"。 ePO 会为托管产品提供建议,以使用产品代码为值添加前缀,并提供友好的解码器。 |
ThreatHandled |
位,可选,default=null |
指明威胁是否已处理。 当前支持零或一个,表示未处理和已处理状态。 如果事件并非以威胁为导向,则设为 null。 |
表 1:ePO 事件表定义
以下为不是 事件 表一部分的属性列表。 它们未包括在表 1 中:
- DefinedAt- 定义规则的节点 ID。
- EventDesc- 事件说明。
- NodeTextPath- 节点路径文本。
您实际上要进入 TRAP 的对象取决于自动响应规则的配置方式。 此配置包括累积规则设置。 此外,还显示选定的事件类型和属性。