En este artículo se proporciona información sobre los permisos necesarios para que los eventos de TIE se deban enviar desde ePO al McAfee SIEM.
Si se muestran eventos de coincidencia en ePO pero no en la interfaz de usuario de SIEM en la que otros orígenes de datos de ePO muestran eventos, es posible que tenga que editar la configuración de permisos para los
temas de Liga en ePO.
La siguiente configuración se debe volver a configurar si:
- Se ha agregado el enlace a ePO.
- La configuración de permisos cambiada recientemente es VINCULAda.
- Se ha detenido la recepción de eventos de coincidencia en el McAfee SIEM.
ePO tiene que permitir el empate para comunicar eventos a McAfee SIEM en su propio tema en el tejido de DXL. Si puede ver la TIE de eventos en la consola de ePO, pero no se está enviando ningún evento a SIEM, debe configurar el
tema permisos de empate en ePO.
Pasos para definir los permisos del tema de empate en ePO
- Inicie sesión en la consola de ePO mediante la cuenta de Administrador .
- Seleccione configuración del servidor.
- Seleccione DXL topic authorizations en la barra lateral.
- Localice el grupo de temas notificación de reputación de servidor de TIE .
- Verifique que la columna recepción tenga todos los sistemas o una etiqueta específica de Siem Event Receiver (ERC).
- Si esta configuración no aparece en el grupo de temas notificación de reputación servidor de TIE , haga clic en Editar.
- Seleccione la casilla de verificación situada junto al tema servidor de TIE la notificación de reputación .
- Utilice el menú acciones y seleccione restringir etiquetas de recepción.
- Anule la selección de todo para permitir que todos los sistemas obtengan notificaciones o utilice una etiqueta específica para el receptor de eventos de Siem (ERC).
- Seleccione tareas servidor y ejecute la tarea administrar brókers de DXL .
- Lleve a cabo la tarea de Agent de activación en el receptor (ERC) desde la consola de ePO.
- Con una sesión SSH en el receptor de eventos de SIEM, reinicie los servicios de receptor mediante la ejecución NitroStop de NitroStart . También puede intentar reiniciar solo el servicio de recopilación mediante la ejecución killall collectorsctl hasta que se cierre el collectorsctl proceso. A continuación, reinicie el proceso mediante la collectorsctl ejecución collectorsctl -- +laux de.
- Espere entre 10 y 15 minutos y, a continuación, verifique que se muestran los eventos de TIE en la GUI de SIEM.
Pasos para establecer los permisos del tema de MAR en ePO
- Inicie sesión en la consola de ePO mediante la admin cuenta.
- Seleccione configuración del servidor.
- Seleccione DXL topic authorizations en la barra lateral.
- Localice el grupo de temas API del servidor de Active Response .
- Verifique que las columnas restricciones de envío y restricciones de recepción tengan todos los sistemas o una etiqueta específica para el receptor de eventos de Siem (ERC) seleccionado.
- Si esta configuración no aparece en el grupo de temas API del servidor de Active Response , haga clic en Editar.
- Seleccione la casilla de verificación situada junto al tema API del servidor de Active Response .
- Utilice el menú acciones y seleccione restringir etiquetas de receptor.
- Anule la selección de todo para permitir que todos los sistemas obtengan notificaciones o utilice una etiqueta específica para el receptor de eventos de Siem (ERC).
- Verifique que las restricciones de envío y de receptor estén configuradas correctamente.
- Seleccione tareas servidor y ejecute la tarea administrar brókers de DXL .
- Lleve a cabo la tarea de Agent de activación en el receptor (ERC) desde la consola de ePO.
- Con una sesión SSH en el receptor de eventos de SIEM, reinicie los servicios de receptor mediante la ejecución NitroStop de NitroStart . También puede intentar reiniciar solo el servicio de recopilación mediante la ejecución killall collectorsctl hasta que se cierre el collectorsctl proceso. A continuación, reinicie el proceso mediante la collectorsctl ejecución collectorsctl -- +laux de.
- Espere entre 10 y 15 minutos y, a continuación, verifique que se muestran los eventos de TIE en la GUI de SIEM.