In questo articolo vengono fornite informazioni sulle autorizzazioni necessarie per gli eventi TIE che devono essere inviati da ePO alla McAfee SIEM.
Se gli eventi TIE vengono visualizzati in ePO ma non nell'interfaccia utente SIEM in cui altre origini dati ePO visualizzano gli eventi, potrebbe essere necessario modificare le impostazioni di autorizzazione per gli
argomenti Tie in ePO.
Le seguenti impostazioni devono essere riconfigurate se si dispone di:
- Aggiunto TIE a ePO.
- Impostazioni di autorizzazione modificate di recente in TIE.
- Interruzione della ricezione degli eventi TIE nel McAfee SIEM.
ePO deve consentire a TIE di comunicare gli eventi alla McAfee SIEM sul proprio argomento nel tessuto DXL. Se è possibile visualizzare gli eventi TIE nella console ePO ma nessuno di questi eventi viene segnalato a SIEM, è necessario configurare l'
argomento Autorizzazioni per tie in ePO.
Procedura per impostare le autorizzazioni dell'argomento TIE in ePO
- Accedere alla console ePO utilizzando l'account admin .
- Selezionare impostazioni del server.
- Selezionare autorizzazioni argomento DXL dalla barra laterale.
- Individuare il gruppo di argomenti di notifica di server Tie reputazione .
- Verificare che la colonna Receive disponga di tutti i sistemi o di un tag specifico per Siem Event Receiver (CER).
- Se queste impostazioni non vengono visualizzate nel gruppo di argomenti di notifica di server Tie reputazione , fare clic su modifica.
- Selezionare la casella di controllo accanto all'argomento Server Tie notifica reputazione .
- Utilizzare il menu azioni e selezionare Blocca tag di ricezione.
- Deselezionare tutto per consentire a tutti i sistemi di ricevere le notifiche o utilizzare un tag specifico per Siem Event Receiver (CER).
- Selezionare attività server ed eseguire l'attività Gestisci broker DXL .
- Eseguire l'attività di attivazione Agent sul Receiver (ERC) dalla console di ePO.
- Con una sessione SSH sul Receiver Event SIEM, riavviare i servizi NitroStop Receiver eseguendo e NitroStart . È inoltre possibile provare a riavviare solo il servizio di killall collectorsctl raccolta eseguendo fino alla chiusura del collectorsctl processo. Successivamente, riavviare il collectorsctl processo collectorsctl -- +laux eseguendo.
- Attendere 10 – 15 minuti, quindi verificare che gli eventi TIE nell'interfaccia utente di SIEM siano visualizzati.
Procedura per impostare le autorizzazioni per l'argomento MAR in ePO
- Accedere alla console ePO utilizzando l' admin account.
- Selezionare impostazioni del server.
- Selezionare autorizzazioni argomento DXL dalla barra laterale.
- Individuare il gruppo di argomenti dell' API Active Response server .
- Verificare che le colonne Invia restrizioni e Ricevi restrizioni dispongano di tutti i sistemi o di un tag specifico per Siem Event Receiver (ERC) selezionato.
- Se queste impostazioni non vengono visualizzate nel gruppo di argomenti dell' API del server di risposta attiva , fare clic su modifica.
- Selezionare la casella di controllo accanto all'argomento API Active Response server .
- Utilizzare il menu azioni e selezionare limita Tag ricevitore.
- Deselezionare tutto per consentire a tutti i sistemi di ricevere le notifiche o utilizzare un tag specifico per Siem Event Receiver (CER).
- Verificare che entrambe le restrizioni di invio e le restrizioni del destinatario siano configurate correttamente.
- Selezionare attività server ed eseguire l'attività Gestisci broker DXL .
- Eseguire l'attività di attivazione Agent sul Receiver (ERC) dalla console di ePO.
- Con una sessione SSH sul Receiver Event SIEM, riavviare i servizi NitroStop Receiver eseguendo e NitroStart . È inoltre possibile provare a riavviare solo il servizio di killall collectorsctl raccolta eseguendo fino alla chiusura del collectorsctl processo. Successivamente, riavviare il collectorsctl processo collectorsctl -- +laux eseguendo.
- Attendere 10 – 15 minuti, quindi verificare che gli eventi TIE nell'interfaccia utente di SIEM siano visualizzati.