この記事では、ePOからMcAfee SIEMに送信する必要があるTIEイベントに必要な権限について説明します。
TIEイベントがePOに表示されているのに、他のePOデータソースがイベントを表示するSIEMユーザーインターフェースにTIEイベントが表示されていない場合、ePOの
TIE トピックスの権限設定を編集する必要があるかもしれません。
以下の設定がある場合は再設定が必要です:
- ePO に TIE を追加しました。
- 最近 TIE の権限設定を変更しました。
- McAfee SIEM での TIE イベントの受信を停止しました。
ePOは、TIE が DXL ファブリック内の独自のトピックで McAfee SIEM にイベントを通信できるようにしなければなりません。 ePO コンソールで TIE イベントを確認できても SIEM に報告されない場合は、ePO で TIE の
Topic の権限を設定する必要があります。
ePO で TIE Topic の権限を設定する手順
- adminアカウントを使用してePOコンソールにログオンします。
- Server Settingsを選択します。
- サイドバーからDXL トピック承認 を選択します。
- TIE Server Reputation Notification のトピックグループを検索します。
- 受信列にすべてのシステムまたはSIEM Event Receiver (ERC)に固有のTagがあることを確認します。
- これらの設定がTIE Server Reputation Notificationのトピックグループに表示されていない場合は編集をクリックします。
- TIE Server Reputation Notificationトピックの横にあるチェックボックスを選択します。
- アクションメニューを使用して、受信タグを制限を選択します。
- すべてのシステムが通知を取得できるようにする、またはSIEM Event Receiver (ERC)に固有のTagを使用するには、すべての選択を解除します。
- サーバータスクを選択して、Manage DXL Brokersタスクを実行します。
- ePOコンソールからReceiver (ERC)でWake Up Agentタスクを実行します。
- SIEM Event Receiver上のSSHセッションでNitroStopとNitroStartを実行してReceiverサービスを再起動します。 NitroStop または NitroStartです。 また、collectorsctlプロセスが終了するまでkillall collectorsctlを実行して、collectorsctlサービスだけを再起動することもできます。 killall collectorsctl まで、 collectorsctl プロセスが終了します。 次に、開始します。 collectorsctl 実行時のプロセス collectorsctl -- +laux。
- 10~15分ほど待ってから、SIEM GUI上にTIEイベントが表示されていることを確認します。
ePO で MAR Topic の権限を設定する手順
- adminアカウントを使用してePOコンソールにログオンします。 adminアカウント
- Server Settingsを選択します。
- サイドバーからDXL トピック承認を選択します。
- Active Response Server API のトピックグループを検索します。
- Send RestrictionsまたはReceive Restrictions列にAll Systemsまたは選択されたSIEM Event Receiver (ERC)に固有のTagがあることを確認してください。
- これらの設定がActive Response Server APIのトピックグループに表示されていない場合は編集をクリックします。
- Active Response Server APIトピックの横にあるチェックボックスを選択してください。
- アクションメニューを使用して、受信タグを制限を選択します。
- すべてのシステムが通知を取得できるようにする、またはSIEM Event Receiver (ERC)に固有のTagを使用するには、すべての選択を解除します。
- Send RestrictionsとReceiver Restrictionsの両方が適切に構成されていることを確認してください。
- サーバータスクを選択して、Manage DXL Brokersタスクを実行します。
- ePOコンソールからReceiver (ERC)でWake Up Agentタスクを実行します。
- SIEM Event Receiver上のSSHセッションでNitroStopとNitroStartを実行してReceiverサービスを再起動します。 NitroStop および NitroStartです。 また、collectorsctlプロセスが終了するまでkillall collectorsctlを実行して、collectorsctlサービスだけを再起動することもできます。 killall collectorsctl まで、 collectorsctl プロセスが終了します。 次に、開始します。 collectorsctl 実行時のプロセス collectorsctl -- +laux。
- 10~15分ほど待ってから、SIEM GUI上にTIEイベントが表示されていることを確認します。