Este artigo fornece informações sobre as permissões necessárias para os eventos do TIE que precisam ser enviados do ePO para o SIEM da McAfee.
Se os eventos do TIE forem exibidos no ePO, mas não na interface do usuário do SIEM, onde outras origens de dados do ePO exibem eventos, talvez você precise editar as configurações de permissão para
Tópicos do tie no ePO.
As configurações a seguir devem ser reconfiguradas se você tiver:
- TIE adicionado ao ePO.
- Configurações de permissão alteradas recentemente no TIE.
- O recebimento de eventos de TIE foi interrompido no SIEM da McAfee.
o ePO tem que permitir que o TIE comunique eventos com o SIEM da McAfee em seu próprio tópico na malha do DXL. Se for possível ver os eventos do TIE no console do ePO, mas nenhum desses eventos estiver sendo relatado ao SIEM, você precisará configurar as
permissões de tópico para tie no ePO.
Etapas para definir permissões do tópico do TIE no ePO
- Entre no console do ePO usando a conta de administrador .
- Selecione configurações do servidor.
- Selecione as autorizações de tópico DXLna barra lateral.
- Localize o grupo de tópicos de notificação de reputação do servidor tie .
- Verifique se a coluna receber possui todos os sistemas ou uma marca específica para o Siem Event Receiver (ERC).
- Se essas configurações não forem exibidas no grupo de tópicos notificação de reputação de servidor tie , clique em Editar.
- Marque a caixa de seleção ao lado tópico de notificação de reputação de servidor tie .
- Use o menu ações e selecione restringir recebimento de marcas.
- Desmarque tudo para permitir que todos os sistemas obtenham notificações ou usem uma marca específica para o ERC (receptor de eventos do Siem).
- Selecione tarefas do servidor e execute a tarefa gerenciar agentes do DXL .
- Execute a tarefa de ativação do Agent no receptor (ERC) a partir do console do ePO.
- Com uma seção SSH no receptor de eventos do SIEM, reinicie os serviços do receptor executando NitroStop o e NitroStart o. Você também pode tentar reiniciar apenas o serviço coletor executando killall collectorsctl até que o collectorsctl processo seja fechado. Em seguida, reinicie o processo Executando collectorsctl -- +laux o collectorsctl .
- Aguarde 10 a 15 minutos e, em seguida, verifique se os eventos do TIE na GUI do SIEM são exibidos.
Etapas para definir as permissões de tópico MAR no ePO
- Entre no console do ePO usando a admin conta.
- Selecione configurações do servidor.
- Selecione as autorizações de tópico do DXL na barra lateral.
- Localize o grupo de tópicos da API do Active Response Server .
- Verifique se as colunas Enviar restrições e restrições de recebimento têm todos os sistemas ou uma marca específica ao Siem Event Receiver (ERC) selecionada.
- Se essas configurações não forem exibidas no grupo de tópicos da API do Active Response Server , clique em Editar.
- Marque a caixa de seleção ao lado tópico da API do Active Response Server .
- Use o menu ações e selecione restringir marcas do receptor.
- Desmarque tudo para permitir que todos os sistemas obtenham notificações ou usem uma marca específica para o ERC (receptor de eventos do Siem).
- Verifique se as restrições de envio e as restrições do receptor estão configuradas corretamente.
- Selecione tarefas do servidor e execute a tarefa gerenciar agentes do DXL .
- Execute a tarefa de ativação do Agent no receptor (ERC) a partir do console do ePO.
- Com uma seção SSH no receptor de eventos do SIEM, reinicie os serviços do receptor executando NitroStop o e NitroStart o. Você também pode tentar reiniciar apenas o serviço coletor executando killall collectorsctl até que o collectorsctl processo seja fechado. Em seguida, reinicie o processo Executando collectorsctl -- +laux o collectorsctl .
- Aguarde 10 a 15 minutos e, em seguida, verifique se os eventos do TIE na GUI do SIEM são exibidos.