本文提供有关需要从 ePO 发送到 SIEM 的 TIE 事件所需的权限的信息。
如果 TIE 事件显示在 ePO 中而不是在其他 ePO 数据来源显示事件的 SIEM 用户界面中,则可能需要编辑 ePO 中
TIE 主题 的权限设置。
以下设置必须在以下情况下重新配置:
- 如果您已将 TIE 添加到 ePO
- 如果您最近在 TIE 中更改了权限设置
- 如果您已停止在 SIEM 中收到 TIE 事件
ePO 必须允许 TIE 将事件与 SIEM 在 DXL 结构中的相关主题进行通信。如果您可以在 ePO 控制台中看到 TIE 事件,但这些事件均未报告给 SIEM,则您需要在 ePO 中配置 TIE 的
主题权限 。
在 ePO 中设置 TIE 主题权限的步骤:
- 使用 admin 帐户登录 ePO 控制台。
- 选择服务器设置。
- 从侧边栏选择DXL 主题授权。
- 找到TIE 服务器信誉通知主题组。
- 验证 Receive 列中是否包含特定于 SIEM 事件接收器(ERC)的 所有系统 或 标记 。
- 如果这些设置未显示在 TIE 服务器信誉通知 主题组中,请单击 编辑。
- 选择 TIE 服务器信誉通知 选项。
- 使用操作菜单,然后选择限制接收标记。
- 取消选择所有项目,以允许所有系统获取通知或使用特定于 ERC 的 标记 。
- 选择服务器任务并运行管理 DXL 代理任务。
- 从 ePO 控制台执行ERC上的唤醒代理任务。
- 通过 ERC 上的 SSH 会话,通过运行 NitroStop 和 NitroStart 来重新启动接收器服务。您也可以尝试仅通过运行 killall collectorsctl 收集器服务来重新启动,直到该 collectorsctl 进程关闭。下一步,通过运行 collectorsctl -- +laux 来重新启动 collectorsctl 进程。
- 等待 10–15 分钟,然后验证 SIEM GUI 中的 TIE 事件是否已显示。
在 ePO 中设置 Active Response 主题权限的步骤:
- 使用 admin 帐户登录 ePO 控制台。
- 选择服务器设置。
- 从侧边栏选择DXL 主题授权。
- 找到Active Response 服务器 API主题组。
- 验证发送限制和接收限制列具有所有系统或一个特定于选定的 SIEM 事件接收器 (ERC) 的标记。
- 如果这些设置未显示在 Active Response 服务器 API 主题 "组中,请单击 编辑。
- 选中Active Response 服务器 API主题旁边的复选框。
- 使用操作菜单,然后选择限制接收标记。
- 取消选择所有内容以允许所有系统获取通知或使用特定于 SIEM 事件接收器 (ERC) 的标记。
- 确认发送限制和接收器限制已正确配置。
- 选择服务器任务并运行管理 DXL 代理任务。
- 在 ePO 控制台的接收器 (ERC) 上执行唤醒代理任务。
- 使用 SIEM 事件接收器上的 SSH 会话,通过运行 NitroStop 和 NitroStart 来重新启动接收器服务。您也可以尝试仅通过运行 killall collectorsctl 收集器服务来重新启动,直到该 collectorsctl 进程关闭。下一步,通过运行 collectorsctl -- +laux 来重新启动 collectorsctl 进程。
- 等待 10–15 分钟,然后验证 SIEM GUI 中的 TIE 事件是否已显示。