Cet article fournit des informations sur les autorisations requises pour les événements TIE qui doivent être envoyés à partir d’ePO au McAfee SIEM.
Si des événements TIE sont affichés dans ePO, mais pas dans l’interface utilisateur SIEM où d’autres sources de données ePO affichent des événements, il se peut que vous deviez modifier les paramètres d’autorisation des
rubriques tie dans ePO.
Les paramètres suivants doivent être reconfigurés si vous disposez des éléments suivants :
- Ajout de TIE à ePO.
- Paramètres d’autorisation modifiés récemment dans TIE.
- Les événements TIE sont bloqués dans le McAfee SIEM.
ePO doit autoriser TIE à communiquer des événements au McAfee SIEM sur son propre sujet dans la structure DXL. Si vous voyez des événements TIE dans la console ePO, mais qu’aucun de ces événements n’est signalé à SIEM, vous devez configurer les
autorisations de sujets pour tie dans ePO.
Procédure de définition des autorisations liées aux sujets TIE dans ePO
- Connectez-vous à la console ePO à l’aide du compte admin .
- Sélectionnez paramètres serveur.
- Sélectionnez les autorisations sur les sujets DXL dans la barre latérale.
- Recherchez le groupe de sujets notifications de réputation des serveurs tie .
- Vérifiez que la colonne de réception contient tous les systèmes ou un marqueur spécifique à Siem Event Receiver (ERC).
- Si ces paramètres ne s’affichent pas dans le groupe de sujets notifications de réputation des serveurs tie , cliquez sur modifier.
- Cliquez sur la case à cocher en regard de la rubrique notification de réputation du serveur tie .
- Utilisez le menu actions et sélectionnez restreindre les marqueurs de réception.
- Désélectionnez tout pour permettre à tous les systèmes d’obtenir des notifications ou d’utiliser un marqueur spécifique au composant Siem Event Receiver (ERC).
- Sélectionnez tâches serveur , puis exécutez la tâche gérer les services Broker DXL .
- Exécutez la tâche de réactivation agent sur le récepteur (ERC) à partir de la console ePO.
- Avec une session SSH sur Event Receiver SIEM, redémarrez les services de récepteur en exécutant NitroStop et NitroStart . Vous pouvez également essayer de redémarrer uniquement le service du collecteur en l’exécutant killall collectorsctl jusqu’à ce que le collectorsctl processus se termine. Ensuite, redémarrez le collectorsctl processus en exécutant collectorsctl -- +laux .
- Attendez 10 à 15 minutes, puis vérifiez que les événements TIE de l’interface utilisateur SIEM s’affichent.
Procédure à suivre pour définir les autorisations relatives aux sujets MAR dans ePO
- Connectez-vous à la console ePO à l’aide du admin compte.
- Sélectionnez paramètres serveur.
- Sélectionnez les autorisations sur les sujets DXL dans la barre latérale.
- Recherchez le groupe de sujets de l' API du serveur Active Response .
- Vérifiez que les colonnes restrictions d’envoi et restrictions de réception comportent tous les systèmes ou un marqueur spécifique au service Siem Event Receiver (ERC) sélectionné.
- Si ces paramètres ne s’affichent pas dans le groupe de sujets de l' API du serveur de réponse actif , cliquez sur modifier.
- Cochez la case en regard de la rubrique API du serveur Active Response .
- Utilisez le menu actions et sélectionnez restreindre les marqueurs de récepteur.
- Désélectionnez tout pour permettre à tous les systèmes d’obtenir des notifications ou d’utiliser un marqueur spécifique au composant Siem Event Receiver (ERC).
- Vérifiez que les restrictions d' envoi et les restrictions de récepteur sont correctement configurées.
- Sélectionnez tâches serveur , puis exécutez la tâche gérer les services Broker DXL .
- Exécutez la tâche de réactivation agent sur le récepteur (ERC) à partir de la console ePO.
- Avec une session SSH sur Event Receiver SIEM, redémarrez les services de récepteur en exécutant NitroStop et NitroStart . Vous pouvez également essayer de redémarrer uniquement le service du collecteur en l’exécutant killall collectorsctl jusqu’à ce que le collectorsctl processus se termine. Ensuite, redémarrez le collectorsctl processus en exécutant collectorsctl -- +laux .
- Attendez 10 à 15 minutes, puis vérifiez que les événements TIE de l’interface utilisateur SIEM s’affichent.