A. Giới thiệu
Tài liệu này hướng dẫn chi tiết cách cấu hình nguồn dữ liệu (Data log sources) để gửi dữ liệu log ở định dạng phù hợp đến thành phần thu thập McAfee Event Receiver.
Thông tin trong tài liệu này liên quan đến McAfee hoặc các sản phẩm, dịch vụ của bên thứ 3 chỉ được cung cấp cho mục đích tìm hiểu, tham khảo và tạo thuận tiện cho khách hàng của McAfee.
Các Data Sources sẵn có trên McAfee Event Receiver (ERC).
Xác định Data Sources muốn thu thập dữ liệu log.
Các Data Sources sẽ tuân theo các qui tắc của từng hệ thống.
B. Hướng dẫn cấu hình
1. Tạo nguồn log mới
1.1. Tạo nguồn log mới thủ công
Tạo mới Data Source trên thành phần thu thập. Đây là thao tác cơ bản và khái quát cho việc tạo mới nguồn dữ liệu log, từng nguồn log sẽ có hướng dẫn cụ thể riêng biệt.
Thao tác:
1. Chọn thành phần thu thập (receiver)
2. Chọn Properties
3. Chọn Data Sources
4. Chọn Add
5. Cấu hình nguồn dữ liệu theo từng hướng dẫn riêng biệt
6. Chọn Write để lưu cấu hình
1.2. Cấu hình Receiver tạo nguồn dữ liệu tự động
Thao tác:
1. Chọn biểu tượng “Get Events and Flows” để kéo Events và các dữ liệu Flows
2. Trên McAfee ESM, chọn và chọn More Settings.
3. Trong system navigation tree, chọn Receiver, chọn Properties
4. Trên Receiver Properties, chọn Data Sources → Auto Learn.
5. Tại trang Auto Learn, chọn Configure.
6. Tại trang Auto Add Rule Editor, chọn Enable auto creation of data sources.
7. Chọn Add, sau đó chọn các rules muốn sử dụng cho các nguồn dữ liệu log tự động
8. Chọn Run Now.
1.3. Tạo tự động các Rules
Thao tác:
1. Từ McAfee ESM dashboard, chọn biểu tượngvà chọn More Setting
2. Trong system navigation tree, chọn Receiver, chọn Properties
3. Tại Receiver Properties, chọn Data SourcesAuto Learn → Configure
4. Chọn Enable.
5. Nếu muốn tạo mới hoặc thay đổi Rules, chọn Add hoặc chọn Rules, sau đó Edit.
a) Tại Configure auto add rule, cấu hình cài đặt
b) Chọn OK
6. Tại cửa sổ Auto Add Rule Editor, sắp xếp thứ tự các Rules
7. Chọn Run Now.
2. McAfee Advanced Threat Defense
2.1 Cấu hình McAfee ATD
Kích hoạt syslog và gửi đến ESM
Thao tác:
1. Truy cập vào ATD
2. Chọn Manage và chọn Syslog Setting ở bên trái
3. Kiểm tra kết nối
4. Cài đặt Security Level ở mức Medium hoặc cao hơn (Tuỳ chọn mức độ phù hợp)
5. Submit
6. (Tuỳ chọn) Kiểm tra bằng cách tải thủ công dữ liệu lên Analysis trong Advanced Threat Defense, chờ vài phút sau đó kiểm tra trên ESM
Hướng dẫn khắc phục sự cố (nếu có) tại Knowledge Center.
2.2 Cấu hình McAfee ESM
ATD có thể tạo ra các IOCs và cung cấp cho ESM. Sử dụng Cyber Threat Manager để xem chi tiết các IOCs, điều này giúp quản trị viên phát hiện các tấn công nhanh chóng và xử lý kịp thời.
Thao tác:
- Tại McAfee ESM, chọn Receiver -> Add Data Source
2. Chọn OK, sau đó chọn Yes
3. Tại cửa sổ Main, điền tên cho nguồn log và chọn Next
4. Điền các thông tin đăng nhập của Advanced Threat Defense và chọn Connect để kiểm tra cấu hình
5. (Tuỳ chọn) Chọn Whatchlist để cấu hình danh sách cần thiết
6. Chọn Finish, sau đó nhấn Yes.
3. McAfee ePolicy Orchestrator
3.1 Cấu hình ePO Database Server
Thao tác này áp dụng cho các tùy chọn thiết bị và tùy chọn cấu hình nguồn dữ liệu. Cả hai đều yêu cầu tài khoản người dùng cơ sở dữ liệu McAfee ePO, điều này cho phép McAfee ERC thu thập dữ liệu từ cơ sở dữ liệu của McAfee ePO.
Thao tác:
1. Truy cập vào server McAfee ePO database
2. SQL Server Management Studio → Enterprise Manager
3. Mở rộng Console Root, kiểm tra các phần bên dưới thu mục Security
4. Chọn biểu tượng Logins và nhấn chuột phải, chọn New Login
5. Tại General, làm theo các bước sau:
a) Tại Login name, điền username (ví dụ epo) mà ERC sử dụng để kết nối tới ePO database.
b) Chọn SQL Server Authentication, xác nhận mật khẩu
c) Tại Default database, chọn McAfee ePO database
6. Chọn User Mapping:
a) Chọn database mà người dùng sẽ truy cập
b) Phần “Database role membership”, chọn db_datareader.
7. Nhấn OK để lưu cấu hình
8. Truy xuất khỏi SQL Server Management Studio/Enterprise Manager.
3.2 Cấu hình McAfee ePO
Thao tác này chỉ áp dụng cho tùy chọn cấu hình thiết bị. Tài khoản người dùng McAfee ESM phải có quyền cho phép ESM sử dụng các tính năng tích hợp nâng cao như gắn thẻ (Tagging) và hành động (Actions) của McAfee ePO, McAfee Risk Advisor và McAfee Threat Intelligence Exchange (TIE).
Thao tác:
1. Đăng nhập vào ePO
2. Chọn Menu → Permission Sets → User Management.
3. Chọn Actions → New
4. Đặt tên nhóm (ví dụ McAfee SIEM)
5. Thêm quyền cho tài khoản ESM, với các nhóm mới được chọn, kéo xuống phía dưới tới Systems, sau đó chọn Edit
6. In Systems, chọn những tuỳ chỉnh sau và Save:
a) Actions: chọn Wake up agents, view Agent Activities Log
b) Tag use: chọn Apply, exclude, and clear tags.
7. Gán người dùng vào nhóm, trong User Management, chọn Menu → Users.
8. Chọn New User và xác định các tuỳ chỉnh sau:
a) Tên New User
b) Cài đặt Logon status thành Enabled.
c) Cài đặt Authentication type thành ePO authentication và điền mật khẩu
d) Cài đặt Manually assigned permission sets thành Selected permission sets và McAfee SIEM, sau đó nhấn Save.
3.3 Cấu hình McAfee ESM
Thao tác:
- 1. Chọn ERC
- 2. Nhấn Properties
- 3. Từ cửa sổ Receiver Properties, chọn Data Sources.
- 4. Nhấn Add và điền thông số như sau:
4. Arbor Networks
4.1. Cấu hình Arbor
Tham khảo tài liệu sản phẩm Arbor Networks để biết hướng dẫn gửi log hệ thống (Syslog) đến máy chủ từ xa. Sử dụng địa chỉ IP của thành phần thu thập McAfee ERC là địa chỉ của máy chủ từ xa.
4.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
5. Check Point
5.1. Cấu hình LEA trên Check Point
Thao tác:
1. Sử dụng SSH kết nối vào Check Point management, sau đó vào “expert mode”
2. Mở $FWDIR/conf/fwopsec.conf và tuỳ chỉnh:
1. Kết nối Authenticated and encrypted (khuyến nghị):
lea_server auth_port 18184
lea_server auth_type sslca (hoặc các phương thức được hỗ trợ khác)
2. Kết nối Authenticated:
lea_server auth_port 18184
3. Kết nối không authentication/encryption:
lea_server port 18184
3. Chạy lệnh cprestart
5.2. Tạo OPSEC
Thao tác:
1. Đăng nhập vào UI Check Point, mở rộng OPSEC Applications
2. Nhấn chuột phải vào “OPSEC Application”, chọn New OPSEC Application, sau đó điền tên cho “OPSEC Application”. (chú ý, tên này sẽ được sử dụng khi tạo Data Source trong ESM)
3. Tại trường Host, chọn McAfee ERC (Nếu chưa có sẵn, tạo mới và điền địa chỉ IP của ERC)
4. Tại Clients Entries, chọn LEA, nhấn Communication
5. Xác nhận OTP, sau đó nhấn Initialize
“Certification” được tạo ra và hiển thị với thông tin sau: “Initialized but trust not established.”
6. Đóng cửa sổ Communication
7. Tại của sổ OPSEC Application Process, nhấn OK
8. Thực hiện “Install DB” trên máy chủ Check Point
5.3 Cấu hình ESM, tạo “Parent data source”
Tạo Check Point Data Sources theo cấu trúc Parent – Child.
Tạo Primary CMA như một nguồn dữ liệu Chính (Parent datasource), sau đó, thêm các CLMs, Secondary CMAs, và Firewall như nhánh dữ liệu Phụ (Children).
Thao tác:
(Ghi chú, port 18210 phải được mở trên thiết bị CheckPoint)
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
Những cài đặt sau sẽ cần thiết nếu “authentication” hoặc “encryption” được sử dụng:
5.4 Cấu hình ESM, tạo “Child data source”
Sau khi nguồn dữ liệu Chính (Parent data source) đã được tạo thành công, tiếp theo tạo các Child data sources: CLMs, Firewalls, và Secondary CMAs.
Thao tác:
1. Chọn “parent data source” từ “Receiver Properties Data Sources”
2. Chọn Add Child Data Source
3. Nếu gửi dữ liệu log tới CLM (thay vì CMA), tìm tên của CLM để phân biệt:
a) SSH vào CMA, vào chế độ “expert”
b) Gõ lệnh grep sic_name $FWDIR/conf/objects_5_0.C
4. Cấu hình với các thông số sau:
5.5 Cấu hình Check Point CLM hoặc Secondary CMA
Thông thường, DN chỉ được yêu cầu tạo CLM làm nguồn dữ liệu. Thao tác này cần thiết khi dữ liệu log của firewall được gửi đến CLM thay vì CMA.
Thao tác:
1. SSH vào CMA
2. Để hiển thị các DNs, chạy lệnh
grep sic_name $FWDIR/conf/objects_5_0.C
3. Tìm DN đúng với CLM tương ứng
5.6 Khắc phục vài sự cố
1. Kiểm thử kết nối thất bại, kiểm tra lại IP của CMA
2. Kiểm thử kết nối thất bại, kiểm tra lại tên thiết bị hoặc OTP
3. Kiểm thử kết nối có sử dụng “encryption” thất bại, chọn “Options” để thay đổi mã hoá cho tới khi thành công.
4. Kiểm thử kết nối thất bại, khởi tạo lại “trust” trên Check Point UI
6. Cisco IOS
6.1. Cấu hình Cisco IOS
Thao tác:
1. Chạy các câu lệnh:
Router> enable
Router# configure terminal
Router(config)#
Router(config)# logging on
Router(config)# logging <host>
Router(config)# service timestamps log datetime localtime
Router(config)# service timestamps debug datetime localtime
Router(config)# logging trap <level 0 - 6>
Router(config)# exit
Router# copy running-config startup-config
Router# disable
Router>
6.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
7. Forcepoint Websense
7.1. Cấu hình Forcepoint
Thao tác:
1. Chọn theo đường dẫn Settings → General → SIEM Integration, sau đó chọn Enable SIEM integration for this Policy Server.
2. Cung cấp địa chỉ IP hoặc hostname của ESM và các cổng kết nối
3. Sử dụng TCP hoặc UDP
4. Chọn CEF, sau đó nhấn OK
5. Save và Deploy
7.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
8. Fortinet FortiGate
8.1. Cấu hình FortiGate qua Command Line
Sử dụng command-line, chạy các lệnh sau:
config log syslogd setting
set status enable
set server <IP address of McAfee ERC>
set mode <udp or reliable TCP>
set port 514
set facility <facility name>
set source-ip <IP address of syslog source>
set format default
end
Ghi chú: Nếu FortiGate đã cấu hình syslog server trước đó, có thể cấu hình thêm syslog server (tối đa là 3) bằng cách thay đổi câu lệnh đầu tiên thành config log syslogd2 setting hoặc config log syslogd3 setting.
Tham khảo thêm tại “FortiOSTM Handbook Logging and Reporting for FortiOS 6.0”, mục “Advanced Logging.”
8.2. Cấu hình FortiGate UTM qua Management Console
Thao tác:
1. Theo đường dẫn Log&Report → Log Config → Log Setting, chọn Syslog.
2. Mở rộng Options, cấu hình theo các thông số sau:
a) Name/IP—Điền host name hoặc IP của McAfee Event Receiver.
b) Port — 514.
c) Level – Tuỳ chọn
d) Facility — để mặc định
e) Enable CSV — Bỏ chọn
3. Apply
8.3. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
9. Microsoft DNS
9.1. Cấu hình Microsoft DNS
Thao tác:
1. Mở “Domain Name System Microsoft Management Console” (DNS MMC)
2. Start → Programs → Administrative Tools, chọn DNS.
3. Nhấp chuột phải, chọn Properties
4. Mở cửa sổ Debug Logging, chọn Log packets debugging
5. Đảm bảo các checkbox sau đã được chọn: Incoming, UDP, Queries/Transfer và Request (file được lưu tại systemroot\System32\Dns\Dns.log)
6. Cấu hình McAfee Collector để thu thập log và gửi tới McAfee ERC
9.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
Nhấn Add và điền thông số như sau:
10. Microsoft Windows Event Log WMI
10.1. Cấu hình Microsoft Windows
Thao tác:
1. Đối với Windows XP, Server 2003, hoặc các phiên bản trước đó, tạo tài khoản người dùng và thêm vào nhóm Administrators.
Đối với Windows 8.1, Server 2012 R2, sử dụng tài khoản Admin hoặc tạo tài khoản mới và thêm vào nhóm Administrators, nhóm Distributed COM Users, và nhóm Event Log Readers.
2. Chạy dịch vụ RPC
10.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
Ghi chú: Event Logs thường là : SYSTEM, SECURITY, APPLICATION
10.3. Cấu hình tích hợp Windows Domain Controller
Thao tác trên ESM:
1. Chọn Asset Manager
2. Chuyển sang thanh Asset Sources
3. Chọn Event Receiver, sau đó chọn Add
4. Cài đặt Asset Data Source theo thông số sau:
5. Kiểm tra kết nối, nhấn Connect
6. Lọc Users để kiểm tra kết quả
11. Palo Alto Networks PAN-OS
11.1. Cấu hình Palo Alto
Kiểm tra phiên bản đang sử dụng, sau đó tham khảo tài liệu PAN-OS Administrator’s Guide để thực hiện các bước cấu hình syslog server.
11.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
12. Unix Linux
12.1. Cấu hình Unix Linux
Thao tác:
1. Chỉnh file theo đường dẫn: /etc/syslog.conf
2. Thêm dòng sau vào file: *.*; @<ip_address>:514
Ip_address là địa chỉ IP của McAfee ERC, 514 là port mặc định dành cho syslog
3. Chạy câu lệnh:
service syslog restart
12.2. Cấu hình ESM
Thao tác:
1. Chọn ERC
2. Nhấn Properties
3. Từ cửa sổ Receiver Properties, chọn Data Sources.
4. Nhấn Add và điền thông số như sau:
C. Tài liệu tham khảo
1. McAfee SIEM Product page:
http://www.mcafee.com/us/products/siem/index.aspx
2. McAfee SIEM Community:
https://community.mcafee.com/community/business/siem
3. McAfee Sales page:
http://www.mcafee.com/us/about/contact-us.aspx#ht=tab-sales
4. McAfee Support Community > Enterprise Support > McAfee Expert Center > Products > Security Information and Event Management (SIEM)
5. https://community.mcafee.com/t5/Security-Information-and-Event/bd-p/siem-expert-center