Bir veri kaynağı ekledikten sonra, tanımladığınız IP üzerindeki bu yeni veri kaynağı için verilerin ESM tarafından görüldüğünden emin olmanız gerekebilir. Bir terminal oturumu ile (ssh/console) gelen trafiği izlemek için ESM’de tcpdump’ı kullanabilirsiniz. Aşağıda, McAfee SIEM için kullanımına ilişkin bazı yaygın örnekleri paylaşıyorum.
Belirli bir interface’e giden / gelen tüm trafiği gösterir:
McAfee-ERC ~# tcpdump –i ethx
Belirli bir porta giden tüm trafiği gösterir:
McAfee-ERC ~# tcpdump port xxx
Belirli bir ip adresine giden tüm trafiği gösterir:
McAfee-ERC ~# tcpdump src xx.xx.xx.xx
Belirli bir kaynak IP ve bağlantı noktasından gelen tüm trafiği gösterin:
McAfee-ERC ~# tcpdump –v src xx.xx.xx.xx and port xxx
X interface’indeki belirli bir ip ve port ‘dan gelen trafiği yakala, ve dosyaya keydet.
McAfee-ERC ~# tcpdump –nni ethx src xx.xx.xx.xx –s0 -w /tmp/xxxxxx.pcap
Ortak McAfee SIEM komut satırı parametreleri:
| -i | Interface’I dinlemek için. Interface’den emin değilsek, emin olmak için ifconfig yazabiliriz. |
| -n | bilgisayar adlarını çözme |
| -nn | bilgisayar adlarını veya bağlantı noktası adlarını çözme |
| -c | Sayım paketlerini aldıktan sonra çık |