McAfee SIEM tcp dump el kitabı

0
1403
McAfee

Bir veri kaynağı ekledikten sonra, tanımladığınız IP üzerindeki bu yeni veri kaynağı için verilerin ESM tarafından görüldüğünden emin olmanız gerekebilir. Bir terminal oturumu ile (ssh/console) gelen trafiği izlemek için ESM’de tcpdump’ı kullanabilirsiniz. Aşağıda, McAfee SIEM için kullanımına ilişkin bazı yaygın örnekleri paylaşıyorum.

Belirli bir interface’e giden / gelen tüm trafiği gösterir:

McAfee-ERC ~# tcpdump –i ethx

Belirli bir porta giden tüm trafiği gösterir:

McAfee-ERC ~# tcpdump port xxx

Belirli bir ip adresine giden tüm trafiği gösterir:

McAfee-ERC ~# tcpdump src xx.xx.xx.xx

Belirli bir kaynak IP ve bağlantı noktasından gelen tüm trafiği gösterin:

McAfee-ERC ~# tcpdump –v src xx.xx.xx.xx and port xxx

X interface’indeki belirli bir ip ve port ‘dan gelen trafiği yakala, ve dosyaya keydet.

McAfee-ERC ~# tcpdump –nni ethx src xx.xx.xx.xx –s0 -w /tmp/xxxxxx.pcap

Ortak McAfee SIEM komut satırı parametreleri:

-iInterface’I dinlemek için. Interface’den emin değilsek, emin olmak için ifconfig yazabiliriz.
-nbilgisayar adlarını çözme
-nnbilgisayar adlarını veya bağlantı noktası adlarını çözme
-cSayım paketlerini aldıktan sonra çık

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz