Enterprise Security Manager 9.5.0 Guía del producto
Guía del producto McAfee Enterprise Security Manager 9.5.0 COPYRIGHT Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Enterprise Security Manager 9.5.0 Guía del producto Contenido Prefacio 9 Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10 1 Introducción 11 Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . 11 Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2 Primeros pasos 13 Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . Administración de un grupo en un tipo de pantalla personalizada . . . . . . . . . . . Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . Eliminación de dispositivos duplicados en el árbol de navegación del sistema . . . . . . . Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . . Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 3 Configuración del ESM 31 Administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de estadísticas de dispositivo . . . . . . . . . . . . . . . . . . . . Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . Actualización del software en un dispositivo . . . . . . . . . . . . . . . . . . . . McAfee Enterprise Security Manager 9.5.0 13 14 14 15 16 19 19 20 21 22 22 23 24 24 24 25 25 26 27 27 28 28 29 29 29 29 30 31 33 34 34 37 Guía del producto 3 Contenido Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 37 Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 53 Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 54 Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 54 Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 54 Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . . 55 Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 57 Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . 58 Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 59 Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 115 Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 131 Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 134 Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 150 Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 158 Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 159 Configuración de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 165 Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 169 Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 170 Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 171 Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 171 Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 172 Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . 172 Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 173 Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 174 Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 180 Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 181 Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 189 Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 190 Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 190 Configuración de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 191 Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 191 Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 191 Administración de la configuración de índice de la base de datos . . . . . . . . . . . 192 Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 192 Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 193 Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 194 Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 194 Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 198 Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 198 Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 198 Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 199 Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 199 Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . 200 Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 200 Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 201 Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 201 Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 201 Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 202 ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 4 McAfee Enterprise Security Manager 9.5.0 Guía del producto Contenido Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . . Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . . Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . . Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . Utilización de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . . Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . Qué es el enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO . . . . Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . ™ 4 Administración de Cyber Threat 204 205 206 207 207 207 208 208 209 209 209 210 210 211 212 212 213 213 214 214 215 217 Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . . 217 Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . 218 5 Uso de paquetes de contenido 221 Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 6 Uso de las alarmas 223 Funcionamiento de las alarmas en ESM . . . . . . . . . . . . . . . . . . . . . . . . Creación de una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una alarma de correlación para la inclusión de eventos de origen . . . . Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . Creación de una captura SNMP a modo de acción en una alarma . . . . . . . . . . . Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . . Adición de una alarma de evento del monitor de estado . . . . . . . . . . . . . . . Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . . . . . Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . . . . . Administración de las plantillas de mensajes de alarma . . . . . . . . . . . . . . . . . . Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . . . . . Administración de los destinatarios de alarmas . . . . . . . . . . . . . . . . . . . . . Administración de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de la cola de informes de alarma . . . . . . . . . . . . . . . . . . Administración de los archivos de informes de alarmas . . . . . . . . . . . . . . . 7 Uso de los eventos 223 224 225 227 228 228 229 230 230 240 240 241 241 242 242 242 243 244 245 Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . McAfee Enterprise Security Manager 9.5.0 221 245 246 246 246 247 247 Guía del producto 5 Contenido Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . Adición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . . Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . . Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . . Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . . Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . . Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . Búsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . . Visualización de los detalles de dirección IP de un evento . . . . . . . . . . . . . . Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . . Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Normalización de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . 8 Administración de casos 299 Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . . 9 Uso de Asset Manager McAfee Enterprise Security Manager 9.5.0 299 300 300 300 301 301 302 302 303 305 Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento de la administración de configuración . . . . . . . . . . . . . . . . . . Administración de archivos de configuración recuperados . . . . . . . . . . . . . . Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . . Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . . Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . . 6 247 248 248 250 255 255 255 256 256 256 257 257 261 261 262 262 263 267 268 279 282 282 283 283 284 287 289 290 292 293 296 296 297 306 306 306 307 307 307 308 308 308 309 Guía del producto Contenido Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 10 Administración de directivas y reglas 315 Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . . Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de inspección profunda de paquetes (DPI) . . . . . . . . . . . . . . . . . Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de ASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de los detalles de las reglas de correlación . . . . . . . . . . . . . . Adición de reglas de correlación, base de datos o ADM personalizadas . . . . . . . . . Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . . Visualización del estado de actualización de directivas de los dispositivos . . . . . . . . Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de reglas para la inclusión automática en la lista negra . . . . . . . . . Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . . Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Enterprise Security Manager 9.5.0 309 309 310 310 310 311 311 311 312 313 314 315 316 317 319 320 323 324 326 327 327 328 330 331 331 333 339 339 340 347 347 348 348 348 349 349 350 350 350 351 352 352 353 354 355 355 356 356 356 357 358 358 359 359 Guía del producto 7 Contenido Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . Administración del tráfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . . Índice 8 McAfee Enterprise Security Manager 9.5.0 360 360 361 361 363 Guía del producto Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: • Administradores: personas que implementan y aplican el programa de seguridad de la empresa. • Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden acceder a todas o algunas de sus funciones. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Título de libro, término o énfasis Título de un libro, capítulo o tema; introducción de un nuevo término; énfasis. Negrita Texto que se enfatiza particularmente. Datos introducidos por el usuario, código, mensajes Comandos u otro texto que escribe el usuario; un ejemplo de código; un mensaje que aparece en pantalla. Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones, menús, botones y cuadros de diálogo. Azul hipertexto Un vínculo a un tema o a un sitio web externo. Nota: Información adicional, como un método alternativo de acceso a una opción. Sugerencia: Sugerencias y recomendaciones. McAfee Enterprise Security Manager 9.5.0 Guía del producto 9 Prefacio Búsqueda de documentación de productos Importante/atención: Consejo importante para proteger el sistema, la instalación del software, la red, la empresa o los datos. Advertencia: Consejo especialmente importante para prevenir daños físicos cuando se usa un producto de hardware. Búsqueda de documentación de productos Una vez que se lanza un producto, la información del producto se introduce en el Centro de conocimiento online de McAfee. Procedimiento 10 1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com. 2 En el panel KnowledgeBase, haga clic en un origen de contenido: • Documentación del producto para encontrar documentación del producto • Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase 3 Seleccione No borrar mis filtros. 4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista con documentos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 1 Introducción ® McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos, desde una única ubicación. Contenido Cómo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones Cómo funciona McAfee Enterprise Security Manager McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red, sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación con información contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona esta información para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, es posible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes. ESM consta de tres capas. • Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conoce como consola de ESM). • Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los servicios necesarios de manipulación de datos, tales como configuración, generación de informes, visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido (DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones. • Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver (receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas funciones. Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través de canales de comunicación seguros. McAfee Enterprise Security Manager 9.5.0 Guía del producto 11 1 Introducción Los dispositivos y sus funciones Los dispositivos y sus funciones El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de seguridad, así como interactuar con ellos. Véase también Configuración de Event Receiver en la página 59 Configuración de Enterprise Log Manager (ELM) en la página 115 Configuración de Application Data Monitor (ADM) en la página 134 Configuración de Database Event Monitor (DEM) en la página 150 Configuración de Advanced Correlation Engine (ACE) en la página 131 Configuración del ESM distribuido (DESM) en la página 158 Configuración de ePolicy Orchestrator en la página 159 Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 165 12 McAfee Enterprise Security Manager 9.5.0 Guía del producto 2 Primeros pasos Verifique que su entorno de ESM esté actualizado y listo para funcionar. Contenido Acerca del modo FIPS Configuración evaluada según los Criterios comunes Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Preferencias de la consola Acerca del modo FIPS FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento de la información) son estándares desarrollados y anunciados públicamente por el gobierno de los Estados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares, deberá utilizar este sistema en el modo FIPS. El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible cambiarlo posteriormente. Véase también Información sobre el modo FIPS en la página 14 Contenido Información sobre el modo FIPS Selección del modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS McAfee Enterprise Security Manager 9.5.0 Guía del producto 13 2 Primeros pasos Acerca del modo FIPS Información sobre el modo FIPS Debido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones disponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estas funciones se indican a lo largo del presente documento y se enumeran aquí. Estado de función Descripción Funciones eliminadas • Receptores de disponibilidad alta. • Terminal de interfaz gráfica de usuario. • Capacidad de comunicación con el dispositivo mediante el protocolo SSH. • En la consola del dispositivo, el shell raíz se sustituye por un menú de administración de dispositivos. Funciones solo disponibles en el modo FIPS • Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves y certificados. • Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que permite verificar si el sistema funciona correctamente en el modo FIPS. • Si se produce un error de FIPS, se agrega un indicador de estado al árbol de navegación del sistema para reflejar este fallo. • Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre la página Token de identidad de FIPS. Esta página muestra un valor que se debe comparar con el valor mostrado en las secciones del documento mencionadas para asegurarse de que no hay riesgos en relación con FIPS. • En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye el privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la autorización para ejecutar pruebas automáticas de FIPS. • Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves, es necesario seleccionar el tipo de clave que se desea importar o exportar. • En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el puerto 22. El puerto SSH se puede cambiar. Selección del modo FIPS La primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en el modo FIPS o no. Una vez realizada la selección, no es posible cambiarla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 La primera vez que inicie sesión en ESM: a En el campo Nombre de usuario, escriba NGCP. b En el campo Contraseña, escriba security.4u. Se le pedirá que cambie su contraseña. 2 14 Introduzca y confirme la nueva contraseña. McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Acerca del modo FIPS 3 2 En la página Activar FIPS, haga clic en Sí. La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el sistema funcione en el modo FIPS de forma permanente. 4 Haga clic en Sí para confirmar su selección. Comprobación de integridad de FIPS Si utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del software de forma regular. Esta comprobación se debe realizar en el sistema y en todos los dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Realice cualquiera de las acciones que se indican a continuación. En este campo... Haga esto... Estado de FIPS Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM. Prueba o Prueba automática de FIPS Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmos utilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de mensajes. Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producido algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee. Ver o Identidad de FIPS Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software. Compare el valor siguiente con la clave pública que aparece en esta página: Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en contacto con el Soporte de McAfee. McAfee Enterprise Security Manager 9.5.0 Guía del producto 15 2 Primeros pasos Acerca del modo FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM. Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos. Terminología • Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no se emplea con fines criptográficos. • Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves autorizadas de un dispositivo. • Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en un ESM a fin de establecer la conexión SSH con un dispositivo. • ESM principal: el ESM utilizado originalmente para registrar el dispositivo. • ESM secundario: un ESM adicional que se comunica con el dispositivo. Extensiones de archivo de los distintos archivos de exportación • .exk: contiene la clave de dispositivo. • .puk: contiene la clave pública. • .prk: contiene la clave privada y la clave de dispositivo. Copia de seguridad y restauración de información de un dispositivo en modo FIPS Este método se emplea para crear copias de seguridad de la información de comunicación de un dispositivo y restaurarlas en el ESM. Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si la información de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no se podrá restablecer. Este método exporta e importa el archivo .prk. La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada. 16 McAfee Enterprise Security Manager 9.5.0 Guía del producto 2 Primeros pasos Acerca del modo FIPS Acción Pasos Exportar el archivo .prk del ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo con la información de comunicación de la que desee crear una copia de seguridad y, después, haga clic en el icono Propiedades. 2 Seleccione Administración de claves y haga clic en Exportar clave. 3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creado por el ESM y cierre la sesión en el ESM principal. Agregar un dispositivo al ESM secundario e importar el archivo .prk 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en Siguiente. 5 Introduzca la dirección IP de destino del dispositivo, indique el puerto de comunicación FIPS y haga clic en Siguiente. 6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar. Escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. Activación de la comunicación con varios dispositivos ESM en el modo FIPS Es posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación e importación de archivos .puk y .exk. En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESM principal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clave pública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen con el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal y se importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 17 2 Primeros pasos Acerca del modo FIPS Acción Pasos Exportar el archivo .puk del ESM secundario 1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de ESM. 2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el archivo .puk. 3 Haga clic en Guardar y cierre la sesión. Importar el archivo .puk al ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Administrar claves SSH. 4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar. 5 Haga clic en Aceptar y cierre la sesión en el ESM principal. Exportar el archivo .exk del dispositivo del ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia de seguridad y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar. 6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESM principal. Importar el 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el archivo .exk en el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. ESM secundario 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y haga clic en Siguiente. 5 Haga clic en Importar clave y busque el archivo .exk. 6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. 18 McAfee Enterprise Security Manager 9.5.0 Guía del producto 2 Primeros pasos Configuración evaluada según los Criterios comunes Solución de problemas del modo FIPS Es posible que surjan problemas al utilizar el ESM en el modo FIPS. Problema Descripción y solución No hay comunicación con el ESM • Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee. • Busque una situación de error en la interfaz HTTP; para ello, acceda a la página web Prueba automática de FIPS de ESM mediante un navegador. - Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado una prueba automática de FIPS, reinicie el dispositivo ESM para intentar corregir el problema. Si el fallo persiste, póngase en contacto con el servicio de Soporte para obtener instrucciones adicionales. - Si aparece únicamente el dígito 1, el problema de comunicación no se debe a un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtener instrucciones adicionales. No hay comunicación con el dispositivo • Si hay una marca de estado junto al dispositivo en el árbol de navegación del sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee a través del portal de soporte. • Siga la descripción correspondiente al problema No hay comunicación con el ESM. Error El archivo no es válido al agregar un dispositivo No se puede exportar una clave de un dispositivo no FIPS e importarla a un dispositivo que funcione en el modo FIPS. De igual forma, no se puede exportar una clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Este error aparece cuando se intenta cualquiera de estas dos cosas. Configuración evaluada según los Criterios comunes El dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que exista conformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a la hora de configurar el sistema. Tipo Requisitos Físico El dispositivo de McAfee debe: • Estar protegido frente a modificaciones físicas no autorizadas. • Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no autorizado. Utilización El dispositivo de McAfee debe: • Tener acceso a todo el tráfico de red para realizar sus funciones. • Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo de evaluación. • Ser proporcionado con respecto al tráfico de red que supervisa. McAfee Enterprise Security Manager 9.5.0 Guía del producto 19 2 Primeros pasos Inicio y cierre de sesión Tipo Requisitos Personal • Deben existir una o varias personas competentes encargadas de la administración del dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros de McAfee proporcionan asistencia in situ para la instalación y la configuración, así como formación sobre el funcionamiento del dispositivo en las instalaciones para todos los clientes de McAfee. • Los administradores autorizados no deben ser descuidados, negligentes ni de trato difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación correspondiente al dispositivo de McAfee. • Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee. • Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios protejan todas las credenciales de acceso de forma coherente con la seguridad de TI. Otros • No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaría una configuración distinta de la correspondiente a la evaluada según los Criterios comunes. Póngase en contacto con el Soporte de McAfee para obtener actualizaciones certificadas. • En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzar omisión en la página Configuración de la interfaz de red provoca una configuración distinta de la evaluada según los Criterios comunes. • En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta de supresión provoca una configuración diferente de la evaluada según los Criterios comunes. • La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca una comunicación segura. El entorno de TI proporciona una transmisión segura de datos entre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUS puede proporcionar los servicios de autenticación externa. • El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point no forma parte del objetivo de evaluación. • El uso de Snort Barnyard no forma parte del objetivo de evaluación. • El uso del cliente de MEF no forma parte del objetivo de evaluación. • El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación. Inicio y cierre de sesión Tras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera vez. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 20 1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la interfaz de red. 2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la contraseña predeterminados. • Nombre de usuario predeterminado: NGCP • Contraseña predeterminada: security.4u McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Personalización de la página de inicio de sesión 3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar. 4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar. 5 Indique si desea activar o no el modo FIPS. 2 En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo. Para obtener más información, consulte Información sobre el modo FIPS. 6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para acceder a las actualizaciones de reglas. 7 Lleve a cabo la configuración inicial de ESM: a Seleccione el idioma que se utilizará para los registros del sistema. b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con esta cuenta; después, haga clic en Siguiente. c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono Mostrar Ayuda de cada página para obtener instrucciones. 8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a las funciones nuevas disponibles en esta versión de ESM. 9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos: • Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema, situada en la esquina superior derecha de la consola. • Si hay alguna página abierta, cierre el navegador. Véase también Acerca del modo FIPS en la página 13 Personalización de la página de inicio de sesión Es posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo las políticas de seguridad de la empresa o su logotipo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada. 2 Realice cualquiera de las acciones siguientes: McAfee Enterprise Security Manager 9.5.0 Guía del producto 21 2 Primeros pasos Actualización del software de ESM Para... Haga esto... Agregar texto personalizado 1 Haga clic en el cuadro de texto situado en la parte superior de la página. 2 Escriba el texto que desee agregar a la página Inicio de sesión. 3 Seleccione Incluir texto en pantalla de inicio de sesión. Agregar una imagen personalizada 1 Haga clic en Seleccionar imagen. 2 Cargue la imagen que desee utilizar. 3 Seleccione Incluir imagen en pantalla de inicio de sesión. Si sigue apareciendo el logotipo anterior en la página Inicio de sesión tras cargar un nuevo logotipo personalizado, borre la caché del navegador. Eliminar una imagen personalizada Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado. Actualización del software de ESM Es posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través de un ingeniero de seguridad y, después, cargarlas en el ESM. Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Actualizar ESM. 3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar. El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización. Véase también Actualización de un ESM principal o redundante en la página 209 Obtención y adición de credenciales de actualización de reglas ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato de mantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes. 22 McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Comprobación de la existencia de actualizaciones de reglas 2 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico a [email protected] con la siguiente información: • Número de concesión de McAfee • Nombre de cuenta • Dirección • Nombre de contacto • Dirección de correo electrónico de contacto 2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Información del sistema | Actualización de reglas en el árbol de navegación del sistema. 3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña. 4 Haga clic en Validar. Comprobación de la existencia de actualizaciones de reglas El equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráfico de red actualiza constantemente estas firmas, las cuales están disponibles para su descarga mediante el servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de forma automática o manual. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la opción Información del sistema. 2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado. Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas. 3 Si la licencia es válida, haga clic en Actualización de reglas. 4 Seleccione una de estas opciones: 5 • Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia de actualizaciones automáticamente con la frecuencia seleccionada. • Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente. • Actualización manual, para actualizar las reglas desde un archivo local. Haga clic en Aceptar. Véase también Obtención y adición de credenciales de actualización de reglas en la página 22 McAfee Enterprise Security Manager 9.5.0 Guía del producto 23 2 Primeros pasos Cambio de idioma de los registros de eventos Cambio de idioma de los registros de eventos Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM. 2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar. Conexión de los dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según su zona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin de continuar con su organización. Contenido Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas Administración de un grupo en un tipo de pantalla personalizada Eliminación de un grupo o dispositivo Eliminación de dispositivos duplicados en el árbol de navegación del sistema Adición de dispositivos a la consola de ESM Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM. Antes de empezar Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise Security Manager). Procedimiento 1 2 24 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo. En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo . 3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente. 4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente. McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Conexión de los dispositivos 5 2 Proporcione la información solicitada. • Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para la comunicación con la base de datos. Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombre de usuario y contraseña para el dispositivo. • Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después, indique un número de puerto SSH de destino válido para su uso con la dirección IP. 6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y, después, haga clic en Siguiente. 7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo. Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la 8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación, se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo, tales como el privilegio Configurar dispositivos virtuales. 8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente. El ESM probará la comunicación con el dispositivo e informará del estado de la conexión. Selección de un tipo de pantalla Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema. Antes de empezar Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase Administración de tipos de pantallas personalizadas). Procedimiento 1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización. 2 Seleccione uno de los tipos de pantalla. La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo seleccionado para la sesión de trabajo en curso. Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 25 2 Primeros pasos Conexión de los dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: Para... Haga esto... Agregar un tipo de pantalla personalizada 1 Haga clic en Agregar pantalla. Editar un tipo de pantalla personalizada 1 2 Rellene los campos y haga clic en Aceptar. Haga clic en el icono Editar que desee editar. situado junto al tipo de pantalla 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Administración de un grupo en un tipo de pantalla personalizada Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en agrupaciones lógicas. Antes de empezar Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas personalizadas). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 26 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione la pantalla personalizada y haga una de estas cosas: McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Conexión de los dispositivos Para... Haga esto... Agregar un nuevo grupo 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo 2 de la barra de herramientas de acciones. 2 Rellene los campos y haga clic en Aceptar. 3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo. Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de sistemas. Editar un grupo Eliminar un grupo Seleccione el grupo, haga clic en el icono Propiedades página Propiedades de grupo. y realice cambios en la Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los dispositivos no se eliminarán del sistema. Véase también Administración de tipos de pantallas personalizadas en la página 25 Eliminación de un grupo o dispositivo Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol de navegación del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga clic en el icono Eliminar de la barra de acciones. 2 Cuando se le solicite confirmación, haga clic en Aceptar. Eliminación de dispositivos duplicados en el árbol de navegación del sistema Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione el icono Editar 3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar. situado junto a la pantalla que incluye los dispositivos duplicados. Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente. McAfee Enterprise Security Manager 9.5.0 Guía del producto 27 2 Primeros pasos Preferencias de la consola Preferencias de la consola Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración predeterminadas. Las credenciales de McAfee ePolicy Orchestrator (McAfee ePO ) se pueden configurar también. ® ® ™ La consola de ESM La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así como acceso rápido a notificaciones de alarmas y casos asignados. 28 1 Barra de navegación del sistema para las funciones de configuración generales. 2 Iconos para acceder a páginas de uso frecuente. 3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar cada dispositivo. 4 Panel de navegación del sistema para ver los dispositivos del sistema. 5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados. 6 Panel de vistas para los datos de eventos, flujos y registro. 7 Barra de herramientas de vistas para crear, editar y administrar las vistas. 8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos. McAfee Enterprise Security Manager 9.5.0 Guía del producto Primeros pasos Preferencias de la consola 2 Uso del tema de color de la consola Es posible personalizar la consola de ESM mediante la selección de un tema de color existente o el diseño de uno propio. También es posible editar o eliminar temas de color personalizados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado. 3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en Aceptar. Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un tema. 4 Haga clic en Aceptar para guardar la configuración. Selección de las opciones de visualización de la consola Establezca la configuración predeterminada para las vistas de la consola de ESM. En esta página, puede establecer el sistema para que haga lo siguiente: • actualizar los datos automáticamente en una vista abierta; • cambiar las vistas que se abren de forma predeterminada al iniciar el sistema; • cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar. Establecimiento del valor de tiempo de espera de la consola La sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definir la cantidad de tiempo de inactividad necesaria para que se cierre la sesión. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión. 2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir de inactividad y, después, haga clic en Aceptar. Si selecciona cero (0), la consola permanecerá abierta indefinidamente. Selección de la configuración de usuario La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 29 2 Primeros pasos Preferencias de la consola Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Verifique que esté seleccionada la opción Configuración de usuario. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. La consola cambiará de aspecto en función de la configuración establecida. Configuración de credenciales para McAfee ePO Es posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales de usuario. Antes de empezar El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de usuario global (véase Configuración de la autenticación de usuarios global). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione Credenciales de ePO. 2 Haga clic en el dispositivo y, después, en Editar. Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo (véase Cambio de la conexión con ESM). 3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar. Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña agregados. 30 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el ciclo de vida de administración de la seguridad de la organización. Contenido Administración de dispositivos Configuración de dispositivos Configuración de los servicios auxiliares Administración de la base de datos Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema Administración de ESM Uso de una lista negra global Qué es el enriquecimiento de datos Administración de dispositivos El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se McAfee Enterprise Security Manager 9.5.0 Guía del producto 31 3 Configuración del ESM Administración de dispositivos pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas existentes. Tabla 3-1 Definiciones de las funciones Esta función... Permite... 1 Barra de herramientas de acciones Seleccionar una acción para realizarla en los dispositivos del árbol de navegación del sistema. Icono de propiedades Configurar las opciones del sistema o el dispositivo seleccionados en el árbol de navegación del sistema. Icono de adición de Agregar dispositivos al árbol de navegación del sistema. dispositivos Marcas de estado Administración de varios dispositivos Iniciar, detener, reiniciar y actualizar varios dispositivos de forma individual. Obtener eventos y flujos Recuperar eventos y flujos de los dispositivos seleccionados. Eliminar un dispositivo Eliminar el dispositivo seleccionado. Actualizar 32 Ver alertas de estado de dispositivo. Actualizar los datos de todos los dispositivos. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Tabla 3-1 Definiciones de las funciones (continuación) Esta función... Permite... 2 Tipo de pantalla Seleccionar la forma en que se desea organizar los dispositivos del árbol. El ESM incluye tres tipos predefinidos. • Pantalla física: se muestran los dispositivos de forma jerárquica. El primer nivel corresponde a nodos del sistema (pantalla física, ESM local y dispositivo de base del ESM local). El segundo nivel corresponde a los dispositivos individuales, mientras que el resto de niveles son los orígenes que se agregan a los dispositivos (origen de datos, dispositivo virtual, etc.). Los dispositivos de base se agregan automáticamente bajo los nodos de ESM local, origen de datos, dispositivo virtual y servidor de base de datos. Cuentan con un icono atenuado y se muestran entre paréntesis. • Pantalla de tipos de dispositivo: los dispositivos se agrupan por tipo de dispositivo (Nitro IPS, ADM, DEM, etc.). • Pantalla de zonas: los dispositivos se organizan según la zona, la cual se define mediante la función Administración de zonas. También es posible agregar tipos de pantallas personalizados (véase Organización de los dispositivos). 3 Búsqueda rápida Llevar a cabo una búsqueda rápida de un dispositivo en el árbol de navegación del sistema. 4 Árbol de navegación del sistema Ver los dispositivos del sistema. Véase también Organización de los dispositivos en la página 37 Informes de estado de mantenimiento de los dispositivos en la página 55 Administración de varios dispositivos en la página 53 Visualización de estadísticas de dispositivo Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos. Antes de empezar Verifique que dispone del permiso Administración de dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono de propiedades . 2 Navegue por las opciones y las fichas hasta llegar a Ver estadísticas. 3 Haga clic en Ver estadísticas. Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada. Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica correspondiente. McAfee Enterprise Security Manager 9.5.0 Guía del producto 33 3 Configuración del ESM Administración de dispositivos Adición de dispositivos a la consola de ESM Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM. Antes de empezar Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise Security Manager). Procedimiento 1 2 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo. En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo . 3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente. 4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente. 5 Proporcione la información solicitada. • Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para la comunicación con la base de datos. Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombre de usuario y contraseña para el dispositivo. • Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después, indique un número de puerto SSH de destino válido para su uso con la dirección IP. 6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y, después, haga clic en Siguiente. 7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo. Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la 8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación, se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo, tales como el privilegio Configurar dispositivos virtuales. 8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente. El ESM probará la comunicación con el dispositivo e informará del estado de la conexión. Acerca de las claves de dispositivo Para que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clave de comunicación creada al aplicar la clave a dicho dispositivo. Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña. Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso de que se produzca una emergencia, o bien para exportar una clave a otro dispositivo. Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está comunicando correctamente con ese dispositivo. 34 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la comunicación con el dispositivo. Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la administración de directivas, el registro y la administración de ELM, y la configuración de origen de datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro ESM. Aplicación de la clave a un dispositivo Tras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación. La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentes externas de comunicación. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves | Aplicar clave a dispositivo. Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el Asistente para aplicar clave a dispositivo. 3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente. 4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si no va a realizar la exportación en este momento. Exportación de una clave Tras aplicar la clave a un dispositivo, expórtela a un archivo. Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con clave aplicada en el modo FIPS para conocer el proceso correcto. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves | Exportar clave. McAfee Enterprise Security Manager 9.5.0 Guía del producto 35 3 Configuración del ESM Administración de dispositivos 3 Defina la configuración en la página Exportar clave y haga clic en Aceptar. El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla. 4 Haga clic en Sí y seleccione dónde quiere guardar el archivo. Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada como No caduca nunca que incluya todos los privilegios. Importación de una clave Es posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarla en otro ESM o consola heredada. Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la versión 8.5 o posterior. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves | Importar clave. 3 Ubique y seleccione el archivo de clave guardado. 4 Haga clic en Cargar y escriba la contraseña establecida al exportar la clave. Una vez que la clave se importa correctamente, aparece una página con el estado. Administración de claves SSH Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que necesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se elimina la clave. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves y, después, en Administrar claves SSH. La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el dispositivo. 36 3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los sistemas de la lista. 4 Confirme la eliminación y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Actualización del software en un dispositivo Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un archivo en el ESM o su equipo local. Antes de empezar Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de credenciales de actualización de reglas). Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una actualización certificada. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Actualizar dispositivo. 3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local. El dispositivo se reiniciará con la versión de software actualizada. Organización de los dispositivos El árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puede seleccionar la forma de visualizarlos mediante la función de tipo de pantalla. A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera lógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría ser mejor mostrar los dispositivos según su zona. Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la organización de los dispositivos. Configuración del control de tráfico de la red en un dispositivo Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS, ADM y DEM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 37 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades 2 . Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último, haga clic en la ficha Tráfico. La tabla presenta una lista de los controles existentes. 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. Configuración del dispositivo La página Configuración de cada dispositivo proporciona opciones que permiten llevar a cabo la configuración del dispositivo, como en el caso de la interfaz de red, las notificaciones SNMP, la configuración de NTP y el registro de ELM. Configuración de interfaces de red La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas opciones para cada dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces. 3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar. Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso. Administración de interfaces de red La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección IP. Interfaz de administración Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo requieren el uso de una interfaz de administración: 38 • Control completo de las tarjetas de red de omisión • Uso de la sincronización de hora NTP McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos • Syslog generado por dispositivo • Notificaciones SNMP 3 Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la comunicación hacia otra dirección IP o nombre de host de destino. No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y su seguridad podría ponerse en peligro. En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo. NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión (véase Configuración de NIC de omisión). Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Adición de rutas estáticas Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 Junto a la tabla Rutas estáticas, haga clic en Agregar. 4 Introduzca la información y, a continuación, haga clic en Aceptar. NIC de omisión En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. McAfee Enterprise Security Manager 9.5.0 Guía del producto 39 3 Configuración del ESM Administración de dispositivos Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión. Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de NIC de omisión En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase todo el tráfico. Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de omisión, pero no cambiar la configuración. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte inferior. 4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración. 5 Haga clic en Aceptar. Adición de VLAN y alias Es posible agregar redes de área local virtuales (VLAN) y alias (pares asignados de dirección IP y máscara de red que se agregan si hay algún dispositivo de red con más de una dirección IP) a una interfaz de ACE o ELM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración correspondiente al dispositivo, después en Interfaces y, por último, en Opciones avanzadas. 3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar. 4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias. 5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Configuración de notificaciones SNMP Para configurar las notificaciones SNMP generadas por el dispositivo, es necesario definir qué capturas se deben enviar y sus destinos. 40 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | SNMP. 3 Defina la configuración y haga clic en Aceptar. Configuración de NTP en un dispositivo Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP (Network Time Protocol). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | NTP. 3 Rellene la información solicitada y, después, haga clic en Aceptar. Procedimientos • Visualización del estado de los servidores NTP en la página 174 Es posible ver el estado de todos los servidores NTP del ESM. Sincronización del dispositivo con ESM Si tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar la configuración. Si no dispone de una copia de seguridad de la base de datos actualizada, también deberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base de datos con ESM para que puedan reanudar la extracción de eventos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Sincronizar dispositivo. 3 Una vez completada la sincronización, haga clic en Aceptar. Configuración de la comunicación con ELM Si pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y Sincronizar ELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizar el ELM con el dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 41 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración y realice una de las acciones siguientes: Haga clic en... Para... IP de ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberá hacer esto si cambia la dirección IP del ELM o la interfaz de administración de ELM a través de la cual este dispositivo se comunica con el ELM. Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar esta función, la comunicación SSH entre ambos dispositivos se restablece por medio de la clave del nuevo dispositivo y la configuración anterior. Establecimiento del grupo de registro predeterminado Si tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos de eventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registro predeterminado. El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Registro. 3 Realice las selecciones adecuadas en las páginas que se abrirán. Se le informará cuando se active el registro de datos de este dispositivo en el ELM. Información y configuración generales de los dispositivos Cada dispositivo cuenta con una página que proporciona información general, como por ejemplo el número de serie y la versión del software. Esta página también permite definir la configuración del dispositivo, como seleccionar la zona y sincronizar el reloj. Visualización de registros de mensajes y estadísticas del dispositivo Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo. 42 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones: Opción Descripción Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el archivo para descargar los datos a un archivo. Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz Ethernet, ifconfig y el filtro iptables. Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Le resultará útil si colabora con el Soporte de McAfee para solucionar un problema del sistema. Actualización del software en un dispositivo Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un archivo en el ESM o su equipo local. Antes de empezar Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de credenciales de actualización de reglas). Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una actualización certificada. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Actualizar dispositivo. 3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local. El dispositivo se reiniciará con la versión de software actualizada. Introducción de comandos Linux en un dispositivo Utilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función está destinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 43 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux, exporte el archivo o transfiera archivos. 5 Haga clic en Cerrar. Otorgar acceso al sistema Cuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero de soporte técnico para que vea su sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Conectar. El botón cambiará a Desconectar y se le proporcionará la dirección IP. 3 Informe de la dirección IP al ingeniero de soporte técnico. Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña. 4 Haga clic en Desconectar para finalizar la conexión. Supervisión del tráfico Si necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración. 3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la instancia. Visualización de información de dispositivo Es posible ver información general sobre un dispositivo. Abra la página Información del dispositivo para ver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc. 44 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Vea la información disponible y, a continuación, haga clic en Aceptar. Inicio, detención, reinicio o actualización de un dispositivo Es posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después, haga clic en Iniciar, Detener, Reiniciar o Actualizar. Cambio del nombre del dispositivo Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la descripción, o bien visualice el número de ID de dispositivo. 3 Haga clic en Aceptar. Adición de vínculos de URL Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo vista. , situado en la parte inferior de los componentes de la Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Nombre y descripción y escriba la URL. 3 Haga clic en Aceptar para guardar los cambios. McAfee Enterprise Security Manager 9.5.0 Guía del producto 45 3 Configuración del ESM Administración de dispositivos Cambio de la conexión con el ESM Cuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe la posibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar el estado de la conexión. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el ESM se comunica con el dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Conexión y realice los cambios. 3 Haga clic en Aplicar. Eventos, flujos y registros Los dispositivos IPS, ADM y Event Receiver recopilan eventos, flujos y registros; los dispositivos ACE y DEM recopilan eventos y registros; y, por último, los dispositivos ELM recopilan solo registros. Configure cada dispositivo para que los busque de forma automática o manual. Además, es posible agregar los eventos o los flujos generados por un dispositivo. Configuración de descargas de eventos, flujos y registros Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo de forma que lo haga automáticamente. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros. 3 Configure las descargas y haga clic en Aplicar. Definición de la configuración de geolocalización y ASN La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica de forma exclusiva cada una de las redes de Internet. Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible recopilar datos de geolocalización de origen y destino para los eventos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 46 2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización. 3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Es posible filtrar los datos de eventos mediante esta información. Agregación de eventos o flujos Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o flujo con un recuento que indica el número de veces que se ha producido. El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas para las cuales se haya activado la agregación en el Editor de directivas. Dirección IP de destino origen y destino Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo: • ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7). • ::0000:10.0.12.7 sería 10.0.12.7. Eventos y flujos agregados Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Total contiene el valor 30. Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas individuales (véase Administración de las excepciones de agregación de eventos). La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo. Cambio de la configuración de agregación de eventos o flujos La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en la página Agregación. Antes de empezar Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración. La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras que la agregación de flujos lo está en los receptores y los dispositivos IPS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 47 3 Configuración del ESM Administración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos o Agregación de flujos. 3 Defina la configuración y haga clic en Aceptar. Administración de las excepciones de agregación de eventos Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe la posibilidad de editar o eliminar una excepción. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla. 3 Realice los cambios necesarios y haga clic en Cerrar. Adición de excepciones a la configuración de agregación de eventos La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por una regla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción. Haga clic en el icono Menú y seleccione Modificar configuración de agregación. Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación de eventos definida para el dispositivo. 4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar. 5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos. 6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados. La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios. 48 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Dispositivos virtuales Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de supervisar el tráfico, comparar patrones de tráfico y generar informes. Finalidad y ventajas Los dispositivos virtuales se pueden usar para diversos propósitos: • Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas. • Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado. • Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de acuerdo con directivas distintas. Número máximo de dispositivos por modelo El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo: Máximo de dispositivo Modelo 2 APM-1225 NTP-1225 APM-1250 NTP-1250 4 APM-2230 NTP-2230 NTP-2600 APM-3450 NTP-3450 8 NTP-2250 NTP-4245 NTP-5400 0 APM-VM NTP-VM Utilización de las reglas de selección Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará un dispositivo virtual. Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los dispositivos virtuales. McAfee Enterprise Security Manager 9.5.0 Guía del producto 49 3 Configuración del ESM Administración de dispositivos Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4: • Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual situado antes en la lista. • Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo virtual. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último. Orden de los dispositivos virtuales El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes que llegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivo virtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega a las reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de selección del primero. • Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de ADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto. • Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales (Propiedades de IPS | Dispositivos virtuales). Dispositivos ADM virtuales Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtros de interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual ADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista de filtros disponibles hasta que se elimina de ese dispositivo. Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo ADM virtual. Administración de reglas de selección Las reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivo virtual. Es posible agregar, editar y eliminar reglas de selección. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. 50 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades . Haga clic en Dispositivos virtuales y, después, en Agregar. Se abrirá la ventana Agregar dispositivo virtual. 3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden. Adición de un dispositivo virtual Es posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas de selección que determinan qué paquetes procesará cada dispositivo. Antes de empezar Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado (véase Acerca de los dispositivos virtuales). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono Propiedades . 2 Haga clic en Dispositivos virtuales | Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. 4 Haga clic en Escribir para agregar la configuración al dispositivo. Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.5.0 Guía del producto 51 3 Configuración del ESM Administración de dispositivos Para... Haga esto... Agregar un tipo de pantalla personalizada 1 Haga clic en Agregar pantalla. Editar un tipo de pantalla personalizada 1 2 Rellene los campos y haga clic en Aceptar. Haga clic en el icono Editar que desee editar. situado junto al tipo de pantalla 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Selección de un tipo de pantalla Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema. Antes de empezar Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase Administración de tipos de pantallas personalizadas). Procedimiento 1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización. 2 Seleccione uno de los tipos de pantalla. La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo seleccionado para la sesión de trabajo en curso. Administración de un grupo en un tipo de pantalla personalizada Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en agrupaciones lógicas. Antes de empezar Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas personalizadas). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 52 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione la pantalla personalizada y haga una de estas cosas: McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos Para... Haga esto... Agregar un nuevo grupo 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo 3 de la barra de herramientas de acciones. 2 Rellene los campos y haga clic en Aceptar. 3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo. Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de sistemas. Editar un grupo Eliminar un grupo Seleccione el grupo, haga clic en el icono Propiedades página Propiedades de grupo. y realice cambios en la Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los dispositivos no se eliminarán del sistema. Véase también Administración de tipos de pantallas personalizadas en la página 25 Eliminación de dispositivos duplicados en el árbol de navegación del sistema Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione el icono Editar 3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar. situado junto a la pantalla que incluye los dispositivos duplicados. Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente. Administración de varios dispositivos La opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez, así como actualizar el software en ellos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar. Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones. Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a continuación, haga clic en Iniciar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 53 3 Configuración del ESM Administración de dispositivos Administración de vínculos de URL para todos los dispositivos Es posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos en una dirección URL. Antes de empezar Configure el sitio de la dirección URL para el dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada | Vínculos de dispositivo. 2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL. El campo de URL tiene un límite de 512 caracteres. 3 Haga clic en Aceptar. Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo Análisis de eventos y Análisis de flujos de cada dispositivo. en la parte inferior de las vistas Visualización de informes de resumen de dispositivos Los informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, así como la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar con formato de valores separados por comas (CSV). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Ver informes. 2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento. 3 Haga clic en Aceptar. Visualización de un registro de sistema o dispositivo Los registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos. Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y el último evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registro del sistema o Registro de dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Visualización de un resumen de datos de eventos: • Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema. • Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo. A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver. Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el intervalo de tiempo especificado. 54 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Informes de estado de mantenimiento de los dispositivos Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco (informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos de sistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la página Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier problema. Una marca en este tipo de nodo... Abre... Sistema o grupo La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de estado correspondientes a los dispositivos asociados con el sistema o el grupo. Puede mostrar las siguientes alertas de estado: • Partición eliminada: una tabla de base de datos que contiene los datos de eventos, flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a fin de agregar espacio para los registros nuevos. Los datos de eventos, flujos y registro se pueden exportar para evitar su pérdida permanente. • Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto podría incluir el disco duro del ESM, el ESM redundante o el punto de montaje remoto. • Crítico: el dispositivo no funciona bien y se debe arreglar. • Advertencia: algo no funciona en el dispositivo como debería. • Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado. • Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de base de datos del ESM no está sincronizada con el dispositivo. • Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que se ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo los antiguos. • Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijado como umbral de inactividad. • Desconocido: el ESM no ha podido conectar con el dispositivo. Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrar marcando las casillas de verificación situadas junto a los indicativos y haciendo clic en Borrar selección o Borrar todo. Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a las ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes botones: • Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo muestran un resumen de todas las acciones que han tenido lugar en el sistema o el dispositivo. • Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual permite comprobar la existencia de problemas. • Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento en el intervalo de tiempo especificado. Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia o crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 55 3 Configuración del ESM Administración de dispositivos Estado Descripción e instrucciones Modo de omisión La interfaz de red (NIC) está en el modo de omisión. Entre las causas posibles están el fallo de un proceso de sistema crítico, el establecimiento manual del dispositivo en el modo de omisión o un fallo de otro tipo. Si desea sacar el dispositivo del modo de omisión, acceda en el dispositivo a Propiedades | Configuración | Interfaces. No se está ejecutando la inspección profunda de paquetes (DPI) Se ha producido un fallo de inspección profunda de paquetes (DPI). Podría recuperarse sin necesidad de intervención. Si no es así, reinicie el dispositivo. El programa de alerta de Se ha producido un fallo de funcionamiento del agregador de alertas firewall (ngulogd) no se está de firewall (FAA). Podría recuperarse sin necesidad de intervención. Si ejecutando no es así, reinicie el dispositivo. La base de datos no se está ejecutando Se ha producido un fallo de funcionamiento en el servidor de McAfee Extreme Database (EDB). Puede que el problema se resuelva reiniciando el dispositivo, pero cabe la posibilidad de que la base de datos necesite reconstrucción. Modo de sobresuscripción Si la red supervisada tiene un tráfico superior al que Nitro IPS puede gestionar, los paquetes de red podrían no inspeccionarse. El monitor de estado genera una alerta que indica que existe sobresuscripción en el dispositivo Nitro IPS. De forma predeterminada, el valor del modo de sobresuscripción está configurado para la supresión. Si desea cambiar este valor, acceda a Editor de directivas, haga clic en Variable en el panel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredar para la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso y Supresión para esta variable. El canal de control no funciona El proceso que proporciona el canal de comunicación con el ESM ha fallado. El problema se podría solucionar reiniciando el dispositivo. Los programas RDEP o Syslog no se están ejecutando Si existe un fallo de funcionamiento en el subsistema que gestiona los orígenes de datos de terceros (como Syslog o SNMP), se genera una alerta crítica. Se genera una alerta de nivel de advertencia si el recopilador no ha recibido datos del origen de datos de tercero durante una cantidad de tiempo concreta. Esto indica que el origen de datos podría no estar funcionando o no estar enviando datos al receptor como se esperaba. El monitor de estado no se puede comunicar con el programa controlador de inspección profunda de paquetes (DPI) El monitor de estado no es capaz de comunicarse con la inspección profunda de paquetes (DPI) para recuperar su estado. Esto podría indicar que el programa de control no se está ejecutando y que el tráfico de red podría no estar pasando por Nitro IPS. Es posible que el problema se solucione volviendo a aplicar la directiva. El registrador del sistema no El registrador del sistema no responde. El problema se podría se está ejecutando solucionar con el reinicio del dispositivo. 56 Queda poco espacio libre en la partición del disco duro La cantidad de espacio libre es crítica. Alerta de velocidad de ventilador El ventilador gira muy lentamente o no se mueve en absoluto. Hasta que se pueda reemplazar el ventilador, mantenga el dispositivo en una sala con aire acondicionado a fin de evitar daños. Alerta de temperatura La temperatura de los componentes críticos supera un cierto umbral. Mantenga el dispositivo en una habitación con aire acondicionado para evitar daños permanentes. Compruebe si hay algo bloqueando el flujo de aire en el dispositivo. Errores de red Existen errores en la red o un exceso de colisiones en ella. La causa podría ser un dominio con mucha colisión o fallos en los cables de red. Problema en un punto de montaje remoto Existe un problema en un punto de montaje remoto. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Estado Descripción e instrucciones Poco espacio de disco libre Queda poco espacio libre en el disco del punto de montaje remoto. en punto de montaje remoto Todos los recopiladores de origen de datos que no han recibido comunicación de un origen de datos durante al menos diez minutos El receptor no ha recibido comunicación alguna de un origen de datos durante un mínimo de diez minutos. El recopilador de orígenes de Existe un fallo de funcionamiento en el subsistema que controla los datos no funciona orígenes de datos de terceros (como Syslog o SNMP). El recopilador no ha recibido ningún dato del origen de datos de terceros en una cantidad de tiempo concreta. Puede que el origen de datos no esté funcionando o no esté enviando datos al receptor como se esperaba. El monitor de estado no puede obtener un estado válido de un subsistema El monitor de estado no ha podido obtener un estado válido para un subsistema. Recuperación de un subsistema de un estado de advertencia o crítico Cuando se inicia y se detiene el monitor de estado, se genera una alerta informativa. Si el monitor de estado tiene problemas de comunicación con otros subsistemas del dispositivo, también se genera una alerta. Es posible que el registro de eventos proporcione detalles sobre las causas de las alertas de advertencia y críticas. Eliminación de un grupo o dispositivo Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol de navegación del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga clic en el icono Eliminar de la barra de acciones. 2 Cuando se le solicite confirmación, haga clic en Aceptar. Actualización de dispositivos Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la del ESM. • En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos . Configuración de dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. Contenido Los dispositivos y sus funciones Configuración de Event Receiver Configuración de Enterprise Log Manager (ELM) Configuración de Advanced Correlation Engine (ACE) Configuración de Application Data Monitor (ADM) McAfee Enterprise Security Manager 9.5.0 Guía del producto 57 3 Configuración del ESM Configuración de dispositivos Configuración Configuración Configuración Configuración Configuración Configuración de Database Event Monitor (DEM) del ESM distribuido (DESM) de ePolicy Orchestrator de Nitro Intrusion Prevention System (Nitro IPS) de McAfee Vulnerability Manager de McAfee Network Security Manager Los dispositivos y sus funciones El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de seguridad, así como interactuar con ellos. Véase también Configuración de Event Receiver en la página 59 Configuración de Enterprise Log Manager (ELM) en la página 115 Configuración de Application Data Monitor (ADM) en la página 134 Configuración de Database Event Monitor (DEM) en la página 150 Configuración de Advanced Correlation Engine (ACE) en la página 131 Configuración del ESM distribuido (DESM) en la página 158 Configuración de ePolicy Orchestrator en la página 159 Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 165 58 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de Event Receiver Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución única que se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores, tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos en dispositivos Nitro IPS y enrutadores que envían datos al receptor. Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor principal (A), y los cambios de configuración o de información de directiva se envían a ambos dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A como principal. Visualización de eventos de transmisión ® El Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee Network Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic en el icono Ver eventos de transmisión en la barra de herramientas de acciones. 2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla. 3 Seleccione cualquiera de las acciones disponibles en el visor. 4 Haga clic en Cerrar. Receptores de disponibilidad alta Los receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que el receptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla. Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece un único receptor. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el secundario determina que el principal ha fallado, lo detiene y asume su función. Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta. McAfee Enterprise Security Manager 9.5.0 Guía del producto 59 3 Configuración del ESM Configuración de dispositivos Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta: • ERC-1225-HA • ERC-1250-HA • ERC-2230-HA • ERC-1260-HA • ERC-2250-HA • ERC-2600-HA • ERC-4245-HA • ERC-4600-HA • ERC-4500-HA Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4 NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los receptores de disponibilidad alta). Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación con el ESM, así como una NIC de origen de datos para recopilar datos. Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo siguiente: • Los receptores se comunican constantemente a través de la NIC de latido y la NIC de administración dedicadas. • Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par. • Todos los orígenes de datos utilizan la NIC de origen de datos. • Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC. • El ESM se comunica con los receptores periódicamente para determinar su estado. • La información de configuración nueva se envía a los dos receptores, el principal y el secundario. • El ESM también envía la directiva a los dos receptores. • Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado. En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta experimenta problemas. Fallo del receptor principal El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe determinar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce la conmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivo principal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y la tasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrar cuidadosamente para optimizar la disponibilidad de los datos. Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal. El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los recopiladores. 60 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Fallo del receptor secundario El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la comunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptor secundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración y latido. Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario como fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo. Problema de estado del dispositivo principal El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una base de datos que no responde, una interfaz de origen de datos que no responde y un número excesivo de errores de disco. Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones, pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor secundario. Problema de estado del dispositivo secundario Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente: • El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los procesos de Corosync y Pacemaker. • Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja de estar disponible en caso de fallo del receptor principal. • El problema de estado se analiza y se intenta repararlo. • Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal mediante el procedimiento Nueva puesta en servicio. • Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido. Nueva puesta en servicio Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo de alimentación, reparación del hardware o reparación de la red), ocurre lo siguiente: • Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el inicio. Permanecen en modo secundario hasta que se establecen como principal. • El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el dispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido. McAfee Enterprise Security Manager 9.5.0 Guía del producto 61 3 Configuración del ESM Configuración de dispositivos Ampliación de receptor de disponibilidad alta El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Ocurre de la siguiente forma: 1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario. 2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el principal y el que no se ha ampliado aún sea el secundario. 3 El archivo de ampliación se aplica al nuevo receptor secundario. 4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptores asuman de nuevo sus funciones originales. A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido. Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración de receptor principal preferido de nuevo. Puertos de red de los receptores de disponibilidad alta Estos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta. ERC-1250-HA/1260-HA 62 1 IPMI 6 Admin. 2 2 Admin. 2 7 Admin. 3 3 Admin. 1 8 Fuente de datos 4 NIC IPMI 9 IP Admin. 1 5 Latido (Heartbeat) McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 ERC-2600-HA y ERC-4600-HA 1 NIC IPMI 6 Datos 2 Latido 7 IPMI 3 Admin. 2 8 Admin. 1 4 Admin. 3 9 Fuente de datos 5 Admin. Configuración de dispositivos receptores de disponibilidad alta Defina la configuración de los dispositivos receptores de disponibilidad alta. Antes de empezar Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la consola de ESM). Debe disponer de tres o más NIC. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. McAfee Enterprise Security Manager 9.5.0 Guía del producto 63 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad alta principal y haga clic en el icono Propiedades . 2 Haga clic en Configuración del receptor y, después, en Interfaz. 3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad. 4 Rellene la información solicitada y, después, haga clic en Aceptar. Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica globals.conf y sincroniza ambos receptores. Reinicialización del dispositivo secundario Si se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de volver a instalarlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta. 2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria. 3 Haga clic en Reinicializar secundario. El ESM llevará a cabo los pasos necesarios para reinicializar el receptor. Restablecimiento de dispositivos de disponibilidad alta Si necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antes de configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con los receptores, en el menú de la pantalla LCD. • 64 Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Para... Haga esto... Restablecer un receptor en la consola de ESM 1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y, después, haga clic en Configuración del receptor | Interfaz. 2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar. 3 Haga clic en Sí en la página de advertencia y, después, en Cerrar. Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco minutos a fin de devolver las direcciones MAC a sus valores originales. Restablecer el 1 En el menú LCD del receptor, pulse X. receptor principal o 2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar secundario en el menú de la pantalla disponibilidad alta). LCD 3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary (Desactivar principal) en la pantalla LCD. 4 Para restablecer el receptor principal, pulse la marca de verificación. 5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una vez y, después, la marca de verificación. Intercambio de funciones de receptores de disponibilidad alta Este proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los receptores principal y secundario. Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para devolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la cantidad de datos perdidos. Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede tardar desde unos minutos a varios días, en función de la configuración de la red. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades 2 . Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente: • El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida y recopile datos. • El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de intercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores. • El ESM extrae todos los datos de alertas y flujos del receptor principal. • El ESM marca el receptor secundario como principal y el principal como secundario. McAfee Enterprise Security Manager 9.5.0 Guía del producto 65 3 Configuración del ESM Configuración de dispositivos Ampliación de los receptores de disponibilidad alta El proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los dispositivos y producirse un periodo de inactividad. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades 2 . Amplíe el receptor secundario: a Haga clic en Administración del receptor y seleccione Secundario. b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga clic en Aceptar. El receptor se reiniciará y se actualizará la versión del software. c En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio. d Seleccione el receptor secundario y haga clic en Aceptar. 3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso de error. 4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2. Comprobación del estado de receptores de disponibilidad alta Es posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabo una ampliación. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta principal y haga clic en el icono Propiedades 2 66 . En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta del dispositivo: online. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos 3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el otro. Tiene un aspecto similar a este: OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no 4 Compruebe lo siguiente en la información anterior: • La primera línea de la respuesta es OK. • El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos menos el número de modelo del receptor. • El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este receptor; de lo contrario, el modo será secondary. • Las siguientes dos líneas muestran los nombres de host de los receptores del par de disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos es online. • La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que debería ser running. • El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o de otro. Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit. Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. 5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ifconfig en la interfaz de línea de comandos de ambos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 67 3 Configuración del ESM Configuración de dispositivos 6 Compruebe lo siguiente en los datos generados: • Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores. • El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tiene dirección IP en eth1. Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones IP, lo que implica que los dispositivos se pueden ampliar. Sustitución de un receptor con problemas Si un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesario sustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos en la Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cables conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz. 2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar alta disponibilidad. 3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario. El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta. Solución de problemas en un receptor fallido Si un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla la escritura de orígenes de datos, opciones de configuración global, opciones de configuración de agregación, etc., y aparece un error de SSH. De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un error cuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no se despliega. En esta situación, existen las siguientes opciones: • Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva. • Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos. Archivado de datos de receptor sin procesar Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo. Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common Internet File System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan, en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados al receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP, SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de 68 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno de ellos para el archivado de datos. Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX. Definición de la configuración de archivado A fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar las opciones empleadas por el receptor para el archivado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Configuración del receptor | Archivado de datos. 2 Seleccione el tipo de recurso compartido e introduzca la información solicitada. Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el recurso compartido SMB para el establecimiento de una conexión SMB. 3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar. Visualización de los eventos de origen de los eventos de correlación Es posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos. Antes de empezar Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de correlación y Adición de un origen de datos). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación. 2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos. 3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de correlación. Solo aparecerá el signo más si el evento de correlación tiene eventos de origen. Los eventos de origen aparecen debajo del evento de correlación. Visualización de estadísticas de rendimiento del receptor Es posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y salida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24 horas. Antes de empezar Verifique que dispone del privilegio Administración de dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 69 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de propiedades . 2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento. 3 Vea las estadísticas del receptor. Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica (en las últimas 24 horas) o como advertencia (en la última hora). 4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia. 5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por número de registros. 6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación Actualizar automáticamente. 7 Para ordenar los datos, haga clic en el título de columna relevante. Orígenes de datos de receptor McAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar qué datos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datos requeridos. La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo receptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de importarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios y cliente. Adición de un origen de datos Es necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar al receptor a fin de recopilar datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de datos y haga clic en el icono Propiedades . 2 En Propiedades de receptor, haga clic en Orígenes de datos | Agregar. 3 Seleccione el proveedor y el modelo. Los campos que hay que rellenar dependen de las selecciones realizadas. 4 Rellene la información solicitada y, después, haga clic en Aceptar. El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de navegación del sistema, debajo del receptor seleccionado. 70 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procesamiento de un origen de datos mediante una captura SNMP La funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar de cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándar son: • Error de autenticación • Vínculo inactivo • Inicio en frío • Vínculo activo e Inicio en caliente • Pérdida de vecino de EGP A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto: 2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254. Si selecciona Captura SNMP, existen tres opciones: • Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP, donde podrá seleccionar el perfil que desee utilizar. • Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un nuevo perfil. • Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de origen de datos. Administración de orígenes de datos Es posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregar orígenes de datos secundarios y cliente en la página Orígenes de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones disponibles a fin de administrarlos. 3 Haga clic en Aplicar o en Aceptar. SIEM Collector SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión cifrada. Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para que no se pueda usar WMI. El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros. Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de McAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de McAfee existentes. McAfee Enterprise Security Manager 9.5.0 Guía del producto 71 3 Configuración del ESM Configuración de dispositivos Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas. Otras funciones disponibles son: • Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con SQL Server y Oracle). • Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx. • Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc). Integración de datos de evaluación de vulnerabilidades La evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos que se pueden recuperar de diversos proveedores de evaluación de vulnerabilidades. Estos datos se pueden usar de varias formas. • Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho evento. • Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema operativo y servicios detectados). • Crear y manipular la pertenencia a los grupos de activos definidos por el usuario. • Acceder a información detallada y de resumen sobre los activos de la red. • Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se descubre un activo que ejecuta MySQL. Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son: • Vistas de panel | Panel de vulnerabilidad de activos • Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red • Vistas ejecutivas | Vulner. críticas en activos regulados Para crear una vista personalizada, véase Adición de una vista personalizada. Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo). El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure (CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se incluyen en esta versión. Definición de un perfil de sistema de evaluación de vulnerabilidades Cuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece la opción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesario definir antes el perfil. 72 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades . 2 Haga clic en Evaluación de vulnerabilidades | Agregar. 3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM. 4 Haga clic en Usar perfil del sistema. 5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil. 6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil. Los campos de la página se activan según la versión seleccionada. 7 Rellene la información solicitada y haga clic en Aceptar. Adición de un origen de evaluación de vulnerabilidades A fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cada origen al sistema, configurar los parámetros de comunicación correspondientes al proveedor de evaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación de datos y modificar los cálculos de gravedad de eventos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades . 2 Haga clic en Evaluación de vulnerabilidades. 3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los cambios realizados en el dispositivo. 4 Haga clic en Aplicar o en Aceptar. Recuperación de datos de evaluación de vulnerabilidades Una vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existen dos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de forma planificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenes de evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic en Evaluación de vulnerabilidades. 2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones. McAfee Enterprise Security Manager 9.5.0 Guía del producto 73 3 Configuración del ESM Configuración de dispositivos Para... Haga esto... Recuperar inmediatamente • Haga clic en Recuperar. Planificar recuperación 1 Haga clic en Editar. El trabajo se ejecutará en segundo plano y se le informará si la recuperación ha sido correcta (véase Solución de problemas de recuperación de evaluación de vulnerabilidades en caso contrario). 2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccione la frecuencia. 3 Haga clic en Aceptar. 4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir los cambios en el dispositivo. 3 4 Haga clic en Aceptar. Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager Evaluación de vulnerabilidades. y seleccione la ficha Solución de problemas de recuperación de evaluación de vulnerabilidades Cuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirse algún error. A continuación se enumeran algunas de las razones que producen errores de recuperación. Este recurso... Provoca... Nessus, OpenVAS y Rapid7 Metasploit Pro • Directorio vacío. • Error de configuración. • Los datos del directorio ya se recuperaron, por lo que no están actualizados. Qualys, FusionVM y Rapid7 Nexpose Los datos del directorio ya se recuperaron, por lo que no están actualizados. Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de Nessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la recuperación de evaluación de vulnerabilidades, no se devuelven datos porque se perciben como datos antiguos. Para evitar esta situación, elimine el archivo de Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice un nombre distinto para el archivo que cargue. Proveedores de evaluación de vulnerabilidades disponibles El ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades. 74 Proveedor de evaluación de vulnerabilidades Versión Digital Defense Frontline 5.1.1.4 eEye REM (servidor de eventos de REM) 3.7.9.1721 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos Proveedor de evaluación de vulnerabilidades Versión eEye Retina 5.13.0, auditorías: 2400 3 El origen de evaluación de vulnerabilidades eEye Retina es similar al origen de datos Nessus. Puede elegir entre usar archivos scp, ftp, nfs o cifs para obtener los archivos .rtd. Es necesario copiar manualmente los archivos .rtd en un recurso compartido scp, ftp o nfs antes de extraerlos. Los archivos .rtd suelen estar ubicados en el directorio Scans de Retina. McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM 4-2011.6.1.48 LanGuard 10.2 Lumension Compatible con PatchLink Security Management Console 6.4.5 o posterior nCircle 6.8.1.6 Nessus Compatible con Tenable Nessus versiones 3.2.1.1 y 4.2, así como los formatos de archivo NBE, .nessus (XMLv2) y .nessus (XMLv1); también el formato XML de OpenNessus 3.2.1 NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro 4.1.4 Update 1, formato de archivo XML Se puede reducir la gravedad de un exploit de Metasploit que empieza por el nombre Nexpose mediante la adición de un origen de evaluación de vulnerabilidades Rapid7 al mismo receptor. Si no se puede deducir, la gravedad predeterminada es 100. Saint Creación automática de orígenes de datos Es posible configurar el receptor para la creación automática de orígenes de datos mediante las cinco reglas estándar incluidas en el receptor o las reglas que se creen. Antes de empezar Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo Eventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el de la barra de herramientas de acciones a fin de extraer icono Obtener eventos y flujos eventos, flujos o ambas cosas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 75 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático. 2 En la ventana Aprendizaje automático, haga clic en Configurar. 3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que desee que emplee el receptor para crear los orígenes de datos de forma automática. 4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático existentes y, después, haga clic en Cerrar. Adición de nuevas reglas de creación automática Es posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes de datos de forma automática. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar. 2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la regla y haga clic en Aceptar. La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando los datos de aprendizaje automático cumplan los criterios definidos en la regla. Establecimiento del formato de fecha para los orígenes de datos Seleccione el formato de las fechas incluidas en los orígenes de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de datos 2 3 76 . Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas: • Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día). Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el formato de fecha del origen de datos principal. • Mes antes del día: el mes aparece antes que el día (04/23/2014). • Día antes del mes: el día aparece antes que el mes (23/04/2014). Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Orígenes de datos no sincronizados Como resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder la sincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece una marca roja junto al receptor en el árbol de navegación del sistema. Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puede administrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véase Administración de orígenes de datos no sincronizados). Los eventos no sincronizados pueden ser eventos antiguos o futuros. Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM. 1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de usuario). 2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un origen de datos). 3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado. 4 Ha configurado el sistema de esa forma a propósito. 5 El sistema no está conectado a Internet. 6 El evento está desincronizado al llegar al receptor. Véase también Adición de un origen de datos en la página 70 Administración de orígenes de datos no sincronizados en la página 77 Selección de la configuración de usuario en la página 29 Administración de orígenes de datos no sincronizados Si tiene orígenes de datos que no estén sincronizados con el ESM, puede configurar una alarma para que se le notifique la generación de eventos por parte de estos orígenes de datos. Después, puede ver una lista de los orígenes de datos, editar su configuración y exportar la lista. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado por un origen de datos que no está sincronizado con el ESM. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . b Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en la ficha Condición. c Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe existir para que se active la alarma. d Rellene la información en el resto de fichas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 77 3 Configuración del ESM Configuración de dispositivos 2 Vea, edite o exporte los orígenes de datos que no están sincronizados. a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono de Propiedades. b Haga clic en Administración del receptor y seleccione Diferencia de tiempo. Adición de un origen de datos secundario Es posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno secundario. 3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de datos principal. 4 Haga clic en Aceptar. El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en la tabla y en el árbol de navegación del sistema. Orígenes de datos cliente Es posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición de orígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF, MEF, NPP y WMI, es posible agregar hasta 65 534 clientes de origen de datos. Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datos WMI y se ha seleccionado Usar RPC, esta opción no estará disponible. Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el número de puerto para diferenciarlos. Esto permite separar los datos utilizando un puerto distinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayan llegado. Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de un origen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principal u otro puerto. Los orígenes de datos cliente tienen las características siguientes: 78 • No disponen de derechos de VIPS, directiva ni agente. • No aparecen en la tabla Orígenes de datos. • Aparecen en el árbol de navegación del sistema. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • Comparten la misma directiva y los mismos derechos que el origen de datos principal. • Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal. Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria se determina en la consulta enviada al servidor WMI. Adición de un origen de datos cliente Puede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes de datos permitidos en el receptor. Antes de empezar Agregue el origen de datos al receptor (véase Adición de un origen de datos). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes. La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de datos seleccionado. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo, supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la dirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con 1.1.1.1, se dirige al primer cliente porque es más específico. Localización de un cliente La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de 65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de ser necesario. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos | Clientes. 2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar. Importación de una lista de orígenes de datos La opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardada en formato .csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de forma individual. Existen dos situaciones en las que se emplea esta opción: McAfee Enterprise Security Manager 9.5.0 Guía del producto 79 3 Configuración del ESM Configuración de dispositivos • Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretende hacer, véase Traslado de orígenes de datos a otro sistema. • Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos existentes. Si es lo que necesita hacer, siga este procedimiento. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b Haga clic en Exportar y, después, en Sí para confirmar la descarga. c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. Se guardará la lista de orígenes de datos existentes. d Acceda a este archivo y ábralo. Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos). 2 Agregue, edite o elimine orígenes de datos en esta lista. a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar, editar o quitar. b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja de cálculo. No es posible editar la directiva ni el nombre del origen de datos. c Guarde los cambios realizados en la hoja de cálculo. No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario. 3 Importe la lista al receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b Haga clic en Importar, seleccione el archivo y haga clic en Cargar. No es posible cambiar la directiva ni el nombre del origen de datos. Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo. c Para importar los cambios, haga clic en Aceptar. Los cambios con el formato correcto se agregarán. 80 d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes. e Haga clic en Descargar todo el archivo y, después, en Sí. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. g Abra el archivo descargado. 3 En él se indican los orígenes de datos con errores. h Corrija los errores y, después, guarde y cierre el archivo. i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en Importar y seleccione el archivo guardado. En Importar orígenes de datos se indican los orígenes de datos corregidos. j Haga clic en Aceptar. Campos de la hoja de cálculo para la importación de orígenes de datos La hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunas de las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos. Campos obligatorios para todos los orígenes de datos Columna Descripción Detalles op Introduzca una de estas funciones en la columna op: Operación que hay que realizar en el origen de datos • adición = Agregar un origen de datos. • editar = Modificar un origen de datos existente. • eliminación = Eliminar sin volver a asignar. Si esta columna se deja en blanco, no se realiza ninguna acción en el origen de datos. rec_id ID de receptor Este número de ID de dispositivo se puede consultar en la página Nombre y descripción del receptor. dsname Nombre del origen de datos Debe ser exclusivo en el receptor. McAfee Enterprise Security Manager 9.5.0 Guía del producto 81 3 Configuración del ESM Configuración de dispositivos Campos utilizados por todos los orígenes de datos Columna Descripción Detalles ip Dirección IP válida del origen de datos • Es obligatoria excepto si el protocolo es "corr". • Solo se lleva a cabo la validación para los orígenes de datos activados. Exclusiones: • Protocolos: cifs, nfs, ftp, scp y http • Recopilador: "curl" o "mount" • SNMPTrap: no válido si otros orígenes de datos usan capturas SNMP y el valor de IPAddress coincide • nfxsql: no válido si se encuentra la combinación de IPAddress, "dbname" y "port" • netflow u opsec: no válidos si se encuentra la combinación de IPAddress y "port" • mef es el recopilador (si el analizador es mef, el recopilador es mef de forma automática): no es válido si se encuentran mef y el protocolo model (modelo) La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). vendor (proveedor) La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). parent_id ID del origen de datos principal Necesario si se trata de un agente o un cliente. Si este ID es un nombre, se intenta encontrar el elemento principal del origen de datos con este nombre que sea un elemento secundario del receptor especificado. child_type Tipo de elemento secundario de origen de datos Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 = cliente match_type Coincidencia de cliente Obligatoria cuando se agregan o editan orígenes de datos: 1 = coincidencia por dirección IP, 2 = coincidencia por tipo de terceros. parsing Indicador de activación del origen de datos Indicador de activación (yes/no); el valor predeterminado es yes. Campos utilizados por orígenes de datos que no son clientes Columna Detalles snmp_trap_id ID de perfil de la captura SNMP El valor predeterminado es 0. elm_logging Registrar en ELM (yes/no) El valor predeterminado es no. pool Nombre del grupo de ELM El valor predeterminado es en blanco. meta-vendor El valor predeterminado es en blanco. meta-product El valor predeterminado es en blanco. meta_version El valor predeterminado es en blanco. url 82 Descripción URL de detalles de evento McAfee Enterprise Security Manager 9.5.0 El valor predeterminado es en blanco. Guía del producto 3 Configuración del ESM Configuración de dispositivos Columna Descripción Detalles parser Método de análisis del formato El valor predeterminado es Predeterminado. de datos collector Método de recuperación de datos El valor predeterminado es Predeterminado. Si parser es mef, collector se define como mef. Se pueden emplear scp, http, ftp, nfs y cifs si el formato de archivo plano es compatible con el protocolo. Campos obligatorios si el formato es CEF o MEF Columna Descripción encrypt Detalles Marca de cifrado del El valor predeterminado es F. También se usa si Format (Formato) es origen de datos Default (Predeterminado), Retrieval (Recuperación) es mef (mef) y Protocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismo para todos los MEF con la misma dirección IP. hostname Nombre o ID de host El valor predeterminado es en blanco. Es opcional si Protocolo es gsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas. aggregate Retransmisión de syslog Los valores válidos son en blanco y syslogng (syslogng). El valor predeterminado es en blanco. También se usa si Format (Formato) es Default (Predeterminado), Retrieval (Recuperación) es Default (Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog). tz_id El valor predeterminado es en blanco. También se emplea si el Formato es Predeterminado y se cumple alguna de estas condiciones: ID de zona horaria • El Protocolo es syslog y el Modelo no es Adiscon Windows Events. • El Protocolo es nfxsql. • El Protocolo es nfxhttp. • El Protocolo es correo electrónico. • El Protocolo es estream. También se usa para la compatibilidad con algunos formatos de archivo plano. Otros campos Columna Descripción Detalles profile_id Nombre o ID del perfil El valor predeterminado es en blanco. Si el nombre del perfil no puede encontrar el registro del perfil, se registra un error. exportMcAfeeFile Indicador de transporte del origen de datos El valor predeterminado es no. En caso de usar yes, el origen de datos se incluye en el transporte de origen de datos. exportProfileID Nombre de perfil del recurso compartido remoto El valor predeterminado es en blanco. mcafee_formated_file Indicador de análisis de datos sin procesar El valor predeterminado es no. Si se utiliza yes, el método de análisis emplea el archivo de datos sin procesar. mcafee_formated_file_xsum Usar el indicador de suma de comprobación El valor predeterminado es no. Si el valor es yes, use la suma de comprobación antes de analizar el archivo de datos sin procesar. mcafee_formated_file_ipsid Obligatoria si se emplea el archivo de datos sin procesar. McAfee Enterprise Security Manager 9.5.0 El ID original de Nitro IPS Guía del producto 83 3 Configuración del ESM Configuración de dispositivos Columna Descripción Detalles zoneID Nombre de la zona El valor predeterminado es en blanco. Policy_Name Nombre o ID de la directiva El valor predeterminado es en blanco. Solo se usa cuando se agregan orígenes de datos nuevos. Este valor no se actualiza en una operación de edición. Campos validados para protocolos específicos El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default (Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF (MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan según el protocolo especificado en caso de no indicarse el perfil. Tabla 3-2 Campos de Netflow — Inicio en columna AF Columna Descripción Detalles netflow_port El valor predeterminado es 9993. netflow_repeat_enabled Reenvío activado El valor predeterminado es F. netflow_repeat_ip Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valor predeterminado es en blanco. netflow_repeat_port Puerto de reenvío Tabla 3-3 El valor predeterminado es 9996. Campos de rdep — Inicio en columna AJ Columna Descripción Detalles rdep_sdee_username Obligatoria. rdep_sdee_password Obligatoria. rdep_sdee_interval El valor predeterminado es 60 segundos. Tabla 3-4 Campos de Opsec — Inicio en columna AM Columna Descripción opsec_parent Indicador de principal Obligatoria (T/F). T = el origen de datos es (tipo de dispositivo) principal. F = el origen de datos no es principal. opsec_authentication Indicador de uso de autenticación Se emplea si el principal es T; el valor predeterminado es F. opsec_appname Nombre de aplicación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_actkey Clave de activación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_parent_id Nombre del elemento El nombre del elemento principal es necesario si principal del origen de parent = F. Se registra un error si el nombre del datos elemento principal del origen de datos no puede encontrar el origen de datos principal. opsec_port opsec_encryption 84 Detalles Se emplea si el principal es T; el valor predeterminado es 18184. Indicador de uso de cifrado McAfee Enterprise Security Manager 9.5.0 Se emplea si el principal es T; el valor predeterminado es F. Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-4 Campos de Opsec — Inicio en columna AM (continuación) Columna Descripción Detalles opsec_comm_method Método de comunicación Se emplea si el principal T; el valor predeterminado es en blanco. Debe ser un valor válido: • '' (en blanco) • "sslca" • "asym_sslca" • "sslca_clear" • "asym_sslca_com p" • "sslca_comp" • "asym_sslca_rc4" • "sslca_rc4" • "asym_sslca_rc4_ comp" • "sslca_rc4_comp" • "ssl_clear" opsec_server_entity_dn Nombre distintivo de entidad de servidor El valor predeterminado es en blanco. Se emplea si el principal es T. Obligatoria si el tipo de dispositivo es servidor de registro/CLM o SMS/CMA secundario. opsec_collect_audit_events Tipo de recopilación de OPSEC "Eventos de auditoría" Se emplea si el principal es T; el valor predeterminado es "yes". opsec_collect_log_events Marca de tipo de recopilación de eventos de eventos de registro Se emplea si el principal es T; el valor predeterminado es "yes". opsec_type Tipo de dispositivo Obligatorio. Los valores válidos para este campo son: Valor Nombre en lista desplegable del cliente ligero 0 SMS/CMA 1 Dispositivo de seguridad 2 Servidor de registro/CLM 3 SMS/CMA secundario Tabla 3-5 Campos de WMI — Inicio en columna AY Columna Descripción Detalles wmi_use_rpc Marca de uso de RPC El valor predeterminado es no. wmi_logs Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY. wmi_nbname Nombre de NetBIOS Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_username Nombre de usuario Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_password Contraseña Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_interval El valor predeterminado es 600. wmi_version El valor predeterminado es 0. McAfee Enterprise Security Manager 9.5.0 Guía del producto 85 3 Configuración del ESM Configuración de dispositivos Tabla 3-6 Campos de gsyslog — Inicio en columna BF Columna Descripción Detalles gsyslog_autolearn Marca de compatibilidad con syslogs genéricos Los valores válidos son: T, F, RECUENTO. El valor predeterminado es F. gsyslog_type Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es 49190. Asignación de regla genérica gsyslog_mask Se usa si Recuperación = Predeterminado. El valor predeterminado es 0. Tabla 3-7 Campo de corr — Columna BI Columna Descripción Detalles corr_local Marca de uso de datos locales El valor predeterminado es F. Si el modelo de receptor es ERC-VM-25 o ERC-VM-500, el origen de datos no se agrega. De lo contrario, no puede haber otros orígenes de datos que empleen este protocolo. Tabla 3-8 Campos de sdee — Inicio en columna BJ Columna Descripción Detalles sdee_username Obligatoria. sdee_password Obligatoria. sdee_uri El valor predeterminado es cgi-bin/sdee-server. sdee_interval El valor predeterminado es 600 segundos. sdee_port El valor predeterminado es 443. sdee_proxy_port El valor predeterminado es 8080. sdee_use_ssl El valor predeterminado es T. sdee_proxy_ip Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_proxy_username Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_proxy_password Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_use_proxy El valor predeterminado es F. Tabla 3-9 Campos de mssql — Inicio en columna BU 86 Columna Descripción Detalles mssql_parent Tipo de dispositivo El valor predeterminado es T. Servidor = T. Dispositivo gestionado = F mssql_port Se emplea si el principal = T. El valor predeterminado es 1433. mssql_interval Se emplea si el principal = T. El valor predeterminado es 600 segundos. mssql_username Obligatoria si el principal = T. El valor predeterminado es en blanco. mssql_password Obligatoria si el principal = T. El valor predeterminado es en blanco. mssql_parent_id Nombre del elemento principal Se requiere si parent = F. Se registra un error si el nombre del principal no puede encontrar el origen de datos. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-10 Campos de syslog — Inicio en columna CA Columna Descripción Detalles syslog_untrust_iface Interfaz de menos confianza Obligatoria si el Proveedor es CyberGuard. syslog_burb Nombre de grupo de interfaces de Internet Obligatoria si el Proveedor es McAfee y el Modelo es McAfee Firewall Enterprise. syslog_sg_mc Marca de centro de administración Opcional si el Proveedor es Stonesoft Corporation; el valor predeterminado es no. syslog_nsm Marca de administrador de seguridad Opcional si el Proveedor es Juniper Networks y el modelo es Netscreen Firewall/Security Manager o Netscreen IDP; el valor predeterminado es no. syslog_wmi_syslog_format Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es 0. syslog_wmi_version Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es Windows 2000. syslog_aruba_version Opcional si el Proveedor es Aruba; el valor predeterminado es 332. syslog_rev_pix_dir Invertir valores de red Opcional si el Proveedor es Cisco y el modelo es PIX/ASA o Firewall Services Module; el valor predeterminado es no. syslog_aggregate Retransmisión de syslog Los valores válidos son en blanco y Proveedor. El valor predeterminado es en blanco. syslog_require_tls T/F Indica si se está usando TLS para este origen de datos. syslog_syslog_tls_port syslog_mask McAfee Enterprise Security Manager 9.5.0 El puerto que se debe usar para TLS si se utiliza con syslog. Máscara de dirección IP (Opcional) Permite aplicar una máscara a una dirección IP de forma que se acepte un intervalo de direcciones IP. Un cero (0) en el campo significa que no se usa ninguna máscara. El valor predeterminado es 0. Guía del producto 87 3 Configuración del ESM Configuración de dispositivos Tabla 3-11 Campos de nfxsql — Inicio en columna CM Columna Descripción nfxsql_port Detalles El valor predeterminado depende del proveedor y el modelo: Predeterminado Proveedor Modelo 9117 Enterasys Networks Dragon Sensor o Dragon Squire 1433 IBM ISS Real Secure Desktop Protector, ISS Real Secure Network o ISS Real Secure Server Sensor 1433 McAfee ePolicy Orchestrator, firewall de ePolicy Orchestrator o sistema de prevención de intrusiones en host de ePolicy Orchestrator 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 Otros nfxsql_userid Obligatoria. nfxsql_password Obligatoria. nfxsql_dbname Nombre de la base de datos (Opcional) El valor predeterminado es en blanco. nfxsql_splevel Nivel de Service Pack Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector), ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure Server Sensor (ISS Real Secure Server Sensor). El valor predeterminado es SP4 (SP4). nfxsql_version (Opcional) • El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es Oracle Audits. • El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es McAfee y Model (Modelo) es ePolicy Orchestrator, Firewall de ePolicy Orchestrator o Host IPS de ePolicy Orchestrator. 88 nfxsql_logtype Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA, GA o ambas). nfxsql_sid SID de base de Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor datos predeterminado es en blanco. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-12 Campos de nfxhttp — Inicio en columna CU Columna Descripción Detalles nfxhttp_port El valor predeterminado es 433. nfxhttp_userid Obligatoria. nfxhttp_password Obligatoria. nfxhttp_mode El valor predeterminado es secure. Tabla 3-13 Campos de email — Inicio en columna CY Columna Descripción Detalles email_port El valor predeterminado es 993. email_mailbox Protocolo de correo El valor predeterminado es imap pop3. email_connection Tipo de conexión El valor predeterminado es ssl clear. email_interval El valor predeterminado es 600 segundos. email_userid Obligatoria. email_password Obligatoria. Tabla 3-14 Campos de estream — Inicio en columna DE Columna Descripción Detalles Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación, de forma que actualmente se omiten. jestream_port El valor predeterminado es 993. jestream_password Obligatoria. jestream_estreamer_cert_file Obligatoria. jestream_collect_rna Tabla 3-15 Campos de origen de archivos — Inicio en columna DI Columna Descripción Detalles Se emplea para los protocolos cifs, ftp, http, nfs y scp. fs_record_lines Número de líneas por registro Se usa si existe compatibilidad con formato de archivo plano. El valor predeterminado es 1. fs_file_check Intervalo El valor predeterminado es 15 minutos. fs_file_completion El valor predeterminado es 60 segundos. fs_share_path El valor predeterminado es en blanco. fs_filename Expresión comodín Obligatoria. fs_share_name Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se usa). fs_username Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. fs_password Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. fs_encryption Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. McAfee Enterprise Security Manager 9.5.0 Guía del producto 89 3 Configuración del ESM Configuración de dispositivos Tabla 3-15 Campos de origen de archivos — Inicio en columna DI (continuación) Columna Descripción fs_port fs_verify_cert Detalles Se emplea si el Protocolo es ftp; el valor predeterminado es 990. Se emplea si el Protocolo es http; el valor predeterminado es 443. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. El valor predeterminado es 80. Verificar certificado SSL Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. fs_compression Se emplea si el Protocolo es scp o sftp. El valor predeterminado es no. fs_login_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_copy_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_wmi_version Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Microsoft y el Modelo es Adiscon Windows Events. El valor predeterminado es Windows 2000. fs_aruba_version Se emplea si hay compatibilidad con formato de archivo plano y el Proveedor es Aruba. El valor predeterminado es 332. fs_rev_pix_dir Invertir valores de red Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module. El valor predeterminado es no. fs_untrust_iface Interfaz de menos confianza Obligatoria si hay compatibilidad con formato de archivo plano y el Proveedor es CyberGuard. fs_burb Nombre de grupo de Obligatoria si hay compatibilidad con formato de archivo plano, el interfaces de Proveedor es McAfee y el Modelo es McAfee Firewall Internet Enterprise. fs_nsm Marca de administrador de seguridad Opcional si hay compatibilidad con formato de archivo plano, el Proveedor es Juniper Networks y el Modelo es Netscreen Firewall/ Security Manager o Netscreen IDP. El valor predeterminado es no. fs_autolearn Admitir syslogs genéricos Opcional si hay compatibilidad con formato de archivo plano y la Recuperación es gsyslog. Los valores válidos son: T, F y RECUENTO. El valor predeterminado es F. fs_type Asignación de regla genérica Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es 49190. fs_binary El valor predeterminado es no. fs_protocol El valor predeterminado es ''. Se emplea si el analizador es el predeterminado y el recopilador es un origen de archivos nfs. fs_delete_files Tabla 3-16 Campos de sql_ms — Inicio en columna EH Columna Detalles sql_ms_port El valor predeterminado es 1433. sql_ms_userid Obligatoria. sql_ms_password Obligatoria. sql_ms_dbname 90 Descripción Nombre de la base de datos McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-17 Campo de nas — Columna EL Columna Descripción Detalles nas_type El valor predeterminado es 49190 (Definido por el usuario 1). Este campo solo se utiliza para orígenes de datos de McAfee/PluginProtocol. Tabla 3-18 Campo de ipfix — Columna EM Columna Descripción Detalles ipfix_transport Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminado es TCP. Tabla 3-19 Campos de snmp — Inicio en columna EN Columna Descripción Detalles snmp_authpass Contraseña de autenticación Obligatoria si: • traptype = v3trap y secLevel = authPriv o authNoPriv. • traptype = v3inform y secLevel = authPriv o authNoPriv. snmp_authproto Protocolo de autenticación Los valores válidos son MD5 o SHA1. Obligatoria si: • traptype = v3trap y secLevel = authPriv o authNoPriv. • traptype = v3inform y secLevel = authPriv o authNoPriv con otros tipos de capturas. El valor predeterminado es MD5. snmp_community Nombre de comunidad Obligatoria si traptype = v1trap, v2trap, v2inform. snmp_engineid Obligatoria si traptype = v3trap. snmp_privpass Contraseña de privacidad Obligatoria si: • traptype = snmpv3trap y secLevel = authPriv. • traptype = snmpv3inform y secLevel = authPriv. snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si: • traptype = snmpv3trap y secLevel = authPriv. • traptype = snmpv3inform y secLevel = authPriv. Para otros tipos de traptype, el valor predeterminado es DES. snmp_seclevel Nivel de seguridad Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv. Obligatoria si traptype = v3trap o v3inform. Para otros tipos de traptype, el valor predeterminado es noAuthNoPriv. snmp_traptype Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform, v3trap y v3inform. snmp_username Obligatoria si traptype = snmpv3 o snmpv3inform. type Asignación de regla predeterminada snmp_version McAfee Enterprise Security Manager 9.5.0 Obligatoria. El valor predeterminado es 49190. Se rellena automáticamente. Guía del producto 91 3 Configuración del ESM Configuración de dispositivos Tabla 3-20 sql_ws — Inicio en columna EY Columna Descripción Detalles sql_ws_port (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es 1433. sql_ws_userid Obligatoria. sql_ws_password Obligatoria. sql_ws_dbname (Opcional) El valor predeterminado es en blanco. sql_ws_db_instance Nombre de instancia de la base Obligatoria. de datos Tabla 3-21 sql — Inicio en columna FD Columna Descripción sql_port Puerto utilizado para conectar con la base de datos sql_userid ID de usuario de la base de datos sql_password Contraseña de la base de datos sql_dbinstance Nombre de la instancia de la base de datos Detalles sql_config_logging Los valores válidos son 0 (para Base de datos de SQL Server Express) y 1 (para Base de datos SQL) sql_protocol Si el valor de sql_config_logging es 1, el de esta columna es gsql. sql_dbname Nombre de la base de datos Tabla 3-22 oracleidm — Inicio en columna FK Columna Descripción Detalles oracleidm_port Puerto usado para conectar con la base de datos de Oracle Identity Manager. oracleidm_userid ID de usuario de la base de datos de Oracle Identity Manager. oracleidm_password Contraseña de la base de datos de Oracle Identity Manager oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager oracleidm_dpsid Nombre TNS de la conexión utilizada Tabla 3-23 text — Inicio en columna FP Columna Descripción Detalles Estos campos se utilizan con el origen de datos ePolicy Orchestrator. text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos de ePolicy Orchestrator. 92 text_dbname Nombre de la base de datos de ePolicy Orchestrator text_password Contraseña de la base de datos de ePolicy Orchestrator text_port Puerto utilizado para conectar con la base de datos de ePolicy Orchestrator text_userid ID de usuario de la base de datos de ePolicy Orchestrator McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-24 gsql — Inicio en columna FU Columna Descripción Detalles gsql_port (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es 1433. gsql_userid Obligatoria. gsql_password Obligatoria. gsql_dbname (Opcional) El valor predeterminado es en blanco. gsql_db_instance Nombre de instancia de la base de datos Obligatoria. gsql_nsmversion Versión de NSM Obligatoria. Si se deja en blanco, el valor predeterminado es la versión 6.x. Migración de orígenes de datos a otro receptor Es posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema. Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar los orígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevo receptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos del receptor actual al nuevo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor y haga clic en Orígenes de datos. 2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar. 3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar. Traslado de orígenes de datos a otro sistema A fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesario seleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar en una ubicación remota y finalmente importarlos al otro receptor. Antes de empezar Para llevar a cabo esta función es necesario disponer de derechos de administración de dispositivos en ambos receptores. Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Existen limitaciones a la hora de exportar información de orígenes de datos: McAfee Enterprise Security Manager 9.5.0 Guía del producto 93 3 Configuración del ESM Configuración de dispositivos • No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow). • Los eventos de origen de los eventos correlacionados no se muestran. • Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde el archivo. Para... Haga esto... Seleccionar los orígenes de datos y la ubicación remota 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Origen de datos. 2 Seleccione el origen de datos y haga clic en Editar. 3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile. Los datos se exportarán a una ubicación remota y se configurarán mediante un perfil. 4 Haga clic en Aceptar. A partir de este momento, los datos sin procesar generados por este origen de datos se copiarán en la ubicación remota. Crear el archivo de datos sin procesar 1 Acceda a la ubicación remota donde están almacenados los datos sin procesar. Crear un archivo que describa los orígenes de datos 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Origen de datos | Importar. 2 Guarde los datos sin procesar generados en una ubicación que permita mover el archivo al segundo receptor (como una memoria extraíble que se pueda transportar a la ubicación no segura). 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil. 4 Haga clic en Aceptar. Los orígenes de datos se agregarán al segundo receptor y se accederá a los datos sin procesar a través del perfil de recurso compartido remoto. Importar archivos 1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo de datos sin receptor y haga clic en Importar. procesar y archivos de orígenes de 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página datos Importar orígenes de datos muestra los orígenes de datos que se importarán. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil (véase Configuración de perfiles). 4 Haga clic en Aceptar. Administración del aprendizaje automático de orígenes de datos Es posible configurar el ESM para el aprendizaje automático de direcciones IP. Antes de empezar Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase Configuración de interfaces). 94 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de orígenes de datos. Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras ella a fin de recopilar los resultados de nuevo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos | Aprendizaje automático. 2 Defina la configuración según proceda y haga clic en Cerrar. Visualización de los archivos generados por los orígenes de datos A fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Ver archivos. No es posible acceder a ellos mediante una vista de ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el origen de datos de McAfee. 2 En la barra de herramientas de acciones, haga clic en el icono Ver archivos 3 Siga uno de estos procedimientos: 4 . • Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivo concreto. • Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos generados durante ese intervalo. • Haga clic en Actualizar para actualizar la lista de archivos. • Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo. Haga clic en Cancelar para cerrar la página. Tipos de orígenes de datos definidos por el usuario En esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada, que se muestra en el editor de orígenes de datos. ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas 49190 User Defined 1 N/D syslog UserDefined1_ Generic 49191 User Defined 2 N/D syslog UserDefined2_ Generic 49192 User Defined 3 N/D syslog UserDefined3_ Generic 49193 User Defined 4 N/D syslog UserDefined4_ Generic 49194 User Defined 5 N/D syslog UserDefined5_ Generic 49195 User Defined 6 N/D syslog UserDefined6_ Generic 49196 User Defined 7 N/D syslog UserDefined7_ Generic 49197 User Defined 8 N/D syslog UserDefined8_ Generic McAfee Enterprise Security Manager 9.5.0 Guía del producto 95 3 Configuración del ESM Configuración de dispositivos ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas 49198 User Defined 9 N/D syslog UserDefined9_ Generic 49199 User Defined 10 N/D syslog UserDefined10_ Generic Orígenes de datos admitidos McAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptores pueden tener un máximo de 2000, 200 o 50 orígenes de datos. Para consultar la lista de orígenes de datos compatibles actualmente, véase https://kc.mcafee.com/ corporate/index?page=content&id=PD25060. Estos dispositivos pueden tener 2000 orígenes de datos asociados: • ERC-1225 • ENMELM-5600 • ERC-1250 • ENMELM-5750 • ERC-2230 • ENMELM-6000 • ERC-2250 • ELMERC-2230 • ERC-2600 • ELMERC-2250 • ERC-3450 • ELMERC-2600 • ERC-4245 • ELMERC-4245 • ERC-4600 • ELMERC-4600 • ENMELM-2250 • ESMREC-4245 • ENMELM-4245 • ESMREC-5205 • ENMELM-4600 • ESMREC-5510 • ENMELM-5205 El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200. Estas son las correspondencias de los intervalos de orígenes de datos: • Tipos de orígenes de datos: 1–48 999 • Tipos definidos por el usuario: 49 001–49 999 • Reservado para McAfee (por ejemplo, grupos de reglas): 50 001–65 534 Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de datos de McAfee. Configuración para orígenes de datos específicos Algunos orígenes de datos requieren más información y opciones de configuración especiales. Véanse las secciones siguientes en este apéndice para obtener detalles al respecto. 96 • Check Point • Big Fix • IBM Internet Security Systems SiteProtector • Formato de evento común • McAfee ePolicy Orchestrator • ArcSight McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos • ePolicy Orchestrator 4.0 • Security Device Event Exchange • NSM-SEIM • Analizador de syslog avanzado • Compatibilidad con la retransmisión de syslog • Registro de eventos de WMI • Adiscon 3 WMI Event Log WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según la definición de Distributed Management Task Force (DMTF). Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite el uso compartido de la información de administración por parte de las aplicaciones de administración. La capacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMI resulte útil. WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos. El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows. De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la tabla de eventos. Se necesitan privilegios de administrador u operador de copia de seguridad para los registros de eventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos como el usuario están correctamente configurados (véase Configuración para la extracción de registros de seguridad de Windows). Se admiten estos dispositivos adicionales del origen de datos de WMI: • McAfee Antivirus • Microsoft SQL Server • Windows • RSA Authentication Manager • Microsoft ISA Server • Symantec Antivirus • Microsoft Active Directory • Microsoft Exchange Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte Configuración de Adiscon. Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log. Configuración para la extracción de registros de seguridad de Windows Cuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración pueden extraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y el usuario estén bien configurados. McAfee Enterprise Security Manager 9.5.0 Guía del producto 97 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de eventos. 2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows. 3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos). 4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar. Origen de datos de correlación Un origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patrones sospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones e inserta estas alertas en la base de datos de alertas del receptor. Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva de correlación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes y distintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican su comportamiento. Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a la configuración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación de un receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de base de la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizados para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas y establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre la directiva de correlación, consulte Reglas de correlación. Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es Correlation Engine. Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del receptor. 98 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Asociación de gravedades y acciones Los parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos es asociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema. • severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor gravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, el dispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno y diez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar como gravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedente de McAfee IntruShield que muestra la gravedad en forma de texto. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la asociación de gravedad está en negrita solo para resaltarla): alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder"; severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+ ([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un formato que se puede utilizar. setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la gravedad. Todos los modificadores de setparm funcionan de esta forma. • action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port 49547 ssh2 alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd"; action_map:Failed=9,Accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid| illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones que se pueden utilizar. • 0 = nulo • 20 = detención • 1 = paso • 21 = Detección • 2 = rechazo • 22 = De confianza • 3 = supresión • 23 = No fiable • 4 = sdrop • 24 = Falso positivo • 5 = alerta • 25 = alerta-rechazo • 6 = predeterminado • 26 = alerta-supresión • 7 = fallo • 27 = alerta-sdrop McAfee Enterprise Security Manager 9.5.0 Guía del producto 99 3 Configuración del ESM Configuración de dispositivos • 8 = correcto • 28 = reinicio • 9 = error • 29 = bloqueo • 10 = emergencia • 30 = limpieza • 11 = crítico • 31 = limpieza-error • 12 = advertencia • 32 = continuación • 13 = informativo • 33 = infectado • 14 = depuración • 34 = movimiento • 15 = estado • 35 = movimiento-error • 16 = adición • 36 = cuarentena • 17 = modificación • 37 = cuarentena-error • 18 = eliminación • 38 = eliminación-error • 19 = inicio • 39 = denegado En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema interpreta como Error. A continuación se ofrece un desglose de la estructura de una regla. Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or severity_map (if you need it); pcre:”your regular expression goes here”; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Analizador de syslog avanzado El analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidos en mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP cómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones. El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la página Agregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente los mensajes o interprete completamente puntos de datos relacionados con los eventos recibidos. También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX. Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas para su entorno Linux o UNIX. Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la dirección IP del receptor. Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar datos de eventos de forma genérica. Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor. La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea un formato muy similar al de Snort. 100 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las referencias a subcapturas de PCRE sin entrecomillar. Las reglas se definen como sigue. Sección Campo Encabezado de regla Descripción El encabezado de la regla contiene la acción Alert y el formato any any any. La regla es: ALERT any any any -> any any Acción Qué hacer con el evento cuando se produzca una coincidencia. Las opciones son: • ALERT: registrar el evento • DROP: registrar el evento pero no reenviarlo • SDROP: no registrar el evento ni reenviarlo • PASS: reenviarlo si se ha definido, pero no registrarlo Protocol Si el evento define un protocolo, se filtra la coincidencia efectiva en función del protocolo. Src/Dst IP Si el evento define una dirección IP de origen o destino, se filtra la coincidencia efectiva en función de la dirección. Src/Dst Port Si el evento define un puerto de origen o destino, se filtra la coincidencia efectiva en función del puerto. Cuerpo de la regla El cuerpo de la regla contiene la mayoría de los criterios de coincidencia y define cómo se deben analizar y registrar los datos en la base de datos de ESM. Los elementos del cuerpo de la regla se definen mediante pares de palabra clave-opción. Algunas palabras clave no tienen opción. msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadena mostrada en el cliente ligero de ESM con fines de generación de informes a menos que se omita mediante un mensaje pcre/setparm detectado (véase más adelante). La primera tarea de msg es el nombre de la categoría seguido por el mensaje en sí (msg: "mensaje de regla de categoría"). content (Opcional, una o varias instancias) La palabra clave content es un calificador de texto sin caracteres comodín para el filtrado previo de eventos a medida que pasan por el grupo de reglas y que puede contener espacios (por ejemplo, content: "búsqueda 1"; content "algo más"). procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID) forma parte de un encabezado de mensaje syslog estandarizado. La palabra clave procname se puede utilizar a fin de filtrar las coincidencias de eventos para la regla. Se emplea para excluir o filtrar coincidencias de eventos en las que dos procesos de un servidor Linux o UNIX pueden tener un texto de mensaje idéntico o similar. adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación de regla predeterminada del editor de orígenes de datos. sid ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente ligero de ESM a menos que se omita mediante un sid pcre/setparm detectado. McAfee Enterprise Security Manager 9.5.0 Guía del producto 101 3 Configuración del ESM Configuración de dispositivos Sección Campo Descripción rev Revisión de la regla. Se emplea para rastrear los cambios. severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se asigna a los eventos que coinciden con la regla. pcre La palabra clave PCRE es una expresión regular compatible con Perl que se compara con los eventos entrantes. La palabra clave PCRE se delimita mediante comillas, y todas las apariciones de "/" se consideran caracteres normales. El contenido entre paréntesis se reserva para el uso de la palabra clave setparm. La palabra clave PCRE puede modificarse mediante las palabras clave nocase, nomatch, raw y setparm. nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso de mayúsculas y minúsculas no sea igual. nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl). raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos del encabezado (función, daemon, fecha, host/IP, nombre de proceso e ID de proceso). Normalmente, el encabezado no se utiliza en la coincidencia de PCRE. setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de la PCRE se le asigna un número por orden de aparición. Esos números se pueden asignar a etiquetas de datos (por ejemplo: setparm:username=1). Se toma el texto capturado en el primer conjunto de paréntesis y se asigna a la etiqueta de datos de nombre de usuario. Las etiquetas reconocidas se enumeran en la tabla siguiente. Etiqueta Descripción * sid Este parámetro capturado omite el sid de la regla coincidente. * msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente. * action Este parámetro capturado indica qué acción realizó el dispositivo de terceros. * protocol * src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada para un evento. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid Se emplea para modificar el sid almacenado en la base de datos, que se usa para las coincidencias de snort ajenas a McAfee en los preprocesadores snort. * url Reservada y sin uso por ahora. * src_username Primer nombre de usuario/nombre de usuario de origen. * username Nombre alternativo para src_username. * dst_username Segundo nombre de usuario/nombre de usuario de destino. * domain * hostname * application 102 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Etiqueta Descripción * severity Debe ser un número entero. * action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s +password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones para obtener detalles. * severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee. Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for "; severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+ (\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?: \x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones para obtener detalles. * var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que capture solo una pequeña porción de la cadena en lugar de una PCRE larga con varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de usuario y un dominio, además de crear una dirección de correo electrónico a fin de almacenarla en el campo objectname. • Sintaxis = var:field=${PCRE:Capture} • PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos PCRE, sería la PCRE 1 o 2. • Captura = no la captura real, sino su número (primera, segunda o tercera captura [1,2,3]). • Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee. • PCRE: (Jim).*?(McAfee) • Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim"; pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev: 25; sid:610061000; rev:1; normID:1209008128; gensys:T;) • Usuario de origen asignado: Jim • Dominio asignado: McAfee • objectname asignado: [email protected] * sessionid Se trata de un entero. * commandname Se trata de un valor de cadena. * objectname Se trata de un valor de cadena. * event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puede usar event_action y action_map en la misma regla. Por ejemplo, si obtiene un evento a partir de un inicio de sesión correcto, podría utilizar la etiqueta event_action y hacer que la acción de inicio de sesión correcto sea la predeterminada (por ejemplo, event_action:8;). McAfee Enterprise Security Manager 9.5.0 Guía del producto 103 3 Configuración del ESM Configuración de dispositivos Etiqueta Descripción * firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos. * lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos. Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o setparm:lasttime="1"). Por ejemplo: alert any any any -> any any (msg:"SSH Login Attempt"; content:"content"; firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H: %M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) Para conocer los formatos admitidos actualmente, véase http:// pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin de obtener más detalles. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y es el año con cuatro dígitos %m es el número correspondiente al mes (1-12) %d es la fecha (1-31) %H corresponde a la hora (1-24) %M son los minutos (0-60) %S son los segundos (0-60) %b es la abreviatura del mes (feb, may) A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario: alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s +port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html. Adición de un origen de datos ASP con codificación diferente ESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP que genere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos. 104 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen de datos . 2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog avanzado en el campo Modelo de origen de datos. 3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación. Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los reciba. Security Device Event Exchange (SDEE) El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos de dispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportan mediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionar información sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores de las solicitudes HTTP se denominan clientes SDEE. Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor puede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de intrusiones de Cisco. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un origen de datos). El receptor es capaz de extraer esta información de un evento SDEE/CIDEE: • Direcciones IP de origen y destino • Puertos de origen y destino • Protocolo • Hora del evento • Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor respeta) • ID de firma e ID secundario • El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE mediante la siguiente fórmula: ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de evento de ESMI sería 2000123. • VLAN McAfee Enterprise Security Manager 9.5.0 Guía del producto 105 3 Configuración del ESM Configuración de dispositivos • Gravedad • Descripción del evento • Contenido del paquete (si está disponible) Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los eventos desde la última extracción correcta. Configuración de ePolicy Orchestrator 4.0 El origen de datos McAfee Event Receiver para ePolicy Orchestrator admite ahora ePolicy Orchestrator 4.0. ePolicy Orchestrator 4.0 almacena eventos en la base de datos de SQL Server. El origen de datos ePolicy Orchestrator conecta con esta base de datos de SQL Server a través de JDBC a fin de extraer información sobre eventos. Es necesario crear un nombre de usuario (ID) y una contraseña nuevos en la base de datos de ePolicy Orchestrator para su uso junto con el origen de datos para ePolicy Orchestrator. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Inicie una sesión en el servidor de base de datos de ePolicy Orchestrator. 2 Ejecute el Administrador corporativo de SQL Server mediante la selección de Inicio | Todos los programas | Microsoft SQL Server | Administrador corporativo. 3 Amplíe el nodo raíz de la consola varias veces para ver los elementos situados bajo la carpeta Seguridad. 4 Haga clic con el botón derecho en el icono Inicios de sesión y seleccione Nuevo inicio de sesión en el menú. 5 En la página Nuevo inicio de sesión de las propiedades de inicio de sesión de SQL Server, indique lo siguiente en la ficha General: a En el campo Nombre, escriba el nombre de usuario que desee usar para que el origen de datos de ePolicy Orchestrator conecte con la base de datos de ePolicy Orchestrator (por ejemplo, nfepo). b En Autenticación, seleccione Contraseña de autenticación de SQL Server y escriba la contraseña. c En Valores predeterminados, seleccione la base de datos de ePolicy Orchestrator (ePO4_<nombre_host>) en la lista desplegable Base de datos. Si se deja la Base de datos predeterminada como principal, el origen de datos para ePolicy Orchestrator no puede extraer los eventos. 6 En la ficha Acceso a base de datos, seleccione la opción Permitir correspondiente a la base de datos de ePolicy Orchestrator. 7 En Permitir en la función de base de datos, seleccione db_datareader y haga clic en Aceptar. 8 Confirme la nueva contraseña y haga clic en Aceptar. Adición de un origen de datos de ArcSight Es posible agregar orígenes de datos para un dispositivo ArcSight. 106 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el árbol de navegación del sistema, seleccione el nodo del receptor. Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones. 3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común en el campo Modelo de origen de datos. 4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight. 5 Rellene el resto de campos (véase Adición de un origen de datos). 6 Haga clic en Aceptar. 7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight. Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM. Formato de evento común (CEF) ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común (CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que generan registros o eventos. Contiene la información más relevante sobre el dispositivo, además de facilitar el análisis y la utilización de los eventos. No es necesario que el causante del evento genere de forma explícita el mensaje de evento. El formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por barras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la extensión se especifican campos adicionales. El formato es: CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo| IDClaseEventoDispositivo|Nombre|Gravedad|Extensión La parte del mensaje correspondiente a la extensión es un marcador de posición para campos adicionales. A continuación se ofrecen las definiciones de los campos de prefijo: • Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos utilizan esta información para determinar lo que representan los campos. Actualmente, solo está establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La adición de formatos nuevos se gestiona a través del organismo de estandarización. • Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos. • IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de dispositivos, y ayuda a los motores de correlación a manipular los eventos. • Nombre es una cadena que representa una descripción legible y comprensible para los usuarios sobre el evento. El nombre del evento no debe contener información específicamente mencionada en otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no es un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es redundante y se puede obtener en los otros campos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 107 3 Configuración del ESM Configuración de dispositivos • Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del 0 al 10, donde el 10 indica el evento de mayor importancia. • Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo: fileName=c:\Archivos de programa\ArcSight es un token válido. Este es un mensaje de muestra para ilustrar el aspecto final: Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped| 10|src=10.0.0.1 dst=2.1.2.2 spt=1232 Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor. De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto: CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid} proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/ Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt". Configuración de Adiscon Se admite el uso de WMI y syslog a través de Adiscon. Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos de eventos de Windows de Adiscon para Microsoft funcione correctamente: %sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%; %Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%; %Param11%;%Param12%;%Param13%;%Param14%;%Param15% Compatibilidad con la retransmisión de syslog El reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al receptor requiere algunas tareas adicionales. Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de datos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los orígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta situación: 108 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog 2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA 3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort 4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint 3 Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog, habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de retransmisión de syslog. La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog. El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo: 1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123] Donde: 1= Versión de syslog (opcional) 345 = Longitud de syslog (opcional) <123> = Función (opcional) Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio) mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio) httpd = Nombre de aplicación (opcional) [123] PID de aplicación (opcional) := Dos puntos (opcional) El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se puede delimitar entre corchetes [ ]. Ejecución de la herramienta de configuración de NSM-SIEM Antes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuración de NSM-SIEM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Descargue la herramienta de configuración. a Acceda al sitio web de descarga de productos de McAfee. b Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro de búsqueda Descargar mis productos. c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de descarga de MFE <nombre_producto> <versión>. d Lea el EULA de McAfee y haga clic en Acepto. e Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 109 3 Configuración del ESM Configuración de dispositivos 2 Ejecute la herramienta de configuración en el servidor de NSM. La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso contrario, acceda a ella. 3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSM introducidos durante la instalación de NSM. 4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del receptor al que se agregará el origen de datos. Estos datos se introducen en la pantalla del origen de datos. Configuración de ePolicy Orchestrator Es posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una misma dirección IP con nombres distintos en el campo de nombre de la base de datos. Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todos apunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseña con la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campo Versión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433. El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión, deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]). La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crear orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar orígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator y cualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente. Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator: • ANTISPYWARE • MNAC • DLP • POLICYAUDITOR • EPOAGENT • SITEADVISOR • GSD • VIRUSCAN • GSE • SOLIDCORE • HOSTIPS Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes de datos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de 256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos con clientes. La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicy Orchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consulta de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. 110 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de correlación de riesgos (véase Adición de un administrador de correlación de riesgos). SiteProtector de IBM Internet Security Systems El receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet Security Systems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Server utilizada por SiteProtector para almacenar sus eventos. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, la recuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base de datos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez que se recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para recopilar eventos de un servidor de SiteProtector. Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado seleccionado. La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento común (CEF). Esta configuración es opcional. Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar conexiones del protocolo TCP/IP. Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433). Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos que se han producido tras el último evento recuperado correctamente. El receptor extrae esta información de un evento de SiteProtector: • Direcciones IP de origen y destino (IPv4) • Recuento de eventos • Puertos de origen y destino • VLAN • Protocolo • Gravedad • Hora del evento • Descripción del evento McAfee Enterprise Security Manager 9.5.0 Guía del producto 111 3 Configuración del ESM Configuración de dispositivos Configuración de Check Point Es posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor parte de entornos Check Point estándar. El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen de datos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datos principal no actúa como servidor de registro y se dispone de un servidor de registro dedicado. Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentra en un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cada SMS/CMA secundario. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal. OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función (véase el Apéndice A). 112 2 Haga clic en Opciones. 3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivo de entidad de servidor de este origen de datos. 4 Haga clic dos veces en Aceptar. 5 Haga lo siguiente, si procede: McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Si recibe este error... Haga lo siguiente... SIC Error for lea: Client could not choose an authentication method for service lea (Error SIC para lea: el cliente no pudo elegir un método de autenticación para lea) 1 Compruebe que seleccionó la configuración correcta para Usar autenticación y Usar cifrado al agregar el origen de datos de Check Point. Si seleccionó solamente Usar autenticación, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca_clear". Si seleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca". Si no seleccionó ninguna de estas opciones, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "none". 2 Compruebe que la aplicación OPSEC que está utilizando para comunicarse con el servidor de registro de Check Point tenga LEA seleccionado en la sección Client Entities (Entidades cliente). 3 Si verifica que ambos pasos son correctos, localice el archivo sic_policy.conf en la instalación del servidor de registro de Check Point. Por ejemplo, en un sistema R65 basado en Linux, este archivo se encuentra en /var/opt/CPshrd-R65/conf. 4 Cuando determine qué método de comunicación (método de autenticación del archivo) permite el método de comunicación de LEA con el servidor de registro, seleccione dicho método en la página Configuración avanzada como Método de comunicación. SIC Error for lea: Peer sent wrong DN: <expected dn> (Error SIC para lea: el componente envió un nombre distintivo incorrecto: <nombre distintivo esperado>) • Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de servidor mediante la introducción de la cadena que representa "<DN esperado>" en el mensaje de error. Una alternativa es localizar el nombre distintivo del servidor de registro de Check Point consultando el objeto network del servidor de registro de Check Point en la interfaz de usuario de SmartDashboard. El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC, basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo, supongamos que el nombre distintivo de la aplicación OPSEC es CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3. 6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA secundario administrado por el origen de datos principal configurado (véase Adición de un origen de datos secundario). El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola de informes principal es, de forma predeterminada, el origen de datos principal. Grupos de reglas de McAfee Esta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo. ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas 50201 Firewall 0 2 000 000–2 099 999 50202 Firewall personalizado 0 2 200 000–2 299 999 50203 Firmas personalizadas 0 5 000 000–5 999 999 50204 Interno 0 3 000 000–3 999 999 50205 Vulnerabilidad y exploit 2 N/D McAfee Enterprise Security Manager 9.5.0 Guía del producto 113 3 Configuración del ESM Configuración de dispositivos ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas 50206 Contenidos para adultos 5 N/D 50207 Chat 8 N/D 50208 Directiva 11 N/D 50209 Peer to Peer 14 N/D 50210 Multimedia 17 N/D 50211 Alfa 25 N/D 50212 Virus 28 N/D 50213 Aplicación de perímetro seguro 31 N/D 50214 Gateway 33 N/D 50215 Malware 35 N/D 50216 SCADA 40 N/D 50217 MCAFEESYSLOG 41 N/D Orígenes de activos de receptor Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. También permite manipular los activos de aprendizaje automático de un proveedor de evaluación de vulnerabilidades. La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si está disponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante la selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario de origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad para satisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptores pueden tener varios orígenes de activos. Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades y Descubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridad agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad, el que descubra el activo en último lugar tiene prioridad sobre el primero. Adición de un origen de activos A fin de recuperar datos de Active Directory, es necesario configurar un receptor. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 114 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de activos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de Enterprise Log Manager (ELM) El ELM admite el almacenamiento y la administración de los datos de registro, así como el acceso a ellos y la generación de informes al respecto. Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto de varios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de almacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativas gubernamentales, del sector y de las empresas requieren que los registros se almacenen durante periodos de tiempo diferentes. El ELM permite configurar trabajos de comprobación de integridad y de búsqueda. Cada uno de estos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el trabajo. Posteriormente, es posible ver los resultados y exportar la información, si procede. La información proporcionada se aplica a todos estos modelos de dispositivos ELM: • ENMELM-5205 (combinación de ESM/Log Manager) • ENMELM-5510 (combinación de ESM/Log Manager) • ENMELM-4245 (combinación de ESM/Log Manager) • ELM-5205 • ELM-5510 • ELM-5750 • ELMERC-4245 (combinación de Event Receiver/Log Manager) • ELMERC-2250 (combinación de Event Receiver/Log Manager) • LMERC 2230 (combinación de Event Receiver/Log Manager) Para configurar un ELM, debe conocer lo siguiente: • Los orígenes que almacenan registros en el ELM • Los grupos de almacenamiento necesarios y sus tiempos de retención de datos • Los dispositivos de almacenamiento necesarios para almacenar los datos Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de almacenamiento necesarios. No obstante, no se conocen los dispositivos de almacenamiento necesarios que almacenan los datos. El mejor enfoque para hacer frente a esta incertidumbre es: 1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento. A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el espacio necesario. 2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados. 3 Adquiera los registros en el ELM durante un periodo corto de tiempo. 4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de almacenamiento de datos reales. McAfee Enterprise Security Manager 9.5.0 Guía del producto 115 3 Configuración del ESM Configuración de dispositivos Preparativos para almacenar datos en el ELM Existen varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacene datos. Paso Acción Descripción 1 Según los requisitos de instalación de ELM, defina el número de tiempos de retención distintos necesarios. Los tiempos habituales de retención de datos son: Definir los tiempos de retención de datos • SOX – 7 años • PCI – 1 año • GLBA – 6 años • Directiva de conservación de datos de la UE – 2 años • Basilea II – 7 años • HIPAA – 6 o 7 años • NERC – 3 años • FISMA – 3 años 116 2 Definir los orígenes El objetivo aquí es definir todos los orígenes de los registros almacenados de datos de en el ELM y calcular el promedio de tamaño en bytes de los registros y el registro promedio de registros generados por día en cada caso. Basta con que se trate de un cálculo estimativo. Puede que resulte más fácil estimar el promedio de tamaño en bytes de los registros y el promedio de registros generados al día por cada tipo de origen (como por ejemplo firewall, enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de orígenes de cada tipo. El siguiente paso requiere la asociación de cada origen con un tiempo de retención definido en el Paso 1, así que asegúrese de tener esto en cuenta a la hora de calcular los tipos de orígenes (por ejemplo, firewall SOX o DEM PCI). 3 Definir los grupos En función de los requisitos de instalación de ELM, asocie cada origen u de almacenamiento origen de registros con un tiempo de retención de datos y defina el conjunto de grupos de almacenamiento necesarios para la instalación de ELM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Paso Acción Descripción 4 Por cada grupo de almacenamiento, calcule los requisitos de almacenamiento mediante una de las ecuaciones siguientes. Estimar los requisitos de tamaño de los grupos de almacenamiento • Con orígenes individuales: ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días SUM() = La suma de todos los orígenes de datos PBOD = Promedio de bytes de origen de datos por registro PRODD = Promedio de registros de origen de datos por día • Con tipos de orígenes: ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días NOD = Número de orígenes de datos de un tipo SUM() = La suma de todos los tipos de orígenes de datos PBTOD = Promedio de bytes de tipo de origen de datos por registro PRTODD = Promedio de registros de tipo de origen de datos por día 5 Crear dispositivos Cree uno o varios dispositivos de almacenamiento ELM de forma que de almacenamiento sean suficientemente grandes como para almacenar los datos de cada inicial ARIGB (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). 6 Cree grupos de almacenamiento Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo de almacenamiento de ELM con el tiempo retención asociado del Paso 1, los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento asociados del Paso 5 (véase Adición de un grupo de almacenamiento). 7 Iniciar el registro de datos Configure los orígenes para que envíen sus registros al ELM, y deje que lo hagan durante uno o dos días. 8 Ajustar las estimaciones sobre requisitos de tamaño de los grupos de almacenamiento Por cada grupo de almacenamiento creado en el Paso 6, ajuste la estimación sobre los requisitos de almacenamiento mediante la ecuación siguiente: ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024) Donde: ARGB = Almacenamiento requerido en gigabytes TRDD = Tiempo de retención de datos en días PTBGAD = Valor de promedio de tasa de bytes del grupo de almacenamiento diario del informe estadístico correspondiente 9 Modificar o crear dispositivos de almacenamiento Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de almacenamiento ELM para que tengan capacidad de almacenar los datos de ARGB. 10 Modificar los grupos de almacenamiento Si fuera necesario, modifique cada uno de los grupos de almacenamiento creados en el Paso 6 mediante la adición de los dispositivos de almacenamiento creados en el Paso 9, o bien aumente la asignación de los dispositivos de almacenamiento existentes. McAfee Enterprise Security Manager 9.5.0 Guía del producto 117 3 Configuración del ESM Configuración de dispositivos Configuración del almacenamiento de ELM A fin de almacenar registros, el ELM debe tener acceso a uno o varios dispositivos de almacenamiento. El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de datos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisito de almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vida de una instalación de ELM. Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema, véase Configuración de ELM. Terminología de almacenamiento de ELM Repase estos términos para trabajar con el almacenamiento de ELM: • Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede acceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado, otros cuentan con capacidad de conexión SAN, y otros tienen ambas opciones. Todos los modelos de ELM ofrecen capacidad de conexión NAS. • Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un dispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento NAS). • Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro. • Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican una cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el número máximo de días que se almacena un registro. • Origen de registro: cualquier origen de registros almacenados por ELM. Tipos de dispositivos de almacenamiento de ELM Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de dispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo. Tipo de dispositivo Detalles NFS Si necesita editar el punto de montaje remoto del dispositivo de almacenamiento que contiene la base de datos de administración de ELM, use la opción Migrar base de datos para mover la base de datos a un dispositivo de almacenamiento distinto (véase Migración de la base de datos de ELM). Entonces, es posible cambiar de forma segura el campo de punto de montaje remoto y mover la base de datos de vuelta al dispositivo de almacenamiento actualizado. CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba posteriores a la 3.2 puede provocar la fuga de datos. • Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña. • Si emplea un equipo Windows 7 como recurso compartido CIFS, véase Desactivación del uso compartido de archivos en el Grupo Hogar. iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña. • El intento de conectar varios dispositivos a un IQN puede provocar la fuga de datos y otros problemas de configuración. SAN 118 La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y hay volúmenes SAN disponibles. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Desactivación del uso compartido de archivos en el Grupo Hogar Windows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona con otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7 como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos. 2 Haga clic en Cambiar configuración de uso compartido avanzado. 3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual. 4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública. 5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y haga clic con el botón derecho en ella. 6 Seleccione Propiedades y haga clic en la ficha Compartir. 7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta. 8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos. Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = se puede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá que modificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en el permiso. Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, es necesario definir sus parámetros. Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo. Un dispositivo no se puede eliminar si está almacenando datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla superior. 3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada. 4 Haga clic en Aceptar para guardar la configuración. El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles. Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos de almacenamiento. Adición o edición de un grupo de almacenamiento Un grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo de retención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros de ELM y cuánto tiempo deben conservarse. McAfee Enterprise Security Manager 9.5.0 Guía del producto 119 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información solicitada. 3 Haga clic en Aceptar. Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre que este y los dispositivos que tiene asignados no estén almacenando datos. Traslado de un grupo de almacenamiento Cabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro. Antes de empezar Configure el dispositivo de almacenamiento al que desee mover el grupo de almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo (véase Adición de almacenamiento de datos de ELM duplicado). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de almacenamiento y haga clic en el icono Propiedades . 2 Haga clic en Grupos de almacenamiento. 3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el grupo que se va a mover. 4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el dispositivo que duplique el grupo de almacenamiento que desea mover. Se convertirá entonces en el dispositivo de almacenamiento de datos principal. 5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la lista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar. Reducción del tamaño de asignación de almacenamiento Si un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos de almacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación. Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos de almacenamiento o para el indizador de texto completo. Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos. 120 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño. 3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar. Duplicación del almacenamiento de datos de ELM Es posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datos recopilados en el dispositivo principal. Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridad sigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar, se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datos según van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posible reasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y, después, designar un dispositivo distinto para la duplicación. Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado dispositivo ELM en el árbol de navegación del sistema. junto al Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de almacenamiento. La pérdida de conexión puede deberse a lo siguiente: • El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado. • El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento. • Se ha eliminado accidentalmente un archivo de asignación. Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento muestran un icono de advertencia la función Reconstruir para repararlo. en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizar Adición de almacenamiento de datos de ELM duplicado Cualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con el espacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo de almacenamiento ELM. Antes de empezar Agregue los dos dispositivos que desee usar para duplicar los datos al ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla inferior. McAfee Enterprise Security Manager 9.5.0 Guía del producto 121 3 Configuración del ESM Configuración de dispositivos 3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación. Un dispositivo se puede asignar a más de un grupo de forma simultánea. 4 Haga clic dos veces en Aceptar. Reconstrucción de un grupo de almacenamiento duplicado Si un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento, puede emplear la función Reconstruir para repararlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia. Un cuadro de información sobre herramientas le indicará que la asignación de ELM se está reconstruyendo o que el dispositivo duplicado se debe reconstruir. 3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir. Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta. Desactivación de un dispositivo de duplicación Si desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegir otro dispositivo para sustituirlo o seleccionar Ninguno. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de almacenamiento y haga clic en el icono Propiedades . 2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de almacenamiento y haga clic en Editar. 3 Siga uno de estos procedimientos: 4 • Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno. • Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para que actúe como dispositivo de almacenamiento de datos. Haga clic en Aceptar para guardar los cambios. Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo de almacenamiento. Configuración del almacenamiento de datos externo Existen tres tipos de almacenamiento externo que se pueden configurar para almacenar datos de ELM: iSCSI, SAN y DAS. Una vez conectados estos tipos de almacenamiento externo al ELM, es posible configurarlos para almacenar los datos del ELM. 122 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 Haga clic en la ficha iSCSI, SAN o DAS y realice los pasos necesarios. 3 Haga clic en Aplicar o en Aceptar. Adición de un dispositivo iSCSI Si desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar las conexiones con el dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 En la ficha iSCSI, haga clic en Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI como a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar. Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para el almacenamiento de ELM. 4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en Formato. 5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado. 6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en Descubrir. Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos. Aplicación de formato a un dispositivo de almacenamiento para datos de ELM Si tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM. Antes de empezar Instale una tarjeta SAN en el sistema (véase Instalación del adaptador SAN qLogic 2460 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el Soporte de McAfee). McAfee Enterprise Security Manager 9.5.0 Guía del producto 123 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados. 3 • Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles en la página Agregar dispositivo de almacenamiento. • Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista de volúmenes disponibles. • Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes se pueden usar para almacenar datos de ELM. Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y, después, en Formato. Al formatear un volumen, se eliminan todos los datos almacenados. 4 Para comprobar si el formato está completo, haga clic en Actualizar. Si ha finalizado la aplicación de formato, el estado cambia a Preparado. 5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen. Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM. Asignación de un dispositivo DAS para almacenar datos Es posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM. Antes de empezar Configure dispositivos DAS. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga clic en el icono Propiedades . En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic en el icono Propiedades. 2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS. La tabla DAS incluye los dispositivos disponibles para el almacenamiento. 3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de ELM o ESM. 4 Haga clic en Asignar y, después, en Sí en la página de advertencia. Una vez asignado un dispositivo, no se puede cambiar. El ELM se reiniciará. 124 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Redundancia de ELM Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo principal de su sistema. Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM (véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de almacenamiento con una cantidad de espacio combinado que coincida con el espacio de almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la página Propiedades de ELM | Redundancia de ELM. Cambio Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las acciones de configuración se bloquean durante el proceso de cambio. Nueva puesta en servicio Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione de nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el proceso de redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero se devuelve un estado de error que indica que uno o varios grupos no están configurados. Deberá corregir esos grupos manualmente. Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a aplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELM en espera y la redundancia continúa como hasta el momento. Suspensión Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el proceso para volver a ponerlo en servicio. Desactivación de la redundancia en el ELM Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia de los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al activar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuración guardados. Visualización del estado Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo; para ello, seleccione la opción Estado. McAfee Enterprise Security Manager 9.5.0 Guía del producto 125 3 Configuración del ESM Configuración de dispositivos Configuración de la redundancia de ELM Si dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el registro mediante la adición de un ELM en espera. Antes de empezar Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de fábrica. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades . 2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar. 3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar. 4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté seleccionada la ficha Activo. 5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). 6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo. 7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo de almacenamiento). La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Administración de la compresión de ELM Comprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros por segundo. Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada nivel. Nivel Tasa de compresión Porcentaje de compresión máximo Porcentaje de máximo de registros procesados por segundo Baja 14:1 72 % 100 % Media 17:1 87 % 75 % Alta 20:1 100 % 50 % Las tasas de compresión reales variarán en función del contenido de los registros. 126 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se procesan por segundo, elija la compresión alta. • Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el disco, elija la compresión baja. Establecimiento de la compresión de ELM Seleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM | Compresión. 2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar. Se le notificará cuando se actualice el nivel. Visualización de los resultados de una búsqueda o una comprobación de integridad Cuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los resultados. Antes de empezar Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad. 3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver. Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM. Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM. Creación de copias de seguridad y restauración de ELM Si se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad de la configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración, incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se incluyen en la copia de seguridad. Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de copias de seguridad de los datos de registro en tiempo real. McAfee Enterprise Security Manager 9.5.0 Guía del producto 127 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y restauración. 3 Siga uno de estos procedimientos: Para... Haga esto... Crear copia de seguridad de ELM ahora Proporcione la información solicitada y haga clic en Hacer una copia de seguridad ahora. Crear copia de seguridad de la configuración de ELM automáticamente Seleccione la frecuencia y proporcione la información necesaria. Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datos de ELM se restaurará a la configuración de una copia de seguridad anterior. Restauración de los datos de registro y la base de datos de administración de ELM Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse. Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el Asistente de adición de dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM que se va a reemplazar. Una página de advertencia le informará de que el sistema no puede localizar el ELM. 2 Cierre la página de advertencia y haga clic en Conexión. 3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo. Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta. 4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente. 5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM. 6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM de la página Propiedades | Configuración de cada dispositivo. La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en el nuevo ELM. Este proceso puede durar varias horas. 128 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Búsquedas de ELM más rápidas El motor de indización de texto completo indiza los registros de ELM. Cuando está activado, proporciona mayores velocidades de búsqueda de ELM porque limita el número de archivos en los que buscar. Antes de empezar Defina el dispositivo de almacenamiento y el espacio asignado al indizador. El número de registros de ELM que se pueden indizar varía en función del espacio asignado al indizador. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM | Índice de texto completo. 2 Realice las selecciones necesarias en la página Seleccionar ubicación de indizador de texto completo. 3 Haga clic en Aceptar para guardar la configuración. Visualización del uso de almacenamiento de ELM La visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre la asignación de espacio en el dispositivo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de ELM. 2 Haga clic en Ver uso. Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los grupos y el dispositivo de almacenamiento de ELM. 3 Haga clic en Aceptar. Migración de la base de datos de ELM La base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM. La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos de administración depende del modelo. Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco para almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para el almacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficiente en el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrar base de datos en la página Propiedades de ELM para establecer esa ubicación. Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias horas hasta que finaliza la migración, en función del número de registros que contenga. Se recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez. McAfee Enterprise Security Manager 9.5.0 Guía del producto 129 3 Configuración del ESM Configuración de dispositivos Definición de una ubicación de almacenamiento alternativa A fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajena al ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionar un segundo dispositivo para duplicar lo que se almacene. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM | Migrar base de datos. 2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación. 3 Haga clic en Aceptar. Sustitución de una base de datos de administración de ELM duplicada Si el dispositivo de almacenamiento de la base de datos de administración duplicada tiene un problema, podría ser necesario sustituirlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de almacenamiento de la base de datos de administración que tiene el problema y haga clic en el icono Propiedades . 2 Haga clic en Configuración de ELM y seleccione Migrar base de datos. 3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista desplegable Dispositivo de almacenamiento de datos duplicado. 4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bien seleccione Ninguno para detener la duplicación. Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de almacenamiento. Recuperación de datos de ELM Para recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridad en la página Datos. Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alterados desde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada de archivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestran qué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sido correcta. El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridad simultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puede realizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo la nueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar los trabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevar a cabo su búsqueda. Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de comprobar el estado, que aparece en la tabla Resultados de la búsqueda. 130 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Creación de un trabajo de búsqueda Para buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo de búsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en el menor tiempo. La velocidad de búsqueda de ELM ha aumentado en la versión 9.2.0. Para que este aumento surta efecto al ampliar a las versiones posteriores a la 9.2.0 desde versiones anteriores a la 9.2.0, es necesario activar el sistema indizador de texto completo (FTI). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar. Creación de un trabajo de comprobación de integridad Es posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente a través de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de los campos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menor tiempo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar. Configuración de Advanced Correlation Engine (ACE) McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real mediante la lógica basada tanto en reglas como en el riesgo. Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores específicos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las reproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense. El ACE se puede configurar con los modos en tiempo real o histórico. • Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección inmediata de riesgos y amenazas. • Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado, permitiendo así la detección de amenazas subzero-day. Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM, ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 131 3 Configuración del ESM Configuración de dispositivos • Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja en función de la actividad en tiempo real. Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis e investigaciones sobre la situación de las amenazas a lo largo del tiempo. • Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos tradicional basada en reglas para analizar la información recopilada en tiempo real. El ACE correlaciona todos los registros, eventos y flujos de red junto con información contextual como identidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza mayor. Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACE complementa esta capacidad y proporciona un recurso de procesamiento dedicado para correlacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes de correlación existentes o para sustituirlos por completo. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. Selección del tipo de datos para el ACE ESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar al ACE. La opción predeterminada es enviar solo datos de eventos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE. 2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos. 3 Haga clic en Aceptar. Adición de un administrador de correlación Para utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación de reglas o riesgos. Antes de empezar Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de ESM). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 132 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de correlación. 2 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Si ha seleccionado Correlación de reglas, complete las fichas Principal y Filtros. Si ha seleccionado Correlación de riesgos, complete las fichas Principal, Campos, Umbrales y Filtros. 4 Haga clic en Finalizar. 3 Adición de un administrador de correlación de riesgos Es necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para los campos designados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas. 3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo. Adición de una calificación de correlación de riesgos Es necesario agregar sentencias condicionales que asignen una calificación a un campo de destino. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Utilización de la correlación histórica La opción de correlación histórica permite correlacionar los eventos pasados. Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registros históricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de red fácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas de Correlación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual es posible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puede resultar útil en las siguientes situaciones: • No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuenta de que la correlación podría haber revelado información valiosa. • Está configurando una nueva correlación en función de los eventos activados en el pasado y desea probarla para confirmar que ofrece los resultados esperados. Tenga en cuenta lo siguiente cuando utilice la correlación histórica: • La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. • La distribución de riesgo se verá distorsionada por la agregación de eventos. • Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, es necesario ajustar los umbrales. McAfee Enterprise Security Manager 9.5.0 Guía del producto 133 3 Configuración del ESM Configuración de dispositivos Para configurar y ejecutar la correlación histórica es necesario: 1 Agregar un filtro de correlación histórica. 2 Ejecutar una correlación histórica. 3 Descargar y ver los eventos históricos correlacionados. Adición y ejecución de una correlación histórica A fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y, después, ejecutar la correlación. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica. 2 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. 3 Seleccione Activar correlación histórica y haga clic en Aplicar. La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. 4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora. El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables. Descarga y visualización de los eventos de correlación histórica Una vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros | Obtener eventos. Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM. 2 Cierre la ventana Propiedades de ACE. 3 Para ver los datos: a En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba de ejecutar los datos históricos. b En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas, seleccione el periodo especificado al configurar la ejecución. Los resultados de la consulta aparecerán en el panel de visualización. Configuración de Application Data Monitor (ADM) McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en la red mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido de las aplicaciones. Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su uso en la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoría de conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que se enmascaran como aplicaciones legítimas. 134 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a fin de conservar una traza de auditoría. ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación. • Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente) • Correo electrónico: SMTP, POP3, NNTP, MAPI • Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC • Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail • P2P: Gnutella, bitTorrent • Shell: SSH (solo detección), Telnet ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete de la tabla de consultas. ADM puede generar los siguientes tipos de eventos. • Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos. • Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en los módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o para contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no válido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla de eventos. • Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla que detectan anomalías en los metadatos generados por el motor de Internet Communications Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos. La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes, donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento. La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la tabla de eventos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 135 3 Configuración del ESM Configuración de dispositivos La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de contenido o el protocolo completo. Configuración de la zona horaria de ADM El dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que el dispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean el activador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera. El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a la hora de evaluar las reglas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. 2 Haga clic en Zona horaria y seleccione su zona horaria. 3 Haga clic en Aceptar. Visualización de contraseñas en el Visor de sesión El Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Las reglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada, no se muestran. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. La opción Contraseñas indica que el registro está Desactivado. 2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar. El sistema ejecutará el comando y le avisará cuando haya terminado. La opción Contraseñas indica ahora que el registro está Activado. Diccionarios de Application Data Monitor (ADM) Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las claves capturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que emplean de forma predeterminada el valor booleano verdadero cuando están presentes. Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tener que escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin de seleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario con palabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente para comprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario: protocol == email && naughtyWords[objcontent] 136 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el diccionario al que debe hacer referencia la regla. Los diccionarios admiten millones de entradas. La adición de un diccionario a una regla implica los pasos siguientes: 1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores. 2 Administrar el diccionario en el ESM. 3 Asignar el diccionario a una regla. Configuración de un diccionario de ADM Un diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay diccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una clave como un valor. Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores son booleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se utiliza el valor booleano verdadero si no se indica otro. Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM: cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las siguientes directrices de formato: Tipo Reglas de sintaxis Ejemplos Contenido de coincidencia Cadena • Las cadenas se deben delimitar entre comillas dobles “Contenido malo” Contenido malo “Dijo: \“Contenido malo\”” Dijo: “Contenido malo” /[Aa]pple/ Apple o apple /apple/i Apple o apple • Las comillas dobles incluidas en una cadena deben ir acompañadas de barras diagonales invertidas a modo de caracteres de escape antes de cada comilla Expresión regular • Las expresiones regulares se delimitan mediante barras diagonales simples / [0-9]{1,3}\.[0-9]{1,3}\. • Las barras diagonales y los [0-9]\.[0-9]/ caracteres de expresión /1\/2 de todo/ regular reservados incluidos en la expresión regular se deben acompañar de barras diagonales invertidas como caracteres de escape Números Direcciones IP: 1.1.1.1 127.0.0.1 1/2 de todo • Valores decimales (0-9) Valor decimal 123 • Valores hexadecimales (0x0-9a-f) Valor hexadecimal 0x12ab Valor octal 0127 • Valores octales (0-7) McAfee Enterprise Security Manager 9.5.0 Guía del producto 137 3 Configuración del ESM Configuración de dispositivos Tipo Reglas de sintaxis Booleanos • Pueden ser verdaderos o falsos Literales booleanos verdadero • Todo en minúscula falso 192.168.1.1 • Se puede escribir en el formato estándar de cuatro 192.168.1.0/24 números separados por puntos 192.168.1.0/255.255.255.0 • Se puede escribir en notación CIDR 192.168.1.1 IPv4 Ejemplos Contenido de coincidencia 192.168.1.[0 – 255] 192.168.1.[0 – 255] • Se puede escribir en formato largo con máscaras completas Tenga en cuenta lo siguiente sobre los diccionarios: 138 • Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los diccionarios. • Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único archivo de diccionario de ADM. • Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#) se consideran comentarios en un diccionario de ADM. • Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener una longitud total igual o inferior a 20 caracteres. • No se admiten las listas. • En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación o creación de nuevos diccionarios de ADM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Ejemplos de diccionarios de ADM El motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica o propiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en el diccionario o no existe en el diccionario). Tabla 3-25 Ejemplos de diccionarios de una columna Tipo de diccionario Ejemplo Diccionario de cadenas con palabras comunes en spam “Cialis” “cialis” “Viagra” “viagra” “web para adultos” “Web para adultos” “¡actúe ahora, no se lo piense!” Diccionario de expresiones regulares con palabras clave de autorización /(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña| usuario)/i /(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i /fondos[^a-z0-9]{1,3}transacción/i /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i Diccionario de cadenas con valores de hash de ejecutables maliciosos conocidos "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb607468465f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec8027833791c" "ff7025e261bd09250346bc9efdfc6c7c" Direcciones IP de activos críticos 192.168.1.12 192.168.2.0/24 192.168.3.0/255.255.255.0 192.168.4.32/27 192.168.5.144/255.255.255.240 McAfee Enterprise Security Manager 9.5.0 Guía del producto 139 3 Configuración del ESM Configuración de dispositivos Tabla 3-26 Ejemplos de diccionarios de dos columnas Tipo de diccionario Ejemplo Diccionario de cadenas con palabras y categorías comunes en spam “Cialis” “genérico” “cialis” “genérico” “Viagra” “genérico” “viagra” “genérico” “web para adultos” “adultos” “Web para adultos” “adultos” “¡actúe ahora, no se lo piense!” “fraude” Diccionario de expresiones /(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña| regulares con palabras clave usuario)/i “credenciales” y categorías de autorización /(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i “pii” /fondos[^a-z0-9]{1,3}transacción/i “sox” /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i “sox” Diccionario de cadenas con "fec72ceae15b6f60cbf269f99b9888e9" “Troyano” valores de hash y categorías "fed472c13c1db095c4cb0fc54ed28485" “Malware” de ejecutables maliciosos conocidos "feddedb607468465f9428a59eb5ee22a" “Virus” "ff3cb87742f9b56dfdb9a49b31c1743c" “Malware” "ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware” "ff669082faf0b5b976cec8027833791c" “Troyano” "ff7025e261bd09250346bc9efdfc6c7c" “Virus” Direcciones IP y grupos de activos críticos 192.168.1.12 “Activos críticos” 192.168.2.0/24 “LAN” 192.168.3.0/255.255.255.0 “LAN” 192.168.4.32/27 “DMZ” 192.168.5.144/255.255.255.240 “Activos críticos” Administración de diccionarios de ADM Una vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También es posible exportarlo, editarlo y eliminarlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM. La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet, foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema. 2 140 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Cómo hacer referencia a un diccionario de ADM Cuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribir las reglas. Antes de empezar Importe el diccionario al ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM. 2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica de expresión. 3 Arrastre y suelte el icono Componente de expresión en el elemento lógico. 4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario. 5 Rellene los campos restantes y haga clic en Aceptar. Material de referencia para reglas de ADM Este apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor de directivas. Sintaxis de las reglas de ADM Las reglas de ADM son muy similares a las expresiones de C. La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresiones regulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden comparar con literales de cadena y expresión regular a fin de comprobar su contenido, pero también se pueden comparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y de dirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es que cualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términos pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de los archivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf. Tabla 3-27 Operadores Operador Descripción Ejemplo && AND lógico protocol = = http && type = = image/gif || OR lógico time.hour < 8 || time.hour > 18 ^^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]" ! NOT unario ! (protocol = = http | | protocol = = ftp) == Igual que type = = application/pdf != No igual que srcip ! = 192.168.0.0/16 > Mayor que objectsize > 100M >= Mayor o igual que time.weekday > = 1 McAfee Enterprise Security Manager 9.5.0 Guía del producto 141 3 Configuración del ESM Configuración de dispositivos Tabla 3-27 Operadores (continuación) Operador Descripción Ejemplo < Menor que objectsize < 10K <= Menor o igual que time.hour < = 6 Tabla 3-28 Literales Literal Ejemplo Número 1234, 0x1234, 0777, 16K, 10M, 2G Cadena "una cadena" Expresión regular /[A-Z] [a-z]+/ IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0 MAC aa:bb:cc:dd:ee:ff Booleano true, false Tabla 3-29 Compatibilidad entre tipos y operadores Tipo Operadores Número = =, ! =, >, > =, <, < = Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresión regular Cadena >, > =, <, <= Comparar la longitud de la cadena IPv4 = =, ! = MAC = =, ! = Booleano = =, ! = Notas Comparar con verdadero/falso; también admite la comparación implícita con verdadero, por ejemplo, lo siguiente comprueba si aparece el término “email.bcc”: email.bcc Tabla 3-30 Gramática de las expresiones regulares de ADM Operadores básicos 142 | Alternancia (o) * Cero o más + Uno o más ? Cero o uno () Agrupación (a | b) {} Intervalo repetitivo {x} o {,x} o {x,} o {x,y} [] Intervalo [0-9a-z] [abc] [^ ] Intervalo exclusivo [^abc] [^0-9] . Cualquier carácter \ Carácter de escape McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Caracteres de escape \d Dígito [0-9] \D No dígito [^0-9] \e Escape (0x1B) \f Avance de página (0x0C) \n Avance de línea (0x0A) \r Retorno de carro (0x0D) \s Espacio en blanco \S No espacio en blanco \t Tabulación (0x09) \v Tabulación vertical (0x0B) \w Palabra [A-Za-z0-9_] \W No palabra \x00 Representación hexadecimal \0000 Representación octal ^ Inicio de línea S Fin de línea Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent. Clases de caracteres POSIX [:alunum:] Dígitos y letras [:alpha:] Todas las letras [:ascii:] Caracteres ASCII [:blank:] Espacio y tabulación [:cntrl:] Caracteres de control [:digit:] Dígitos [:graph:] Caracteres visibles [:lower:] Letras minúsculas [:print:] Espacios y caracteres visibles [:punct:] Puntuación y símbolos [:space:] Todos los caracteres de espacio en blanco [:upper:] Caracteres en mayúscula McAfee Enterprise Security Manager 9.5.0 Guía del producto 143 3 Configuración del ESM Configuración de dispositivos Clases de caracteres POSIX [:word:] Caracteres de palabras [:xdigit:] Dígito hexadecimal Tipos de términos para reglas de ADM Todos los términos de una regla de ADM son de un tipo concreto. Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valor booleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un término de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo o una lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla: 1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La regla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password” es un término de cadena): password < 8 2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/ 3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una dirección CC (“email.cc” es un término de cadena): email.cc == true Tipo Descripción del formato Direcciones IP • Los literales de dirección IP se escriben con el formato estándar de cuatro números separados por puntos y no se delimitan mediante comillas: 192.168.1.1 • Las direcciones IP pueden presentar una máscara expresada en notación CIDR estándar; no deben existir espacios en blanco entre la dirección y la máscara: 192.168.1.0/24 • Las direcciones IP también se pueden escribir con el formato largo: 192.168.1.0/255.255.255.0 Direcciones MAC • Los literales de dirección MAC se escriben mediante la notación estándar y, al igual que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar en formato decimal: 1234 • Se pueden expresar en formato hexadecimal: 0xabcd • Se pueden expresar en formato octal: 0777 • Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o 1 073 741 824 (G): 10M 144 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos Tipo Descripción del formato Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena" 3 • Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una \"cadena\" que contiene\x20secuencias de escape\n" • Al comparar un término con una cadena, el término debe coincidir con la cadena al completo. Si un mensaje de correo electrónico tiene la dirección de origen “[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com” • Para usar la coincidencia parcial con un término, hay que usar un literal de expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea posible, ya que resultan más eficaces. Todos los términos de dirección de correo electrónico y URL se normalizan antes de la coincidencia, por lo que no es necesario tener en cuenta cosas como los comentarios incluidos en las direcciones de correo electrónico. Booleanos • Los literales booleanos son verdadero (true) y falso (false). McAfee Enterprise Security Manager 9.5.0 Guía del producto 145 3 Configuración del ESM Configuración de dispositivos Tipo Descripción del formato Expresiones regulares • Los literales de expresión regular emplean la misma notación que algunos lenguajes, como Javascript y Perl, por lo que la expresión regular se delimita mediante barras diagonales: /[a-z]+/ • Las expresiones regulares pueden ir seguidas de indicadores de modificación estándar, aunque "i" es el único que se reconoce actualmente (sin distinción entre mayúsculas y minúsculas): /[a-z]+/i • Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En este momento, las extensiones Perl funcionan para todos los términos excepto el de contenido, pero esto podría cambiar en versiones futuras. • Si se compara un término con una expresión regular, esta puede coincidir con cualquier subcadena incluida en el término a menos que se apliquen operadores de anclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje de correo electrónico con la dirección “[email protected]”: email.from == / @lugar.com/ Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y separados por comas: [1, 2, 3, 4, 5] • Las listas pueden contener cualquier tipo de literal, incluidas otras listas: [192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]] • Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y números, cadenas y expresiones regulares o direcciones IP y direcciones MAC. • Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a” (!=), la expresión es verdadera si el término coincide con cualquier literal de la lista. La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las direcciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3] • Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3 • Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si el término no coincide con todos los literales de la lista. La siguiente regla se activa si la dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1, 192.168.1.2] • Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2 • Las listas también se pueden usar con otros operadores relacionales, aunque no tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior a 100, o bien si es superior a 200: objectsize > [100, 200] • Esto es equivalente a: objectsize > 100 || objectsize > 200 Referencias métricas para reglas de ADM A continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cuales están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede indicar para cada una se muestra entre paréntesis tras la referencia métrica. Propiedades comunes 146 Propiedad o término Descripción Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.). Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correo electrónico o mensaje de chat, etc.). La coincidencia de contenido no está disponible para los datos binarios. Sin embargo, los objetos binarios se pueden detectar mediante el tipo de objeto (objtype). McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Propiedad o término Descripción Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos de Office, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.). Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K, M y G tras el número (10K, 10M, 10G). Object Hash (cadena) El hash del contenido (actualmente, MD5). Object Source IP Address (número) Dirección IP de origen del contenido. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Object Destination IP Address (número) Dirección IP de destino del contenido. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Object Source Port (número) El puerto TCP/UDP de origen del contenido. Object Destination Port (número) El puerto TCP/UDP de destino del contenido. Object Source IP v6 Address (número) Dirección IPv6 de origen del contenido. Object Destination IPv6 Address (número) Dirección IPv6 de destino del contenido. Object Source MAC Address Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff). (nombre de MAC) Object Destination MAC Address (nombre de MAC) Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff). Flow Source IP Address (IPv4) Dirección IP de origen del flujo. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Flow Destination IP Address Dirección IP de destino del flujo. La dirección IP se puede especificar (IPv4) como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Flow Source Port (número) Puerto TCP/UDP de origen del flujo. Flow Destination Port (número) Puerto TCP/UDP de destino del flujo. Flow Source IPv6 Address (número) Dirección IPv6 de origen del flujo. Flow Destination IPv6 Address (número) Dirección IPv6 de destino del flujo. Flow Source MAC Address (nombre de MAC) Dirección MAC de origen del flujo. Flow Destination MAC Address (nombre de MAC) Dirección MAC de destino del flujo. VLAN (número) ID de LAN virtual. Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1 corresponde al lunes. Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre 0 y 23. Declared Content Type (cadena) Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de objeto (objtype) es siempre el tipo real, mientras que el tipo de contenido declarado (content-type) no resulta fiable, ya que el servidor o la aplicación lo pueden falsificar. Password (cadena) La contraseña utilizada por la aplicación para la autenticación. McAfee Enterprise Security Manager 9.5.0 Guía del producto 147 3 Configuración del ESM Configuración de dispositivos Propiedad o término Descripción URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP. File Name (cadena) Nombre del archivo transferido. Display Name (cadena) Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS. Anomalías comunes • User logged off (literal booleano) • Authorization error (literal booleano) • Authorization successful (literal booleano) • Authorization failed (literal booleano) Propiedades específicas de protocolos Además de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM también ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todas las propiedades específicas de protocolos están disponibles también en la página Componente de expresión a la hora de agregar una regla de ADM. Ejemplos de propiedades específicas de protocolos Estas propiedades se aplican a las tablas siguientes: * Solo detección ** Sin descifrado, se capturan los certificados X.509 y los datos cifrados *** A través del módulo RFC822 Tabla 3-31 Módulos de protocolo de transferencia de archivos FTP HTTP SMB* SSL** Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo Nombre de host Nombre de host Nombre de host Nombre de host URL Referer URL Todos los encabezados HTTP 148 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-32 Módulos de protocolo de correo electrónico DeltaSync MAPI NNTP POP3 SMTP CCO*** CCO CCO*** CCO*** CCO*** CC*** CC CC*** CC*** CC*** Nombre de pantalla Nombre de pantalla Nombre de pantalla De*** De*** Nombre de host Nombre de host Asunto*** Para*** Para*** Asunto*** Nombre de usuario Nombre de pantalla Nombre de pantalla De*** De Nombre de host Nombre de host Asunto*** Asunto Para*** Para De*** Nombre de host Asunto*** Para*** Nombre de usuario Tabla 3-33 Módulos de protocolo de correo web AOL Gmail Hotmail Yahoo Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos CCO*** CCO*** CCO*** CCO*** CC*** CC*** CC*** CC*** Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo Nombre de host Nombre de host Nombre de host Nombre de host De*** De*** De*** De*** Asunto*** Asunto*** Asunto*** Asunto*** Para*** Para*** Para*** Para*** Anomalías de protocolo Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. Tabla 3-34 IP Término Descripción ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido. ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete. ip.fragmented El paquete IP está fragmentado. ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos. ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 149 3 Configuración del ESM Configuración de dispositivos Tabla 3-35 TCP Término Descripción tcp.too-small El paquete TCP es demasiado pequeño para contener un encabezado válido. tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final del paquete. tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido. tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido. tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado. tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeña de TCP del módulo, no la ventana real). tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no se ha definido el indicador URG. Tabla 3-36 DNS Término Descripción dns.too-small El paquete DNS es demasiado pequeño para contener un encabezado válido. dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete. dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete. dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de longitud. dns.answer-circular-reference La respuesta de DNS contiene una referencia circular. Configuración de Database Event Monitor (DEM) McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de auditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación de informes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide con patrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todas las transacciones se registran para garantizar la conformidad. El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la misma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil ajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, qué transacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general. El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión de red, seguridad, conformidad y bases de datos. Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría. Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de servidor de base de datos compatibles. 150 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Sistema operativo Base de datos Dispositivo DEM Agente de DEM Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 MSSQL 2000 (SP4), 2005, 2008 Windows, UNIX/Linux (todas las versiones) Oracle² Oracle 8.x, 9.x, 10g, 11g Oracle 8.0.3+, 9.x, (c), 11g R2³ 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (disponible en la versión 8.4.0 o posterior) 11.5 -- MySQL Sí, 4.x, 5.x, 6.x Sí, 4.1.22.x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Cache 2011.1.x -- UNIX/Linux (todas las versiones) Greenplum 8.2.15 -- Vertica 5.1.1-0 -- Mainframe DB2/zOS Todas las versiones Opción de agente de partner AS400 DB2 Todas las versiones -- Windows, UNIX/Linux (todas las versiones) 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0 y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores. 3 Oracle 11g está disponible en la versión 8.3.0 y posteriores. Lo siguiente es aplicable a estos servidores y estas versiones: • Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las plataformas de base de datos. • MySQL solo se admite en plataformas Windows de 32 bits. • El descifrado de paquetes se admite en MSSQL y Oracle. Actualización de la licencia de DEM El DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviará una nueva licencia en un mensaje de correo electrónico y deberá actualizarla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo. 3 Haga clic en Aceptar. El sistema actualizará la licencia y le avisará cuando haya terminado. 4 Despliegue la directiva en el DEM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 151 3 Configuración del ESM Configuración de dispositivos Sincronización de los archivos de configuración de DEM Cuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, es necesario escribirlos en el DEM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Sincronizar archivos. Aparecerá un mensaje que indica el estado de la sincronización. Configuración de opciones avanzadas de DEM Estas opciones avanzadas cambian o aumentan el rendimiento del DEM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si experimenta una carga muy elevada en el DEM. 3 Haga clic en Aceptar. Aplicación de las opciones de configuración al DEM Los cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM. En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración de DEM permite hacerlo para todas las opciones de configuración del DEM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Aplicar. Un mensaje le informará de la escritura de las opciones de configuración en el DEM. Definición de acciones para eventos de DEM La configuración de Administración de acciones del DEM define las acciones y operaciones para los eventos que se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar acciones personalizadas y establecer la Operación para las acciones predeterminadas y personalizadas. El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la página Administración de acciones, y estas son las operaciones predeterminadas: • ninguna • secuencia de comandos • ignorar • restablecer • rechazar Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia de comandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cual se ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables de 152 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos entorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene una lista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash de muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede capturar la acción de importancia en una secuencia de comandos. Recuerde lo siguiente cuando trabaje con acciones y operaciones: • Las acciones aparecen por orden de prioridad. • Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a un localizador, a menos que se especifique como acción de alerta. • Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una acción para el nivel de alerta más alto. • Los eventos se escriben en un archivo de eventos independientemente de la acción. La única excepción es una operación Rechazar. Adición de una acción de DEM Si se agrega una acción a la administración de acciones de DEM, aparece en la lista de acciones disponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla como acción para una regla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas | Administrador de acciones de DEM. y, después, en La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad. No es posible cambiar el orden de prioridad de las acciones predeterminadas. 2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción. No es posible eliminar una acción personalizada una vez agregada. 3 Haga clic en Aceptar. La nueva acción se agregará a la lista de Administración de acciones de DEM. La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase Establecimiento de la operación para una acción de DEM. Edición de una acción personalizada de DEM Tras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editar su nombre o cambiar la prioridad. McAfee Enterprise Security Manager 9.5.0 Guía del producto 153 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas | Administrador de acciones de DEM. y, después, en Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones: • Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que se encuentre en la posición correcta. • Para cambiar el nombre o la descripción, haga clic en Editar. Haga clic en Aceptar para guardar la configuración. Establecimiento de la operación para una acción de DEM Todas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción de DEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación de cualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de acciones. 2 Resalte la acción que desee editar y haga clic en Editar. 3 Seleccione una operación y haga clic en Aceptar. Utilización de máscaras de datos confidenciales Las máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datos confidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica, denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datos 154 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y editar o eliminar las existentes. Estas son las máscaras estándar: • Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13} Índice de subcadenas: \0 Patrón de enmascaramiento: ####-####-####-#### • Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS Expresión: (\d\d\d-\d\d)-\d\d\d\d Índice de subcadenas: \1 Patrón de enmascaramiento: ###-## • Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) Índice de subcadenas: \2 Patrón de enmascaramiento: ******** Administración de máscaras de datos confidenciales A fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras de datos confidenciales y editar o eliminar las existentes. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos confidenciales. 2 Seleccione una opción y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM. Administración de la identificación de usuarios Gran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse y distinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para acceder a la base de datos. La administración de identificadores proporciona una forma de capturar el nombre McAfee Enterprise Security Manager 9.5.0 Guía del producto 155 3 Configuración del ESM Configuración de dispositivos de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patrones de expresión regular. Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Se agregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega un dispositivo DEM al sistema. • Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL Expresión: select\s+username=(\w+) Aplicación: Oracle Índice de subcadenas: \1 • Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)', Aplicación: MSSQL Índice de subcadenas: \2 Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación, servidor web y sistema. Adición de una regla de identificador de usuario A fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas de identificación de usuarios existentes o de agregar una regla nueva. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de identificadores. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM. Acerca de los servidores de base de datos Los servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en un servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso, se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos. El DEM admite actualmente los siguientes servidores y versiones de base de datos: 156 SO Base de datos Dispositivo DEM Agente de DEM Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 MSSQL 2000 (SP4), 2005, 2008 Windows UNIX/Linux (todas las versiones) Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 Oracle 8.0.3+, 9.x, 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (véase la nota 4) 11.5 -- McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos SO Base de datos Dispositivo DEM Agente de DEM MySQL Sí, 4.x, 5.x, 6.x Sí, 4.1.22.x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Cache 2011.1.x -- UNIX/Linux (todas las versiones) Greenplum 8.2.15 -- Vertica 5.1.1-0 -- Mainframe DB2/zOS Todas las versiones Opción de agente de partner AS 400 DB2 Todas las versiones -- 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones 8.3.0 y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 y posteriores. 3 Oracle 11g está disponible en la versión 8.3.0 y posteriores. 4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores. • Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos y las plataformas de base de datos. • Los agentes de DEM se admiten en todas las versiones de los SO Windows, UNIX y Linux. • Los agentes de DEM requieren una máquina virtual Java (JVM). • MySQL solo se admite en plataformas Windows de 32 bits. • El descifrado de paquetes se admite para MSSQL y Oracle. Administración de servidores de base de datos La página Servidores de base de datos es el punto de inicio para la administración de la configuración de todos los servidores de base de datos del dispositivo DEM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de datos. 2 Seleccione cualquiera de las opciones disponibles. 3 Haga clic en Aceptar. Administración de notificaciones de descubrimiento de base de datos El DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista de excepciones de servidores de base de datos que no se supervisan. Esta lista permite a un administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y los puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos. Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Es posible elegir entonces si agregar o no el servidor a los supervisados en el sistema. McAfee Enterprise Security Manager 9.5.0 Guía del producto 157 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores de base de datos | Activar. Se le notificará la activación. 2 Haga clic en Aceptar para cerrar Propiedades de DEM. 3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y seleccione Vistas de evento | Análisis de eventos. 4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú y seleccione Agregar servidor. Configuración del ESM distribuido (DESM) El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal conectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extrae los datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder a información detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM. El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas ni eventos del DESM hasta que está aprobado. Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.". Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM principal puede tener con el DESM. El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se desactivan en todos los dispositivos secundarios del DESM. El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los filtros que se hayan definido. Adición de filtros de DESM Los datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos por el usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de forma que se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), es necesario establecer filtros para que se recuperen los datos del ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 158 1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros. 2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de ePolicy Orchestrator Es posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán como elementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a algunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP de origen o destino directamente y a los eventos generados por alarmas. ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de ePolicy Orchestrator. Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicy Orchestrator para poder usar ePolicy Orchestrator. ® Si el dispositivo McAfee ePO tiene un servidor de McAfee Threat Intelligence Exchange, se agrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con Threat Intelligence Exchange). Ejecución de ePolicy Orchestrator Si dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP de ePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestrator desde ESM. Antes de empezar Agregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM. Esta función está disponible en ePolicy Orchestrator 4.6 o posterior. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione una vista. 2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular que devuelva datos de IP de origen o destino. 3 En el menú del componente , haga clic en Acción | Ejecutar ePO. • Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y ha seleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator. • Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema, seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator. • Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique si desea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicy Orchestrator. Autenticación de dispositivos McAfee ePO Se requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO. Hay dos tipos de autenticación: McAfee Enterprise Security Manager 9.5.0 Guía del producto 159 3 Configuración del ESM Configuración de dispositivos • Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO, puede utilizar estas funciones tras introducir las credenciales globales. • Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en el árbol de dispositivos. Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método de autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este dispositivo. Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo plano mediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradas originalmente. Configuración de la autenticación mediante cuentas independientes La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas que debe hacer para configurar la autenticación mediante cuentas independientes. 1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePO al ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola de ESM o Cambio de la conexión con ESM). 2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticación de McAfee ePO). Adición de credenciales de autenticación de McAfee ePO Antes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, es necesario agregar las credenciales de autenticación al ESM. Antes de empezar Instale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola de ESM). Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto con el administrador del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en Credenciales de ePO. 2 Haga clic en el dispositivo y, después, en Editar. 3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión. 4 Haga clic en Aceptar. Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP La ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventos generados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. También se puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP. A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator. 160 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando. 2 Introduzca la información solicitada y, a continuación, haga clic en Asignar. Las etiquetas seleccionadas se aplicarán a la dirección IP. Adquisición de datos de McAfee Risk Advisor Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un administrador de correlación de riesgos. Activación de la adquisición de datos de McAfee Risk Advisor Cuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se genera una lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificación de los campos IP de origen e IP de destino. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y, después, haga clic en Activar. Se le informará cuando la adquisición haya sido activada. 2 Haga clic en Aceptar. Realización de acciones de McAfee Real Time for McAfee ePO Es posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una pregunta desde el ESM y el componente que muestra una dirección IP en la vista. Antes de empezar Diseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta en McAfee ePO del panel de McAfee Real Time for McAfee ePO). McAfee Enterprise Security Manager 9.5.0 Guía del producto 161 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestre los resultados de una pregunta de McAfee Real Time for McAfee ePO. 2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO. 3 En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción. 4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos seleccionados. 5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación, pulse Finalizar. Los filtros no están disponibles en el panel o los componentes de McAfee ePO. Integración con Threat Intelligence Exchange Threat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpoints conectados a estos archivos. Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hay un servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza a escuchar los eventos de DXL y de registro. Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, el enriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agregan automáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificación visual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor de Threat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo se haya agregado al ESM. Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos. Reglas de correlación Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas reglas generan eventos que se pueden buscar y ordenar. 162 • TIE - Reputación de GTI cambiada de limpia a contaminada • TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts • TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts • TIE - Varios archivos maliciosos encontrados en un único host • TIE - Reputación de TIE cambiada de limpia a contaminada • TIE - Aumento de archivos maliciosos detectado en todos los hosts McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Alarmas El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat Intelligence Exchange. • Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts. • Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega información a la lista de vigilancia IP de orígenes de datos de TIE. Lista de vigilancia La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad. Historial de ejecución de Threat Intelligence Exchange Existe la posibilidad de ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange), el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página, puede seleccionar un elemento y realizar cualquiera de estas acciones: • Crear una nueva lista de vigilancia • Agregar la información a una lista negra • Anexar la información a una lista de vigilancia • Exportar la información a un archivo .csv • Crear una nueva alarma Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange La página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemas que han ejecutado el archivo asociado con el evento seleccionado. Antes de empezar Es necesario que exista un dispositivo ePolicy Orchestrator con un servidor de Threat Intelligence Exchange conectado en el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicy Orchestrator. 2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en el evento. 3 Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE. 4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat Intelligence Exchange. 5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú desplegable Acciones y seleccione una opción para abrir su página de ESM. 6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones). McAfee Enterprise Security Manager 9.5.0 Guía del producto 163 3 Configuración del ESM Configuración de dispositivos Consultas en dispositivos McAfee ePO sobre informes o vistas Es posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si están integrados con McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono Propiedades y, después, en Informes. 2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la sección 5. 3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular. 4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación, seleccione el elemento o la pregunta para la consulta. 5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee ePO que consultar. 6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en Aceptar. 7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccione los elementos que desee incluir en la pregunta y haga clic en Aceptar. 8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y guarde el informe. Consultas en dispositivos McAfee ePO para el enriquecimiento de datos Es posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos si están integrados con McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 164 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades después, haga clic en Enriquecimiento de datos. 2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal. 3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después, seleccione los dispositivos en el campo Dispositivo. 4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación, haga clic en Finalizar. McAfee Enterprise Security Manager 9.5.0 Guía del producto y, 3 Configuración del ESM Configuración de dispositivos Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time for McAfee ePO Se puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar. 2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO. 3 Seleccione los filtros en el panel Filtros: 4 a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para la consulta. b En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto. c Seleccione la acción de filtrado y escriba el valor. Haga clic en el icono Ejecutar consulta . Configuración de Nitro Intrusion Prevention System (Nitro IPS) El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en la red sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPS incluye un administrador de datos incrustado (empleado para la administración, la adquisición y el análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, la detección de anomalías. El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todo ello en función de un conjunto de reglas definido por el usuario que se especifica mediante un lenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewall completamente funcional controlado por reglas de firewall estándar del sector, el cual proporciona capacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar. Asistente de detección de anomalías Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si se han recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y una descripción de todas las variables disponibles en el dispositivo seleccionado. Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla que solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de la categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin de elegir los mejores valores en su caso. McAfee Enterprise Security Manager 9.5.0 Guía del producto 165 3 Configuración del ESM Configuración de dispositivos El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo deseado. A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las variables que afectan a su funcionamiento: Regla Variables Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT, LARGE_INBOUND_BYTE_RATE_SECONDS Large inbound bytes LARGE_INBOUND_BYTES_LIMIT Large inbound network connections rate LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT, LARGE_INBOUND_PACKET_RATE_SECS Large inbound packet LARGE_INBOUND_PACKETS_LIMIT Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT, LARGE_OUTBOUND_BYTE_RATE_SECONDS Large outbound network connection rate LARGE_OB_CONN_RATE_BURST, LARGE_OB_CONN_RATE_LIMIT Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT, LARGE_OUTBOUND_PACKET_RATE_SECS Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT Long connection duration LONG_DURATION_SECONDS Edición de variables de detección de anomalías El Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías y proporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile datos de flujo y haga clic en el icono Propiedades . 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar. Generación de un Informe de análisis El Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red. Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de una inspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valores correspondientes a los parámetros de reglas de anomalías según la tasa. Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados. 166 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado datos de flujo y haga clic en el icono Propiedades . 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para el informe. 4 Haga clic en Aceptar. Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles. Acceso a reglas de firewall y estándar Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver, exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales. Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor de directivas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en Reglas estándar. 2 Seleccione cualquiera de las opciones y haga clic en Aceptar. Lista negra de dispositivo virtual o IPS La lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, los destinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si el dispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificación Incluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que el dispositivo incluya dicha configuración. La pantalla Editor de la lista negra incluye tres fichas: • Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. • Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. • Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. McAfee Enterprise Security Manager 9.5.0 Guía del producto 167 3 Configuración del ESM Configuración de dispositivos Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional. Recuerde lo siguiente cuando agregue entradas: • Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa Modificar. • Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. • Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. • Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o permanente. No obstante, las entradas de Exclusiones deben ser permanentes. • Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción. Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para garantizar el bloqueo de ciertos sitios web. Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra. El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos. Administración de la lista negra de IPS Es posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar, modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva y actualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones o resolver un nombre de host o dirección IP. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra | Editor. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones. 3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar. Configuración de inclusión automática en la lista negra La página Configuración de lista negra automática permite administrar las opciones de configuración de inclusión automática en la lista negra para el dispositivo. La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma independiente. 168 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra | Configuración. 2 Defina la configuración según proceda y haga clic en Aceptar. Configuración de McAfee Vulnerability Manager McAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciar un análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido un dispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM. McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Vulnerability Manager. Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager Es necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes de configurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone Certificate Manager.exe. 2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL). 3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver. 4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para generar la frase de contraseña y un archivo .zip. 5 Cargue el archivo .zip y copie la frase de contraseña generada. Ejecución de análisis de McAfee Vulnerability Manager La página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se han ejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, una API comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posible iniciar un nuevo análisis desde esta página. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis. 2 Haga clic en Nuevo análisis y rellene la información solicitada. 3 Haga clic en Aceptar. Una vez terminado el análisis, se agrega a la lista de análisis. McAfee Enterprise Security Manager 9.5.0 Guía del producto 169 3 Configuración del ESM Configuración de dispositivos Configuración de la conexión con McAfee Vulnerability Manager Es necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin de extraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como para que la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager. Antes de empezar Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee Vulnerability Manager. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el dispositivo se comunica con ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión. 2 Rellene la información solicitada y, después, haga clic en Aceptar. Configuración de McAfee Network Security Manager Es posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permite acceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y desea acceder a él desde el ESM. Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores del dispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación del sistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Network Security Manager. Adición de una entrada de lista negra McAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La página Lista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página, es posible agregar, editar y eliminar elementos de la lista negra. Es necesario ser superusuario para utilizar la función de lista negra. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y seleccione un sensor. 2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global. El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, la dirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager. Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario eliminar los elementos manualmente. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. La entrada aparecerá en la lista negra hasta que caduque. 170 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Adición o eliminación de una entrada de lista negra previamente borrada Cualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tiene una duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negra cuando se realiza una consulta en McAfee Network Security Manager (Manager). Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en el ESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra. 2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en Agregar o en Eliminar. 3 Haga clic en Aplicar o en Aceptar. Configuración de los servicios auxiliares Entre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocolo Network Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que se comuniquen con el ESM. Contenido Información general del sistema Opciones de configuración del servidor de Remedy Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Configuración de las opciones de red Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP Información general del sistema En la página Propiedades del sistema | Información del sistema , se puede ver información general sobre el sistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventos que se han producido en el sistema o los dispositivos. Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado de una actualización de reglas o de una copia de seguridad del sistema. • Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y su estado operativo actual. • La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas funciones. El estado OK significa que la base de datos funciona de la forma normal. • Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las Propiedades del sistema. McAfee Enterprise Security Manager 9.5.0 Guía del producto 171 3 Configuración del ESM Configuración de los servicios auxiliares • Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de copia de seguridad y restauración. • En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba automática de FIPS, así como su estado. • Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento. Opciones de configuración del servidor de Remedy Si utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se pueda comunicar con él. Antes de empezar Configure el sistema Remedy. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada | Remedy. 2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic en Aceptar. Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con la información introducida en esta página. Definición de la configuración de los mensajes Cuando se define la configuración de acción para una alarma o se configura el método de entrega de un informe, se puede optar por enviar un mensaje. Para ello, es necesario conectar el ESM al servidor de correo y configurar los destinatarios a los que se desea enviar mensajes de correo electrónico, SMS, SNMP o syslog. Es posible enviar notificaciones de alarma mediante el protocolo SNMPv1. SNMP emplea UDP como protocolo de transporte para pasar datos entre los administradores y los agentes. En una configuración SNMP típica, un agente como el ESM puede reenviar eventos a un servidor SNMP (que suele denominarse estación de administración de red (NMS) mediante paquetes de datos conocidos como capturas. Esto puede resultar útil cuando se desea recibir informes de eventos del ESM de la misma forma que se reciben notificaciones de otros agentes de la red. Debido a las limitaciones de tamaño de los paquetes de captura SNMP, cada línea del informe se envía en una captura distinta. Los informes de consulta en CSV generados por el ESM también se pueden enviar mediante syslog. Los informes de consulta en CSV se envían con el método de una línea por mensaje de syslog, con los datos de cada línea de los resultados de la consulta organizados mediante campos separados por comas. Conexión con el servidor de correo Configure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajes de alarma e informativos. 172 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Configuración de correo electrónico y escriba el host y el puerto correspondientes al servidor de correo electrónico. 2 Proporcione la información solicitada a fin de conectar con el servidor de correo. 3 Haga clic en Aplicar o en Aceptar para guardar la configuración. Véase también Administración de destinatarios en la página 173 Administración de destinatarios Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de forma que es posible enviar un mensaje a varios destinatarios a la vez. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de correo electrónico. 2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos. 3 Haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleen destinatarios dentro del ESM. Configuración de NTP en un dispositivo Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP (Network Time Protocol). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | NTP. 3 Rellene la información solicitada y, después, haga clic en Aceptar. Procedimientos • Visualización del estado de los servidores NTP en la página 174 Es posible ver el estado de todos los servidores NTP del ESM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 173 3 Configuración del ESM Configuración de los servicios auxiliares Visualización del estado de los servidores NTP Es posible ver el estado de todos los servidores NTP del ESM. Antes de empezar Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del sistema o Configuración de NTP en un dispositivo). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el árbol de navegación del sistema, realice una de las siguientes acciones: • Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema. • En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y seleccione Configuración | NTP. Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar. Véase también Sincronización de la hora del sistema en la página 180 Configuración de NTP en un dispositivo en la página 41 Configuración de las opciones de red Configure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESM y las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, la configuración de SSH y la adición de rutas estáticas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de red. 2 Rellene la información para configurar la conexión con la red. 3 Haga clic en Aplicar o en Aceptar. Procedimientos 174 • Configuración del puerto IPMI en el ESM o los dispositivos en la página 177 Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. • Configuración del control del tráfico de red en el ESM en la página 178 Defina un valor de salida de datos máximo para el ESM. • Configuración de DHCP en la página 179 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. • Configuración de DHCP en una VLAN en la página 180 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Administración de interfaces de red La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección IP. Interfaz de administración Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo requieren el uso de una interfaz de administración: • Control completo de las tarjetas de red de omisión • Uso de la sincronización de hora NTP • Syslog generado por dispositivo • Notificaciones SNMP Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la comunicación hacia otra dirección IP o nombre de host de destino. No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y su seguridad podría ponerse en peligro. En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo. NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión (véase Configuración de NIC de omisión). Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de interfaces de red La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas opciones para cada dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 175 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces. 3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar. Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso. Adición de VLAN y alias Es posible agregar redes de área local virtuales (VLAN) y alias (pares asignados de dirección IP y máscara de red que se agregan si hay algún dispositivo de red con más de una dirección IP) a una interfaz de ACE o ELM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración correspondiente al dispositivo, después en Interfaces y, por último, en Opciones avanzadas. 3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar. 4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias. 5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Adición de rutas estáticas Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 Junto a la tabla Rutas estáticas, haga clic en Agregar. 4 Introduzca la información y, a continuación, haga clic en Aceptar. NIC de omisión En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. 176 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión. Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de NIC de omisión En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase todo el tráfico. Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de omisión, pero no cambiar la configuración. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte inferior. 4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración. 5 Haga clic en Aceptar. Configuración del puerto IPMI en el ESM o los dispositivos Es posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos. Esto permite realizar varias acciones: • Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para el software IPMI. • Acceder a una máquina virtual basada en el kernel (KVM) de IPMI. • Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0. • Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de alimentación. • Restablecer la tarjeta IPMI. • Llevar a cabo un restablecimiento en caliente o en frío. Configuración del puerto IPMI en el ESM o los dispositivos Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 177 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga clic en el icono Propiedades 2 3 . Acceda a la ficha Configuración de red Avanzada. • En el ESM, haga clic en Configuración de red | Avanzada. • En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces | Opciones avanzadas Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway de IPMI. Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/ areca/system_bios_update/Contents‑README.txt. 4 Haga clic en Aplicar o en Aceptar. Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de configurar el IPMI. Configuración del control del tráfico de red en el ESM Defina un valor de salida de datos máximo para el ESM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades Haga clic en Configuración de red y, después, en la ficha Tráfico. La tabla presenta una lista de los controles existentes. 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. 178 McAfee Enterprise Security Manager 9.5.0 Guía del producto . 3 Configuración del ESM Configuración de los servicios auxiliares Uso de los nombres de host El nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar los nombres de host de forma que se asocien con sus correspondientes direcciones IP. En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, así como establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático. Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host , situado en la parte inferior de los componentes de vista. Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se agregan a la tabla de hosts. En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la página Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la siguiente vez que se selecciona la opción Mostrar nombres de host en una vista. La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la introducción de un nombre de host y una dirección IP individualmente, o bien a través de la importación de una lista delimitada por tabulaciones de nombres de host y direcciones IP. Cuantos más datos introduzca de esta forma, menos tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca, pero es posible editarlo o quitarlo. Administración de los nombres de host Lleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts, tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer el momento de caducidad de los hosts de aprendizaje automático. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts. 2 Seleccione una opción e introduzca la información solicitada. 3 Haga clic en Aplicar o en Aceptar. Configuración de DHCP El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. Los alias se desactivan cuando se activa DHCP. McAfee Enterprise Security Manager 9.5.0 Guía del producto 179 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades 2 3 . Siga uno de los procedimientos siguientes: • En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. • En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. 4 Haga clic en Aceptar. Configuración de DHCP en una VLAN El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades 2 . Siga uno de los procedimientos siguientes: • En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. • En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. 3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada. 4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP. 5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. Sincronización de la hora del sistema Ya que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, es importante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia 180 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionar que el ESM y los dispositivos se sincronicen con un servidor NTP. Configuración de la hora del sistema Antes de empezar Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves de autorización y sus ID de clave. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar. Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP. La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puede acceder de nuevo a la lista de servidores NTP y comprobar su estado. Sincronización de los relojes de dispositivos Es posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datos generados por los diversos sistemas reflejen la misma configuración. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo. Se le informará cuando finalice la sincronización o en caso de que exista algún problema. 2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página Información del dispositivo. Instalación de un nuevo certificado El ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. La mayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificado no se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para el ESM, deberá instalarlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Administración de claves y, después, en Certificado. 3 Haga su selección y, a continuación, haga clic en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 181 3 Configuración del ESM Configuración de los servicios auxiliares Configuración de perfiles Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de perfiles. 2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil. 3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información solicitada. 4 Haga clic en Aceptar. Configuración de SNMP Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/ inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos, recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del comando snmpwalk. SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS). Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado de mantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a un ESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todos los appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivo y de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee). Configuración de las opciones de SNMP Configure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios con nombres que no incluyan espacios pueden realizar consultas SNMP. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración SNMP. 2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP. 3 Haga clic en Aceptar. Configuración de una captura SNMP para la notificación de fallos de alimentación Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos de alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación. 182 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 . En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Configuración SNMP, después en la ficha Capturas SNMP y, a continuación, seleccione Error de hardware general. 3 Haga clic en Aplicar o en Aceptar. Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de mantenimiento junto al dispositivo en el árbol de navegación del sistema. Es posible agregar una alarma para que se active cuando se produzca un fallo (véase Adición de una alarma de notificación sobre fallos de alimentación). Creación de una captura SNMP a modo de acción en una alarma Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. Antes de empezar Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP). Para ver las definiciones de las opciones, haga clic en ? en la interfaz. Procedimiento 1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 3 b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil. c Rellene los campos restantes y haga clic en Aplicar. Configure SNMP en el ESM. a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregado en el Paso 1. c Haga clic en Aplicar. Defina una alarma con Captura SNMP como acción. a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar. b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones. c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los mensajes SNMP. d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y, después, en Agregar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 183 3 Configuración del ESM Configuración de los servicios auxiliares e Seleccione una plantilla existente o haga clic en Agregar para definir una plantilla nueva. f Vuelva a la página Configuración de alarma y continúe con la configuración. Adición de una alarma de notificación sobre fallos de alimentación Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Antes de empezar Configure una captura SNMP de tipo Error de hardware general (véase Configuración de una captura SNMP para la notificación de fallos de alimentación). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Alarmas y después en Agregar, agregue los datos requeridos en la ficha Resumen y, a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de evento interno. 4 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es). 5 Rellene la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar. . Se activará una alarma cuando falle una fuente de alimentación. SNMP y la MIB de McAfee Es posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB (Management Information Base, base de datos de información de administración) de McAfee define el identificador de objeto (OID) de cada objeto o característica de interés. La MIB define grupos de objetos para: • Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Un receptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP de McAfee. • Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de datos SNMP de McAfee. • Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los dispositivos que administra, así como responder a ellas. • Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra. La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre las que se incluyen: 184 • la acción realizada cuando se recibe una alerta • la dirección y el estado del flujo • los tipos de orígenes de datos • las acciones de lista negra McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information (SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a través de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso). Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de administración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los objetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelen llevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno o varios OID junto con la instancia concreta del OID. El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al siguiente: OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.2.1.2 Interno Nombre del dispositivo Nitro IPS 1.3.6.1.4.1.23128.1.3.2.2.2 2 Identificador único del ESM para el dispositivo Nitro IPS 1.3.6.1.4.1.23128.1.3.2.3.2 1 La comunicación con Nitro IPS está disponible (1) o no está disponible (0) 1.3.6.1.4.1.23128.1.3.2.4.2 Ok Estado de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.5.2 off Estado de las NIC de omisión de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.6.2 Nitro IPS Modo de Nitro IPS (Nitro IPS o IDS) 1.3.6.1.4.1.23128.1.3.2.7.2 Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.2.8.2 MB 1010 Total de RAM de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.9.2 MB 62 RAM disponible 1.3.6.1.4.1.23128.1.3.2.10.2 MB 27648 Total de espacio de la unidad de disco duro particionado para la base de datos de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.11.2 MB 17408 Espacio libre de la unidad de disco duro disponible para la base de datos de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.12.2 Segundos desde 01/01/1970 120793661 Hora actual del sistema del dispositivo Nitro IPS 1.3.6.1.4.1.23128.1.3.2.13.2 7.1.3 20070518091421a Información de versión y compilación de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.14.2 ABCD:1234 ID de equipo de Nitro IPS 00:00:00.0 (GMT) McAfee Enterprise Security Manager 9.5.0 Guía del producto 185 3 Configuración del ESM Configuración de los servicios auxiliares OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.2.15.2 Nitro IPS Número de modelo de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.16.2 Alertas por minuto 140 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 1.3.6.1.4.1.23128.1.3.2.17.2 Flujos por minuto 165 Tasa de flujos (por minuto) durante un mínimo de 10 minutos Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP, el ESM. Los números significan lo siguiente: • 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación de números de Internet (IANA). • 1.3.2: una solicitud de estado de Nitro IPS. • Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectos del estado de Nitro IPS. • El último número (2): la instancia concreta del OID, el ID de Nitro IPS. El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado. Las tablas siguientes muestran el significado de los OID del ESM y el receptor. Tabla 3-37 Estado de ESM OID de solicitud y respuesta Unidades 186 Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM 1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible 1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Total de espacio de la unidad de disco duro particionado para la base de datos de ESM 1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad de disco duro disponible para la base de datos de ESM 1.3.6.1.4.1.23128.1.3.1.6 Segundos desde 1283888714 01/01/1970 00:00:0.0 (GMT) Hora actual del sistema en el ESM 1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación del ESM 1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo del ESM 1.3.6.1.4.1.23128.1.3.1.9 ESM Número de modelo del ESM McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-38 Estado del receptor OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.3.1 Event Receiver Nombre del receptor 1.3.6.1.4.1.23128.1.3.3.2 2689599744 Identificador único del ESM para el receptor 1.3.6.1.4.1.23128.1.3.3.3 1 Indica que la comunicación con el receptor está disponible (1) o no está disponible (0) 1.3.6.1.4.1.23128.1.3.3.4 Correcto Indica el estado del receptor 1.3.6.1.4.1.23128.1.3.3.5 Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.3.6 MB 7155 Total de RAM 1.3.6.1.4.1.23128.1.3.3.7 MB 5619 RAM disponible 1.3.6.1.4.1.23128.1.3.3.8 MB 498688 Total de espacio de la unidad de disco duro particionado para la base de datos del receptor 1.3.6.1.4.1.23128.1.3.3.9 MB 472064 Espacio libre de la unidad de disco duro disponible para la base de datos del receptor 1.3.6.1.4.1.23128.1.3.3.10 Segundos desde 01/01/1970 00:00:0.0 (GMT) 1283889234 Hora actual del sistema en el receptor 1.3.6.1.4.1.23128.1.3.3.11 7.1.3 20070518091421a Versión y compilación del receptor 1.3.6.1.4.1.23128.1.3.3.12 5EEE:CCC6 ID de equipo del receptor 1.3.6.1.4.1.23128.1.3.3.13 Receiver Número de modelo del receptor 1.3.6.1.4.1.23128.1.3.3.14 Alertas por minuto 1 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 1.3.6.1.4.1.23128.1.3.3.15 Flujos por minuto 2 Tasa de flujos (por minuto) durante un mínimo de 10 minutos Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos podría tener un aspecto similar al siguiente: McAfee Enterprise Security Manager 9.5.0 Guía del producto 187 3 Configuración del ESM Configuración de los servicios auxiliares OID Valor Significado 1.3.6.1.4.1.23128.1.1.1 780 ID de alerta del ESM 1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo 1.3.6.1.4.1.23128.1.1.3 Interno Nombre de dispositivo 1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo 1.3.6.1.4.1.23128.1.1.5 10.0.0.69 IP de origen 1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen 1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen 1.3.6.1.4.1.23128.1.1.8 10.0.0.68 IP de destino 1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino 1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino 1.3.6.1.4.1.23128.1.1.11 17 Protocolo 1.3.6.1.4.1.23128.1.1.12 0 VLAN 1.3.6.1.4.1.23128.1.1.13 Dirección 188 1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos 1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez 1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez 1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos) 1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma 1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Descripción de firma 1.3.6.1.4.1.23128.1.1.20 5 Acción realizada 1.3.6.1.4.1.23128.1.1.21 1 Gravedad 1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos 1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado 1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen 1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino 1.3.6.1.4.1.23128.1.1.26 Aplicación 1.3.6.1.4.1.23128.1.1.27 Dominio 1.3.6.1.4.1.23128.1.1.28 Host 1.3.6.1.4.1.23128.1.1.29 Usuario (origen) 1.3.6.1.4.1.23128.1.1.30 Usuario (destino) 1.3.6.1.4.1.23128.1.1.31 Comando McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de la base de datos OID Valor Significado 1.3.6.1.4.1.23128.1.1.32 Objeto 1.3.6.1.4.1.23128.1.1.33 Número de secuencia 1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entorno de confianza o no fiable 1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta Los números significan lo siguiente: • 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA. • 1.1: una solicitud de estado de Nitro IPS. • El número final (1–35): para informar de las diversas características de la alerta. Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/ BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM. Administración de la base de datos El objetivo de la administración de la base de datos del ESM es proporcionar información y opciones de configuración a medida que se establecen las funciones en el sistema. Es posible administrar la configuración de indización de la base de datos, ver e imprimir información sobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones de almacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventos y flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos. Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento adicional para almacenamiento del sistema, de datos y de alto rendimiento. Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de realizar este proceso. Véase también Administración de la indización de acumulación en la página 192 Administración de la configuración de índice de la base de datos en la página 192 Configuración de límites de retención de datos en la página 191 Visualización de la utilización de memoria de la base de datos en la página 193 Configuración del almacenamiento de datos de ESM Existen tres tipos de almacenamiento externo que se pueden configurar para almacenar los datos de ESM: interfaz estándar de equipos pequeños de Internet (iSCSI), red de área de almacenamiento (SAN) y almacenamiento conectado directamente (DAS). Una vez conectados al ESM, es posible configurarlos para almacenar los datos procedentes del ESM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 189 3 Configuración del ESM Administración de la base de datos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Almacenamiento de datos. 2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada. 3 Haga clic en Cancelar para cerrar la página. Véase también Configuración de límites de retención de datos en la página 191 Configuración del almacenamiento de datos de máquina virtual de ESM Si su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtual en la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para el almacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual. Cada una de las listas desplegables de la página Asignación de datos incluye las unidades de almacenamiento disponibles que se montan en la máquina virtual. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Datos de máquina virtual. 2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es posible seleccionar una vez cada unidad. 3 Haga clic en Aceptar. Aumento del número de índices de acumulación disponibles Debido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a un campo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino, zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine que es absolutamente necesario. 190 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de la base de datos 3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar. Los índices estándar se muestran en el área Activado. 4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para moverlos al área Disponible. El número de la indicación restante(s), situada en la esquina superior derecha de la página, aumentará con cada índice estándar desactivado. Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado (véase Administración de la indización de acumulación). Configuración de un archivo de particiones inactivas ESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estar inactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particiones inactivas de forma que no se eliminen. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Archivado. 2 Rellene los campos, que variarán en función del tipo seleccionado. 3 Haga clic en Aceptar para guardar la configuración. A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en las fichas Particiones de eventos y Particiones de flujos. Configuración de límites de retención de datos Si cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidad de tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datos históricos insertados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Retención de datos. 2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea restringir los datos históricos. 3 Haga clic en Aceptar. Véase también Configuración del almacenamiento de datos de ESM en la página 189 Definición de los límites de asignación de datos El número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. La asignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registros deben incluirse en las búsquedas para optimizar las consultas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 191 3 Configuración del ESM Administración de la base de datos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Asignación de datos. 2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien haga clic en las flechas de los campos Eventos y Flujos. 3 Haga clic en Aceptar. Administración de la configuración de índice de la base de datos Es posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datos se almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de las consultas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Configuración. 2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que desee cambiar y seleccione una nueva configuración en la lista desplegable. 3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder seleccionar o agregar un nuevo valor de puerto. 4 Haga clic en Aceptar. Administración de la indización de acumulación Si cuenta con campos personalizados que extraen datos numéricos de un origen, la indización de acumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor de tendencia. Antes de empezar Configure un tipo personalizado de indización de acumulación (véase Creación de tipos personalizados). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. 3 Seleccione los índices y haga clic en Aceptar. Ahora ya es posible configurar una consulta acumulativa para ver los resultados. Véase también Administración de consultas en la página 279 Creación de tipos personalizados en la página 292 192 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Visualización de la utilización de memoria de la base de datos Es posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Uso de memoria. Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos. 2 Para imprimir los informes, haga clic en el icono Imprimir . Uso de usuarios y grupos Los usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, sus dispositivos, sus directivas y sus privilegios asociados. En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administrador de claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos de cuentas de usuario: Administrador del sistema y Usuario general. La página Usuarios y grupos tiene dos secciones: • Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada usuario y los grupos a los que pertenecen. • Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada uno. Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo. Privilegios de grupo Cuando se configura un grupo, se establecen los privilegios de sus miembros. Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema | Agregar grupo ), el acceso a estas funciones estará limitado. • Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas. • Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización. • ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni acceder a las propiedades de dispositivos ELM. • Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo electrónico. • Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica. • Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones. • Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas. • Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia. McAfee Enterprise Security Manager 9.5.0 Guía del producto 193 3 Configuración del ESM Uso de usuarios y grupos • Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory, Activos, Grupos de activos ni Etiquetas. • Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos. Adición de un usuario Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la configuración del usuario se puede editar o eliminar. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos. 2 Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar. 3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan. Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene privilegios de administrador, aparecerá un icono de monarca junto a su nombre. Selección de la configuración de usuario La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Verifique que esté seleccionada la opción Configuración de usuario. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. La consola cambiará de aspecto en función de la configuración establecida. Configuración de la seguridad Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar, establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC). 194 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP (solo disponible si se dispone de privilegios de administrador del sistema). Funciones de seguridad de ESM La familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en una red e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de forma predeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS. La comunicación con Nitro IPS se lleva a cabo mediante la tecnología Secure Encrypted Management (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en banda que mitiga el riesgo de ataques de reproducción o de intermediario. Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM autorizado. No inicializa la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM también se envía a través de AES. El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de hardware como de software, para garantizar que los dispositivos se administren únicamente desde un ESM debidamente autorizado. Definición de la configuración de inicio de sesión estándar Es posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante la definición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo de tiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con las contraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Defina las opciones en la ficha Estándar. 3 Haga clic en Aceptar o en Aplicar. Definición de la configuración de contraseña de inicio de sesión Existen varias opciones de configuración que se pueden definir en relación con la contraseña de inicio de sesión del sistema. Antes de empezar Debe tener derechos de administrador del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar. Configuración de las opciones de autenticación RADIUS Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 195 3 Configuración del ESM Uso de usuarios y grupos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor secundario es opcional. 3 Haga clic en Aceptar o en Aplicar. Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante RADIUS no pueden acceder a ESM. Configuración de la lista de control de acceso Es posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen el acceso bloqueado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista. 3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso. Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL. Configuración de CAC Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar de introduciendo un nombre de usuario y una contraseña. Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico de datos (EDI-PI) asociado con las CAC. Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar manualmente un archivo .zip con archivos CRL. ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su descarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de su organización. Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los inicios de sesión mediante CAC también lo estarán. 196 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Uso de usuarios y grupos 3 Configuración del inicio de sesión mediante CAC A fin de configurar el inicio de sesión CAC, es necesario activar la función de inicio de sesión mediante CAC, cargar la cadena de certificados raíz de la CA y activar un usuario CAC mediante el establecimiento del EDI-PI de diez dígitos del titular de la tarjeta como nombre de usuario. Una vez hecho esto, el titular de la tarjeta puede acceder al ESM mediante un navegador compatible con CAC sin tener que introducir un nombre de usuario y una contraseña. ESM es compatible con el lector de tarjetas Gemalto. Llame al Soporte de McAfee si necesita ayuda con su lector de tarjetas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC. 2 Introduzca la información y realice las selecciones solicitadas; a continuación, haga clic en Aceptar. 3 Active cada uno de los usuarios CAC. a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema. b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. c Sustituya el nombre del campo Nombre de usuario por el EDI-PI de diez dígitos. d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar. Configuración de las opciones de autenticación de Active Directory Es posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se autentican a través de Active Directory. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante Active Directory no pueden acceder al sistema. Antes de empezar • Configure un Active Directory al que se pueda acceder desde ESM. • Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos y agregar un grupo con el nombre "Usuarios de McAfee". Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory. 3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión. 4 Haga clic en Aceptar en la página Conexión de Active Directory. McAfee Enterprise Security Manager 9.5.0 Guía del producto 197 3 Configuración del ESM Uso de usuarios y grupos Configuración de credenciales para McAfee ePO Es posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales de usuario. Antes de empezar El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de usuario global (véase Configuración de la autenticación de usuarios global). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione Credenciales de ePO. 2 Haga clic en el dispositivo y, después, en Editar. Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo (véase Cambio de la conexión con ESM). 3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar. Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña agregados. Desactivación o reactivación de usuarios Si un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido en Seguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función si es necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos. 2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. 3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar. El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta. Autenticación de usuarios mediante un servidor LDAP Es posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 198 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha LDAP. 3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Uso de usuarios y grupos 3 Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la autenticación LDAP no pueden acceder al sistema. Configuración de grupos de usuarios Los grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega un grupo, se le deben asignar dispositivos, directivas y privilegios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Usuarios y grupos | Agregar. 2 Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar. El grupo se agregará a la tabla Grupos de la página Usuarios y grupos. Adición de un grupo con acceso limitado Para restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichos usuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas de vigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán desactivadas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema. 3 Siga uno de estos procedimientos: 4 • Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar. • Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la descripción y, a continuación, seleccione los usuarios. . Haga clic en Privilegios y seleccione Limitar el acceso de este grupo. Casi todos los privilegios están desactivados. 5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes. 6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 199 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Copia de seguridad y restauración de la configuración del sistema Guarde las opciones de configuración actuales del sistema de forma automática o manual de manera que se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer y guardar la configuración actual en un ESM redundante. Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las correspondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega un dispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente se guardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan los datos a partir del momento de la última copia de seguridad. Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del ESM local. Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM, un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente. Copias de seguridad de la configuración y los datos de sistema de ESM Existen varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible tanto desactivar esta opción como realizar cambios en la configuración predeterminada. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Copia de seguridad y restauración. 2 Defina la configuración de cualquiera de estos elementos: 3 • Copia de seguridad automática • Copia de seguridad manual • ESM redundante • Restauración del sistema a una copia de seguridad anterior Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración. Véase también Restauración de la configuración de ESM en la página 201 Uso de los archivos de copia de seguridad en ESM en la página 201 200 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Restauración de la configuración de ESM En caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anterior mediante la selección de un archivo de copia de seguridad. Procedimiento Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de partición inactiva (véase Configuración de límites de retención de datos). Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad. 2 Seleccione el tipo de restauración que desee realizar. 3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y, después, haga clic en Aceptar. La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo. Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se abre la página Inicio de sesión. Véase también Configuración de límites de retención de datos en la página 191 Restauración de archivos de configuración con copias de seguridad Es posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de seguridad creadas en el ESM para cada dispositivo. Antes de empezar Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de seguridad de la configuración y los datos de sistema de ESM). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de Propiedades 2 . Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y, finalmente, haga clic en Sí en la página de confirmación. Uso de los archivos de copia de seguridad en ESM Los archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar. También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad. McAfee Enterprise Security Manager 9.5.0 Guía del producto 201 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad. 3 Seleccione la acción que desee realizar. 4 Haga clic en Aceptar. Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 200 Administración del mantenimiento de archivos El ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas y registros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de software, Archivos de registro de alarmas o Archivos de registros de informes. 3 Seleccione los archivos y haga clic en una de las opciones disponibles. 4 Haga clic en Aplicar o en Aceptar. Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 200 ESM redundante La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función solo está disponible para los usuarios con privilegios de administrador del sistema. Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM redundante, es necesario definir la configuración del dispositivo redundante, que recibe la configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El ESM redundante se debe configurar antes de conectarlo al ESM principal. La función de ESM redundante no está disponible en los dispositivos combinados ESMREC. Configuración de ESM redundantes Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno de los ESM de forma que se comuniquen entre ellos. 202 McAfee Enterprise Security Manager 9.5.0 Guía del producto Configuración del ESM Copia de seguridad y restauración de la configuración del sistema 3 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia. 2 En el campo Tipo de ESM, asegúrese de seleccionar Principal. 3 Introduzca la información del ESM principal y, después, seleccione o agregue ESM redundantes. Puede agregar un máximo de cinco ESM redundantes. 4 Seleccione el botón de opción Redundante y, después, escriba la dirección IP del ESM principal y seleccione el puerto SSH. 5 Haga clic en Aceptar. Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan la conexión con el ESM. 6 Haga clic en Sí para continuar con la sincronización. Sustitución de un ESM redundante Si un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo. Antes de empezar Agregue el nuevo ESM redundante al sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva dirección IP redundante en el campo Dirección IP de ESM redundante. 3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta. 4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos dispositivos. 5 Seleccione Sincronizar todo el ESM y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 203 3 Configuración del ESM Administración de ESM Administración de ESM Existen varias operaciones que se pueden realizar para administrar el software, los registros, los certificados, los archivos de funciones y las claves de comunicación de ESM. Ficha Opción Definición Configuración Administrar registros Configurar los tipos de eventos que se almacenan en el registro de eventos. Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos ESM jerárquicos. Camuflaje Definir la configuración global para enmascarar ciertos datos en cualquier registro de alerta enviado mediante el reenvío de eventos o enviado a un ESM principal. Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos se pueden usar con fines de auditoría. Configuración regional del sistema Seleccionar el idioma del sistema que se usará para registrar eventos, como en el caso del registro de dispositivos y el monitor de estado. Asignación de nombre Permite anular la selección de los puertos y los protocolos de forma que muestren números sin procesar en lugar de nombres. Por ejemplo, si se anula la selección de Puerto de origen o Puerto de destino, http:80 se mostrará como 80. Si se selecciona Protocolos, el número sin procesar 17 aparecerá como udp. Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL). Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Exportar todas las claves Exportar las claves de comunicación de todos los dispositivos del sistema en lugar de tener que exportarlas una a una. Restaurar todas las claves Restaurar las claves de comunicación de todos los dispositivos o los dispositivos seleccionados que se exportaron mediante la función Exportar todas las claves. Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las reglas de McAfee o a través de un ingeniero de seguridad de McAfee. Datos de ESM Permite descargar un archivo .tgz que contiene información sobre el estado del ESM. Este estado puede ayudar al Soporte de McAfee a solucionar problemas y corregir errores. Administrador de tareas Ver las consultas en ejecución en el ESM y detenerlas, si procede. Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Reiniciar Detener y reiniciar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Administración de claves Mantenimiento 204 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de ESM Ficha Opción Terminal Definición Esta función está destinada únicamente a usuarios avanzados. Introducir comandos de Linux en el ESM. El terminal es solo un emulador parcial del modo por lotes, por lo que no están disponibles todos los comandos. • El terminal no mantiene un directorio de trabajo actual. • No se puede utilizar cd para ir a otro directorio. • Se deben emplear los nombres de rutas completos. • Los operadores > y >> no funcionan; todos los resultados se muestran en pantalla. Obtener funciones Si ha adquirido funciones adicionales, actívelas en el ESM mediante la descarga de un archivo cifrado que contiene información sobre las funciones que admite el ESM. Establecer funciones Instalar el archivo descargado mediante Obtener funciones. Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistema cuando solicita ayuda. Esta opción no es conforme a FIPS, así que no está disponible cuando se emplea el modo FIPS. Ver estadísticas Permite acceder a la información siguiente sobre cualquier dispositivo ESM: • Estadísticas de utilización de memoria y espacio de intercambio • Uso de la CPU • Actividad de conmutación del sistema • Estadísticas de velocidad de transferencia y entrada/salida • Promedios de longitud de cola y carga Véase también Acceso a un dispositivo remoto en la página 209 Regeneración de una clave SSH en la página 208 Administración de destinatarios en la página 173 Tipos de eventos en la página 206 Administración de registros en la página 205 Instalación de un nuevo certificado en la página 181 Configuración del registro de ESM en la página 207 Enmascaramiento de direcciones IP en la página 206 Exportación y restauración de claves de comunicación en la página 207 Comandos de Linux disponibles en la página 210 Utilización de comandos de Linux en la página 210 Administración de registros Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea guardar en el registro de eventos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 205 3 Configuración del ESM Administración de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar. 3 Haga clic en Aceptar. Tipos de eventos Estos son los tipos de registros de eventos generados en el ESM. Tipo de evento Eventos registrados Autenticación Inicio de sesión, cierre de sesión y cambios de cuentas de usuario. Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre debe establecerse con el valor Ninguno. Copia de seguridad Proceso de copia de seguridad de la base de datos. Lista negra Envío de entradas de lista negra al dispositivo. Dispositivo Cualquier cambio de dispositivo o de comunicación, como obtención de eventos, flujos y registros. Reenvío de eventos Cambios o errores de reenvío de eventos. Monitor de estado Eventos de estado de dispositivo. Notificaciones Cambios o errores de notificación. Directiva Administración y aplicación de directivas. Servidor de reglas Descarga y validación de reglas descargadas del servidor de reglas. En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas. Sistema Cambios de configuración del sistema y registro de reinicio de tablas. Vistas Cambios en vistas y consultas. Enmascaramiento de direcciones IP Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el reenvío de eventos a un ESM principal. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Administración de ESM | Jerarquía de ESM. 2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos. Se abrirá la página Selección de campos de ocultación. 206 3 Seleccione los campos que desee enmascarar. 4 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de ESM Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario, los datos seleccionados se ocultarán. Configuración del registro de ESM Si tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventos internos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registro predeterminado. Antes de empezar Agregue un dispositivo ELM al sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Configuración, haga clic en Registro. 3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar. Cambio de idioma de los registros de eventos Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM. 2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar. Exportación y restauración de claves de comunicación Es posible exportar las claves de comunicación de todos los dispositivos del sistema a un único archivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si es necesario. • En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; a continuación, haga clic en la ficha Administración de claves. McAfee Enterprise Security Manager 9.5.0 Guía del producto 207 3 Configuración del ESM Administración de ESM Para... Haga esto... Exportar todas las claves de comunicación 1 Haga clic en Exportar todas las claves. 2 Establezca la contraseña del archivo de claves y haga clic en Aceptar. 3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar. Restaurar todas las claves de comunicación 1 Haga clic en Restaurar todas las claves. 2 Localice el archivo creado al exportar las claves y haga clic en Abrir. 3 Haga clic en Cargar e introduzca la contraseña establecida. 4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar. Regeneración de una clave SSH Es posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Administración de claves, haga clic en Regenerar SSH. Se le advertirá de que la nueva clave sustituirá a la anterior. 3 Haga clic en Sí. Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos administrados por el ESM. Administrador de tareas de consultas Si cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, que muestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultas concretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen más probabilidades de afectar al rendimiento. La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrar consultas. Utilice esta función con la ayuda del Soporte de McAfee. Entre las características del administrador de tareas se encuentran: 208 • Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación, alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema. • Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta. • De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los detalles. Si la consulta se completa, deja de aparecer en la lista. • Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar lista automáticamente. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Administración de ESM • Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la selección de Ocultar tareas del sistema. • Las columnas de la tabla se pueden ordenar. • Es posible seleccionar y copiar los datos del área Detalles de consulta. • Si una consulta se puede cerrar, aparece un icono de eliminación clic en él, se solicita confirmación mediante un cuadro de diálogo. en la última columna. Al hacer Administración de consultas en ejecución en ESM El Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible ver su estado y eliminarlas si afectan al rendimiento del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de tareas. 3 Revise la lista de consultas en ejecución y realice las acciones necesarias. . Actualización de un ESM principal o redundante Si va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitar perder los datos de eventos, flujos y registros. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Desactive la recopilación de alertas, flujos y registros. a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos y registros. b Anule la selección de Intervalo de comprobación automática. 2 Actualice el ESM principal. 3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que procesar. 4 Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobación automática una vez más. Si la actualización falla, véase Ampliación a ESM 9.3. Acceso a un dispositivo remoto Si un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutar comandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 209 3 Configuración del ESM Administración de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal en curso. 5 Haga clic en Cerrar. Véase también Comandos de Linux disponibles en la página 210 Utilización de comandos de Linux Es posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función está destinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después, haga clic en Aceptar. 3 Escriba los comandos Linux (véase Comandos de Linux disponibles). 4 Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario. 5 (Opcional) Haga clic en Exportar para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página de terminal durante la sesión en curso. Comandos de Linux disponibles Estos son los comandos disponibles en la página Terminal. comandos de la página Terminal 210 • getstatsdata • echo • ps • date • grep • ethtool McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Uso de una lista negra global • ifconfig • df • kill • tar • sensors • netstat • service • sar • cat • tail • rm • locate • iptables • tcpdump -c -w • updatedb • ip6tables • cp Estos son los comandos disponibles que se modifican antes de la ejecución. Este comando... Cambia a... II ll--classify ping ping -c 1 ls ls--classify top top -b -n 1 ping6 ping6 -c 1 Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos, consulte http://www.linuxmanpages.com. Uso de una lista negra global Una lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS o virtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivos Nitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicable a todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de lista negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de Nitro IPS. Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está desactivada en todos los dispositivos hasta que se activa. McAfee Enterprise Security Manager 9.5.0 Guía del producto 211 3 Configuración del ESM Qué es el enriquecimiento de datos La página Editor de la lista negra global incluye tres fichas: • Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. • Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. • Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. A la hora de agregar entradas: • La opción Agregar se activa cuando se cambia la dirección IP o el puerto. • Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. • Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. • Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP y se rellenará el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No confíe en esta herramienta para garantizar el bloqueo de algunos sitios web. Establecimiento de una lista negra global Se puede establecer una lista negra global común para todos los dispositivos seleccionados, de forma que no sea necesario introducir la misma información en varios dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la lista negra. 3 Seleccione los dispositivos que deben usar la lista negra global. 4 Haga clic en Aplicar o en Aceptar. Qué es el enriquecimiento de datos Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con contexto no presente en el evento original (como, por ejemplo, una dirección de correo electrónico, un 212 McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Qué es el enriquecimiento de datos número de teléfono o información sobre la ubicación del host). Estos datos enriquecidos pasan a formar parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos originales. Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos, tanto para eventos como para flujos. También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la página Enriquecimiento de datos. Para ello, seleccione el origen y haga clic en Editar, Quitar o Ejecutar ahora. Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM, no en los dispositivos. Existe un conector para el origen de datos relacionales de Hadoop HBase mediante el uso de los pares de clave-valor del origen de enriquecimiento. La asignación de identidad de HBase se puede extraer a un receptor de forma regular para enriquecer los eventos. Adición de orígenes de enriquecimiento de datos Agregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Enriquecimiento de datos | Agregar. Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de enriquecimiento seleccionado. 2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente. 3 Haga clic en Finalizar y, después, en Escribir. 4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga clic en Aceptar. Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO ™ Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos, es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal. 3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic en la ficha Consulta. 4 Agregue la información solicitada y haga clic en Prueba. Si la consulta no genera la información que necesita, realice ajustes en la configuración. McAfee Enterprise Security Manager 9.5.0 Guía del producto 213 3 Configuración del ESM Qué es el enriquecimiento de datos Adición de un origen de enriquecimiento de datos de Hadoop HBase Es posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los eventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de datos. 2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga clic en la ficha Origen. 3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el puerto y el nombre de la tabla. 4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta: a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna. b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Por ejemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dXNlcm5hbWU=", "latestVersion": true, "comparator": { "type": "BinaryComparator", "value": "c2NhcGVnb2F0" } } </filter> </Scanner> 5 Complete la información de las fichas Calificación y Destino. Adición de un origen de enriquecimiento de datos de Hadoop Pig Es posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop Pig. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 214 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 3 Configuración del ESM Qué es el enriquecimiento de datos 3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de Jobtracker y Puerto de Jobtracker. La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se utilizan el host y el puerto de Namenode de forma predeterminada. 4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente: a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, / user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla HCatalog (por ejemplo, sample_07). b En Columnas, indique cómo enriquecer los datos de columna. Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el siguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog. c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase la documentación de Apache Pig. d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos de columnas. Se requiere información en los campos Origen y Columna. El resto de campos pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de grupos. 5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig. 6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna única. 7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento. Adición de enriquecimiento de datos de Active Directory para nombres de usuario Es posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombres de pantalla de usuario completos. Antes de empezar Verifique que dispone del privilegio Administración del sistema. Para ver las definiciones de las opciones, haga clic en ? en la interfaz. Procedimiento 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. 3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formato Nombre_Completo_De_ID_Usuario. 4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena. 5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice con una frecuencia mayor. McAfee Enterprise Security Manager 9.5.0 Guía del producto 215 3 Configuración del ESM Qué es el enriquecimiento de datos 6 7 8 Haga clic en Siguiente o en la ficha Origen. a En el campo Tipo, seleccione LDAP. b Rellene la dirección IP, el nombre de usuario y la contraseña. Haga clic en Siguiente o en la ficha Consulta. a En el campo Atributo de búsqueda, introduzca sAMAccountName. b En el campo Atributo de enriquecimiento, introduzca displayName. c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de Active Directory clasificados como personas. d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del número de entradas reales. Haga clic en Siguiente o en la ficha Destino. a Haga clic en Agregar. b Seleccione su origen de datos de Microsoft Windows. c En Campo de búsqueda, seleccione el campo Usuario de origen. Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda. d 9 Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formato User_Nickname o Contact_Name. Haga clic en Finalizar para guardar los cambios. 10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de activación diaria. El Nombre completo se escribe en el campo Contact_Name. 216 McAfee Enterprise Security Manager 9.5.0 Guía del producto 4 Administración de Cyber Threat McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con rapidez a la actividad de IOC relacionada en su entorno. La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su entorno. Contenido Configuración de la administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat Configuración de la administración de Cyber Threat Configure las fuentes para recuperar indicadores de compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar listas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC relacionada en su entorno. Antes de empezar Verifique que dispone de los permisos siguientes. • Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber Threat. • Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar. 3 En la ficha Principal, introduzca el nombre de la fuente. 4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en Conectar para probar la conexión. Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat Information Exchange (TAXII). McAfee Enterprise Security Manager 9.5.0 Guía del producto 217 4 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada hora, cada semana y cada mes. Especifique la hora de activación diaria. 6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o campo admitidos. Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia. 7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente. a Elija si desea analizar los eventos, los flujos o ambos. b Indique la antigüedad (en días) para analizar los eventos y los flujos. c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de datos. d En el caso de las alarmas, seleccione un usuario asignado y una gravedad. 8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente. 9 Haga clic en Finalizar. Véase también Visualización de resultados de fuentes de Cyber Threat en la página 218 Visualización de resultados de fuentes de Cyber Threat Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos identificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez a información detallada sobre las amenazas, las descripciones de los archivos y los eventos correspondientes a cada origen de indicadores. Antes de empezar Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de las fuentes de Cyber Threat de su organización. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 218 1 En la consola de ESM, en Resumen predeterminado, seleccione Vistas de flujo de trabajo de evento | Indicadores de Cyber Threat. 2 Elija el periodo de tiempo para la vista. 3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles. 4 Lleve a cabo cualquier acción de vista estándar, tales como: • Crear una lista de vigilancia o anexar datos a una existente. • Crear una alarma. • Ejecutar un comando remoto. • Crear un caso. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 5 • Buscar o repetir la última búsqueda. • Exportar el indicador a un archivo CSV o HTML. 4 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos de origen y Flujos de origen. Véase también Configuración de la administración de Cyber Threat en la página 217 McAfee Enterprise Security Manager 9.5.0 Guía del producto 219 4 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 220 McAfee Enterprise Security Manager 9.5.0 Guía del producto 5 Uso de paquetes de contenido Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero. Importación de paquetes de contenido McAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación, alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malware específica. Antes de empezar Verifique que dispone de los permisos siguientes. • Administración del sistema • Administración de usuarios Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Comprobación de la existencia de actualizaciones de reglas en la página 23 Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de contenido individuales de forma manual desde el sitio donde se alojan las reglas. 2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 3 Haga clic en Paquetes de contenido. 4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar. Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetes de contenido nuevos o actualizados. a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar. b Haga clic en Cargar. Aparecerá un mensaje que indica el estado de la importación. McAfee Enterprise Security Manager 9.5.0 Guía del producto 221 5 Uso de paquetes de contenido Importación de paquetes de contenido 5 c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye. d Seleccione el paquete de su elección y, después, instale ese paquete de contenido. A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Actualizar o Desinstalar. Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente ha personalizado algún elemento del paquete de contenido, la actualización podría sobrescribir los elementos personalizados. 6 222 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Desinstalar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Contenido Funcionamiento de las alarmas en ESM Creación de una alarma Activación o desactivación de la supervisión de alarmas Resumen personalizado para alarmas activadas y casos Administración de las plantillas de mensajes de alarma Administración de archivos de audio para las alarmas Administración de los destinatarios de alarmas Administración de alarmas Funcionamiento de las alarmas en ESM El sistema se puede configurar de forma que proporcione alarmas en tiempo real. Cuando se activa una alarma, se agrega automáticamente al registro de Alarmas, situado debajo del árbol de navegación del sistema, así como a la vista Alarmas activadas. También se puede configurar una acción de alarma para: • Registrar un evento en el ESM • Proporcionar una alerta visual y sonora • Crear un caso para una persona o un grupo concretos • Ejecutar un script • Actualizar una lista de vigilancia • Enviar un evento a Remedy • Enviar un mensaje SMS o de correo electrónico El panel de registro de Alarmas muestra el número total de alarmas actuales clasificadas por gravedad: Símbolo Gravedad Intervalo Alta 66–100 Media 33–65 Baja 1–32 Tras agregar una alarma, esta empieza a activarse cuando se cumplen las condiciones. Si se establece la Frecuencia máxima de activación de condición en 15 minutos, la primera alarma se activa cuando se produce el número de eventos especificado en el campo Recuento de eventos en un periodo de 15 minutos. Los eventos que se produzcan durante los primeros 15 minutos no activarán la alarma. McAfee Enterprise Security Manager 9.5.0 Guía del producto 223 6 Uso de las alarmas Creación de una alarma Es posible confirmar, eliminar y ver los detalles de cualquiera de las alarmas activadas. Cuando se confirma una alarma activada, deja de aparecer en el registro de Alarmas pero sigue apareciendo en la vista Alarmas activadas. Cuando se elimina una alarma, se borra tanto del registro de Alarmas como de la vista Alarmas activadas. Si se selecciona la acción Alerta visual en la página Configuración de alarma, la alarma visual se cierra transcurridos 30 segundos en caso de que no se haya cerrado, confirmado o eliminado. La alerta sonora seleccionada se reproduce hasta que la alerta visual se cierra, confirma o elimina, a menos que se haga clic en el icono de audio, lo cual permite detener la alerta de audio. Se puede seleccionar si el panel de registro de Alarmas debe aparecer o no en la página Opciones (véase Selección de la configuración de usuario). Véase también Selección de la configuración de usuario en la página 29 Creación de una alarma Es posible agregar una alarma para que se active cuando se cumplan las condiciones que se definan. Antes de empezar Es necesario disponer de derechos de administrador o pertenecer a un grupo de acceso con el privilegio Administración de alarmas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Alarmas | Agregar. 2 Rellene la información de las fichas Resumen, Condición, Acciones y Escalación. Véase Alarmas UCAPL para obtener una lista y la descripción de las alarmas, la cual le ayudará a satisfacer los requisitos de UCAPL. 3 Haga clic en Finalizar. La alarma se agregará a la lista de la página Alarmas y se activará cuando se cumplan las condiciones correspondientes. 224 McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma Procedimientos • Configuración de una alarma de correlación para la inclusión de eventos de origen en la página 227 Si agrega etiquetas a una alarma de Coincidencia de evento interno que emplee un evento de correlación como coincidencia, la información de los eventos de origen se incluirá en los resultados. • Adición de una alarma de Coincidencia de campo en la página 228 Una alarma de Coincidencia de campo puede coincidir con varios campos de un evento, y se activa en cuanto el dispositivo recibe y analiza el evento. • Adición de una alarma a las reglas en la página 228 Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. • Creación de una captura SNMP a modo de acción en una alarma en la página 183 Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. • Adición de una alarma de notificación sobre fallos de alimentación en la página 184 Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. • Adición de una alarma de evento del monitor de estado en la página 230 Las reglas del monitor de estado generan eventos que aparecen debajo de un dispositivo de base en el árbol de navegación del sistema. • Cómo copiar una alarma en la página 240 Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. Alarmas UCAPL Es posible agregar diversos tipos de alarmas para satisfacer los requisitos de UCAPL (del inglés Unified Capabilities Approved Products List, lista de productos aprobados con capacidades unificadas). Véase Creación de una alarma a fin de configurar las opciones de alarma generales y, después, siga los pasos incluidos en esta tabla. Tipo de alarma Descripción Umbral ajustable de errores de inicio de sesión alcanzado Para activar una alarma cuando se alcance un umbral ajustable relativo al número de errores de inicio de sesión para un mismo usuario, cree una alarma de tipo Coincidencia de evento interno que coincida con el campo ID de firma y, después, indique el valor 306-36. Umbral de Para activar una alarma cuando se bloquee una cuenta de usuario porque se inactividad alcanzado alcanza el umbral de inactividad, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor 306-35. Número de sesiones Para activar una alarma si un usuario intenta iniciar sesión en el sistema simultáneas después de alcanzar el número máximo de sesiones simultáneas, cree una permitidas alcanzado alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor 306-37. Error en la Para activar una alarma en caso de que falle la comprobación de integridad de comprobación de un archivo del sistema, cree una alarma de tipo Coincidencia de evento interno que integridad de archivo coincida con ID de firma y, después, indique el valor 306-50085. del sistema McAfee Enterprise Security Manager 9.5.0 Guía del producto 225 6 Uso de las alarmas Creación de una alarma Tipo de alarma Descripción Certificados a punto de caducar Para activar una alarma cuando los certificados CAC o de servidor web estén a punto de caducar, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor 306-50081, 306-50082, 306-50083, 306-50084. La alarma se activará 60 días antes de la fecha de caducidad y, después, una vez a la semana. El número de días no se puede configurar en este momento. Envío de captura SNMP cuando el estado del sistema no sea aprobado Para configurar una captura SNMP a modo de acción de alarma a fin de que se envíe una captura al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro, haga lo siguiente: 1 Cree una alarma que coincida con cualquier condición y, después, acceda a la ficha Acciones y seleccione Enviar mensaje. 2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. Envío de mensaje de Syslog cuando el estado del sistema no es aprobado Para configurar un mensaje de Syslog a modo de acción de alarma a fin de que se envíe un mensaje de Syslog al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro, haga lo siguiente: 1 Cree una alarma que coincida con cualquier condición, acceda a la ficha Acciones y seleccione Enviar mensaje. 2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. El registro de seguridad no registra los eventos necesarios Para configurar el envío de una captura SNMP a modo de notificación a un centro de operaciones de red (NOC) apropiado en un plazo de 30 segundos si un registro de seguridad no está registrando los eventos necesarios, haga lo siguiente: 1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o, en el dispositivo, a Propiedades | Configuración | SNMP. 2 Seleccione la captura de error del registro de seguridad, configure uno o varios perfiles para el envío de capturas y haga clic en Aplicar. Se enviarán las capturas SNMP al destinatario del perfil SNMP con el mensaje "Error al escribir en el registro de seguridad". 226 McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma Tipo de alarma Descripción Inicio o fin de funciones de auditoría Para configurar el envío de una captura SNMP cuando las funciones de auditoría (como las de base de datos, cpservice o IPSDBServer) se inicien o se detengan, acceda a Capturas SNMP o Configuración SNMP (véase el elemento anterior) y seleccione Capturas de base de datos activa/inactiva. Configure uno o varios perfiles para el envío de las capturas y haga clic en Aplicar. Existencia de una sesión por cada función administrativa Para activar una alarma cuando exista una sesión administrativa por cada una de las funciones administrativas definidas, cree una alarma de Coincidencia de evento interno para que coincida con el campo ID de firma y, después, introduzca los valores 306-38 para el administrador de auditoría, 306-39 para el administrador de cifrado y 306-40 para el usuario avanzado. También es posible configurar alarmas independientes. Véase también Creación de una alarma en la página 224 Configuración de una alarma de correlación para la inclusión de eventos de origen Si agrega etiquetas a una alarma de Coincidencia de evento interno que emplee un evento de correlación como coincidencia, la información de los eventos de origen se incluirá en los resultados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 Haga clic en Alarmas, después en la ficha Configuración y, finalmente, en Plantillas. 3 En la página Administración de plantillas, haga clic en Agregar y rellene la información solicitada. 4 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el icono Insertar campo 5 y seleccione Bloque de eventos de origen. Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después, seleccione la información que desee incluir cuando se active la alarma de correlación. El campo del cuerpo del mensaje tiene un aspecto similar al ejemplo siguiente si se incluyen la IP de origen, la IP de destino y la gravedad del evento en el mensaje: Alarma: [$Nombre de alarma] Usuario asignado: [$Usuario asignado de alarma] Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma] [$SOURCE_EVENTS_START] IP de origen: [$IP de origen] IP de destino: [$IP de destino] Gravedad: [$Promedio de gravedad] [$SOURCE_EVENTS_END] Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 227 6 Uso de las alarmas Creación de una alarma Adición de una alarma de Coincidencia de campo Una alarma de Coincidencia de campo puede coincidir con varios campos de un evento, y se activa en cuanto el dispositivo recibe y analiza el evento. La condición de alarma antes llamada Coincidencia de campo ahora se denomina Coincidencia de evento interno. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades después, haga clic en Alarmas. 2 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma. y, a Arrastre y suelte el icono AND o el icono OR (véase Elementos lógicos en la Guía del producto) a fin de configurar la lógica de la condición de alarma. b Arrastre y suelte el icono Coincidir componente en un elemento lógico y, después, rellene la página Agregar campo de filtro. c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador contiene el primer evento de origen que coincide con la condición de activación, pero no los eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia de activación máxima. Si se establece en cero, todos los eventos generan una alarma. 4 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local, combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM). 5 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración y, después, haga clic en Finalizar. La alarma se escribirá en el dispositivo. Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al dispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas. Adición de una alarma a las reglas Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 228 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas barra de herramientas de acciones. situado en la Seleccione el tipo de regla en el panel Tipos de regla. McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma 3 4 5 Seleccione una o varias reglas en el área de visualización de reglas. Haga clic en el icono Alarmas . Defina la configuración de la alarma. Véase también Creación de una alarma en la página 224 Creación de una captura SNMP a modo de acción en una alarma Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. Antes de empezar Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP). Para ver las definiciones de las opciones, haga clic en ? en la interfaz. Procedimiento 1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 3 b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil. c Rellene los campos restantes y haga clic en Aplicar. Configure SNMP en el ESM. a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregado en el Paso 1. c Haga clic en Aplicar. Defina una alarma con Captura SNMP como acción. a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar. b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones. c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los mensajes SNMP. d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y, después, en Agregar. e Seleccione una plantilla existente o haga clic en Agregar para definir una plantilla nueva. f Vuelva a la página Configuración de alarma y continúe con la configuración. McAfee Enterprise Security Manager 9.5.0 Guía del producto 229 6 Uso de las alarmas Creación de una alarma Adición de una alarma de notificación sobre fallos de alimentación Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Antes de empezar Configure una captura SNMP de tipo Error de hardware general (véase Configuración de una captura SNMP para la notificación de fallos de alimentación). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Alarmas y después en Agregar, agregue los datos requeridos en la ficha Resumen y, a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de evento interno. 4 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es). 5 Rellene la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar. . Se activará una alarma cuando falle una fuente de alimentación. Adición de una alarma de evento del monitor de estado Las reglas del monitor de estado generan eventos que aparecen debajo de un dispositivo de base en el árbol de navegación del sistema. Los ID de firma de los eventos del monitor de estado se pueden usar en el campo Valores de una alarma de tipo Coincidencia de evento interno a fin de generar una alarma basada en los eventos del monitor de estado. El informe Resumen de eventos de monitor de estado se genera entonces como acción de la alarma. Para ver las definiciones de las opciones, haga clic en ? en la interfaz. • 230 Existen un par de maneras de configurar una alarma de evento del monitor de estado. McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma Para configurar una alarma... Haga esto... Antes de que se genere un evento del monitor de estado 1 Siga el proceso para crear una alarma (véase Creación de una alarma). 2 En el árbol de navegación del sistema, haga clic en Condición y después seleccione el tipo Coincidencia de evento interno. 3 En la línea Campo, seleccione ID de firma. 4 En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado (véase ID de firma del monitor de estado). 5 Rellene la información restante tal y como se indica en Creación de una alarma. Si ya existe un 1 En el árbol de navegación del sistema, haga clic en el dispositivo de base evento del del sistema y seleccione una vista que muestre el monitor de estado evento del monitor de estado (Análisis de eventos o Resumen predeterminado). 2 Haga clic en el evento y, después, haga clic en el icono Menú . 3 Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma. 4 Rellene el resto de opciones de configuración de la alarma. Véase también Creación de una alarma en la página 224 ID de firma del monitor de estado En esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivo y gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificación cuando se genere un evento de regla del monitor de estado. Nombre de regla ID de firma Descripción Se ha realizado o eliminado una conexión de interfaz de red física 306-50080 Se ha producido un error de RAID Dispositivo Gravedad Modificación de la Monitor de configuración de interfaz software de red mediante una sesión SSH. ESM Media 306-50054 Detección de errores de RAID. Monitor de hardware Todos Alta Cuenta desactivada debido a la inactividad 306-35 La cuenta de usuario se ha desactivado debido a la inactividad. Monitor de software ESM Media Cuenta desactivada debido al máximo de fallos de inicio de sesión 306-36 La cuenta de usuario se ha desactivado porque se ha alcanzado el máximo de fallos de inicio de sesión. Monitor de software ESM Alta Agregar/Editar comando remoto 306-60 Adición o eliminación de un comando remoto de alarma. Monitor de software ESM Baja Alerta de cambio de estado del recopilador del analizador de syslog avanzado 306-50029 El analizador de ASP se ha detenido o iniciado. Monitor de software Receptor Media McAfee Enterprise Security Manager 9.5.0 Tipo Guía del producto 231 6 Uso de las alarmas Creación de una alarma Nombre de regla 232 ID de firma Descripción Tipo Dispositivo Gravedad Proceso de destilador 306-50066 de APM El motor de extracción de texto PDF/DOC de ADM se ha detenido o iniciado. Monitor de software APM Media Discrepancia con configuración aprobada 146-7 Cambio de dispositivo de Monitor de descubrimiento de red software aprobado. ESM Baja Cambio de configuración de archivado 306-3 Cambio de la configuración de archivado de ESM. Monitor de software ESM Baja Alerta de cambio de estado del proceso de archivado 306-50051 El proceso de archivado del receptor se ha detenido o iniciado. Monitor de software APM/REC/IPS/ Media DBM Activo vulnerable a evento 146-10, 306-10 Evento de vulnerabilidad Monitor de creado. software ESM Baja Inicio de sesión de usuario administrador de auditoría 306-38 Evento UCAPL, inicio de sesión de administrador de auditoría. Monitor de software ESM Baja Cambio de configuración de copias de seguridad 306-1 Modificación de la configuración de copias de seguridad de ESM. Monitor de software ESM Baja Copia de seguridad realizada 306-2 Copia de seguridad realizada en el sistema. Monitor de software ESM Baja Alerta del analizador de Blue Martini 306-50071 El analizador de Blue Martini se ha detenido o iniciado. Monitor de software Receptor Media Alerta de estado de NIC de omisión 306-50001 En el NIC se ha activado o desactivado el estado de omisión. Monitor de software IPA/ADM/IPS Media El certificado de la autoridad de certificación ha caducado 306-50082 El certificado de la autoridad de certificación de ESM ha caducado. Monitor de software ESM Alta El certificado de la 306-50081 autoridad de certificación caducará pronto El certificado de la autoridad de certificación de ESM caducará pronto. Monitor de software ESM Media Caso modificado Se ha modificado un caso. Monitor de software ESM Baja Estado de caso 306-73 agregado/ modificado/eliminado El estado del caso ha cambiado. Monitor de software ESM Baja Alerta de cambio de estado de canal de comunicación 306-50013 El canal de control se ha detenido o iniciado. Monitor de software Todos Media Error de captura de configuración (error de dispositivo) 146-4 Error del dispositivo de descubrimiento de red. Monitor de software ESM Baja Error de captura de configuración (dispositivo inaccesible) 146-3 Dispositivo de descubrimiento de red inaccesible. Monitor de software ESM Baja 306-70 McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Configuración capturada 146-5 La configuración de descubrimiento de red se ha comprobado correctamente. Monitor de software ESM Baja Error de directiva de configuración 146-8 No se usa en el sistema. Monitor de software ESM Baja Directiva de configuración correcta 146-9 No se usa en el sistema. Monitor de software ESM Baja Cambio de configuración de asignación de datos 306-7 La configuración de asignación de datos de ESM ha cambiado. Monitor de software ESM Alta Alerta de espacio libre en el disco en partición de datos 306-50005 El espacio libre de cada partición se está agotando (por ejemplo, hada_hd tiene un 10 % de espacio libre). Monitor de software Todos Media Cambio de configuración de conservación de datos 306-6 La configuración de conservación de datos de ESM ha cambiado. Monitor de software ESM Alta Alerta de estado de servicios de detección de bases de datos 306-50036 El servicio de detección automática de DBM se ha detenido o iniciado. Monitor de software Todos Media Alerta de cambio de estado de DPI 306-50008 El motor de inspección profunda de paquetes del IPS o ADM se ha detenido o iniciado. Monitor de software Todos Media Eliminar comando remoto 306-61 Comando remoto de alarma eliminado. Monitor de software ESM Baja Eventos eliminados 306-74 El usuario ha eliminado eventos de ESM. Monitor de software ESM Baja Flujos eliminados 306-75 El usuario ha eliminado flujos de ESM. Monitor de software ESM Baja Adición de dispositivo 306-18 Se ha agregado un nuevo dispositivo al sistema. Monitor de software ESM Baja Eliminación de dispositivo 306-19 Un dispositivo existente se ha eliminado del sistema. Monitor de software ESM Baja Dispositivo posiblemente inactivo 146-2 Evento de Monitor de descubrimiento de red software que indica que es posible que un dispositivo esté inactivo. ESM Baja Dispositivo inaccesible 146-1 Un dispositivo de descubrimiento de red agregado a ESM no está accesible. ESM Baja McAfee Enterprise Security Manager 9.5.0 Monitor de software Guía del producto 233 6 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de error de unidad de disco 306-50018 Comprueba y verifica la integridad de todos los discos duros (internos o de DAS). Monitor de hardware Todos Alta Alerta de cambio de estado del proceso de archivado de ELM 306-50045 El motor de compresión Monitor de del ELM se ha detenido o software iniciado. APM/REC/IPS/ Media DBM ELM EDS FTP 306-50074 El programa SFTP del ELM se ha detenido o iniciado. Monitor de software ELM Media Proceso de archivo de ELM 306-50065 El motor de reinserción Monitor de del ELM se ha detenido o software iniciado. ELM Media Si un registro falla por algún motivo, intentará de nuevo la inserción. Si el proceso de reinserción falla, se activa esta regla. 234 Alerta Índice de texto 306-50064 completo de ELM El motor de indización de texto completo del ELM se ha detenido o iniciado. Monitor de software ELM Media Alerta de cambio de estado del punto de montaje de ELM 306-50053 El almacenamiento remoto (CIFS, NFS, ISCSI, SAN) se ha detenido o iniciado. Monitor de software ELM Media Alerta de cambio de estado del motor de consultas de ELM 306-50046 El proceso de trabajos del ELM (todos los trabajos de ELM, tales como consultas, inserciones, etc.) se ha detenido o iniciado. Monitor de software ELM Media Almacenamiento redundante en ELM 306-50063 La duplicación del ELM se ha detenido o iniciado. Monitor de software ELM Media Error de la base de datos del sistema ELM 306-50044 La base de datos del ELM se ha detenido o iniciado. Monitor de software ELM Alta Alerta de cambio de 306-50040 estado de recopilador de correo electrónico El recopilador MARS de Cisco se ha detenido o iniciado. Monitor de software Receptor Media Etiquetas de ePO aplicadas 306-28 Se han aplicado etiquetas de McAfee ePO. Monitor de software ESM Baja Error al establecer comunicación con ELM 306-50047 La comunicación con el ELM ha fallado. Monitor de software APM/REC/IPS/ Alta DBM Error en comunicación SSH 306-50077 El dispositivo tiene problemas para comunicarse con el ELM (como diferencias de versión o un cambio de clave). Monitor de software Todos McAfee Enterprise Security Manager 9.5.0 Alta Guía del producto 6 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor de software ESM Media Apagado de ESM 306-33 ESM se ha apagado. Monitor de software ESM Media Alerta del recopilador 306-50070 de eStreamer El recopilador de eStreamer se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50041 estado de recopilador de eStreamer El recopilador de eStreamer se ha detenido o iniciado. Monitor de software Receptor Media Separación de partición de eventos 306-4 Se ha separado una partición de eventos. Monitor de software ESM Baja Ejecutar comando remoto 306-62 Comando remoto de alarma ejecutado. Monitor de software ESM Baja Error de inicio de sesión debido al máximo de sesiones simultáneas 306-37 El usuario no pudo iniciar sesión porque se alcanzó el máximo de sesiones simultáneas. Monitor de software ESM Alta Error al aplicar 306-50057 formato al dispositivo SAN Se produjo un error al aplicar formato al SAN en ELM; el usuario debe volver a intentarlo. Monitor de hardware ESM Alta Error de inicio de sesión de usuario El usuario no ha podido iniciar sesión. Monitor de software ESM Media Alerta de cambio de 306-50049 estado de recopilador de archivos El programa de recopilación de montaje se ha detenido o iniciado. Monitor de software Receptor Media Archivo eliminado 306-50 Se ha eliminado cualquier archivo que se pueda agregar o eliminar, como un archivo de sonido o registro de ESM. Monitor de software ESM Baja Alerta de cambio de estado del proceso de filtrado 306-50050 El programa de filtrado del dispositivo se ha detenido o iniciado (reglas de filtrado). Monitor de software Receptor Media Alerta de cambio de estado de agregador de alertas de firewall 306-50009 El agregador del firewall del IPS o del ADM se ha detenido o iniciado. Monitor de software IPS/ADM/IPS Media Separación de partición de flujos 306-5 Se ha separado una partición de flujos. Monitor de software ESM Baja Error de obtención datos de evaluación de vulnerabilidades 306-52 ESM no ha podido obtener datos de evaluación de vulnerabilidades. Monitor de software ESM Media Obtención datos de evaluación de vulnerabilidades correcta 306-51 ESM ha obtenido datos de evaluación de vulnerabilidades. Monitor de software ESM Baja 306-31 McAfee Enterprise Security Manager 9.5.0 Guía del producto 235 6 236 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Alerta interna de monitor de estado 306-50027 Dispositivo Gravedad Un proceso del monitor Monitor de de estado se ha detenido software o iniciado. Todos Media Alerta de cambio de 306-50039 estado de recopilador de HTTP El recopilador de HTTP se ha detenido o iniciado. Monitor de software Receptor Media Cambio de configuración de indización 306-8 La configuración de indizado de ESM ha cambiado. Monitor de software ESM Media Clave SSH no válida 306-50075 El dispositivo tiene Monitor de problemas para software comunicarse con el ELM, tales como diferencias de versión o un cambio de clave. Todos Alta Alerta de cambio de 306-50055 estado de recopilador de IPFIX El recopilador de IPFIX (flujo) se ha detenido o iniciado. Monitor de software Receptor Media Inicio de sesión de usuario administrador de claves y certificados 306-39 Evento UCAPL, inicio de sesión de administrador de criptografía. Monitor de software ESM Baja Partición de registro sustituida 306-34 Las particiones más antiguas de la tabla de registro de la base de datos se han sustituido. Monitor de software ESM Baja Alerta de espacio libre en el disco en particiones de registro 306-50004 El espacio de la partición Monitor de de registro (/var) se está software agotando. Todos Media Alerta de cambio de 306-50010 estado de servidor de base de datos McAfee EDB La base de datos se ha detenido o iniciado. Monitor de software Todos Media Alerta del recopilador 306-50069 de McAfee ePO El recopilador de McAfee ePO se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de estado del formato de los eventos de McAfee 306-50031 El recopilador de formatos de eventos de McAfee se ha detenido o iniciado. Monitor de software Receptor Media Error de comunicación del dispositivo de la solución SIEM de McAfee 306-26 ESM no se puede comunicar con otro dispositivo. Monitor de software ESM Alta Alerta de Microsoft Forefront Threat Management Gateway 306-50068 El recopilador de Monitor de Forefront Threat software Management Gateway se ha detenido o iniciado. Receptor Media Alerta de cambio de estado de recuperador de MS-SQL 306-50035 El recopilador de MS-SQL se ha detenido o iniciado (cualquier origen de datos de MS-SQL). Receptor Media McAfee Enterprise Security Manager 9.5.0 Tipo Monitor de software Guía del producto 6 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de registro de varios eventos 306-50062 El recopilador de jEMAIL se ha detenido o iniciado. Monitor de software Receptor Media Análisis de MVM iniciado 306-27 Se ha iniciado un análisis Monitor de de MVM. software ESM Baja Alerta de cambio de 306-50024 estado de recopilador de NetFlow El recopilador de NetFlow (flujo) se ha detenido o iniciado. Monitor de software Receptor Media Nueva cuenta de usuario Se ha agregado un nuevo usuario al sistema. Monitor de software ESM Baja Alerta de cambio de 306-50048 estado de recopilador de NFS/CIFS El montaje remoto para NFS o CIFS se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50026 estado de recopilador de NitroFlow NitroFlow (flujos del dispositivo) se ha detenido o iniciado. Monitor de software Receptor Media No se ha encontrado una clave SSH 306-50076 El dispositivo tiene Monitor de problemas para software comunicarse con el ELM, tales como diferencias de versión o un cambio de clave. Todos Alta Agregar/Editar lista negra de NSM 306-29 Una entrada de la lista negra de NSM se ha agregado o editado. Monitor de software ESM Baja Eliminar lista negra de NSM 306-30 Una entrada de la lista negra de NSM se ha eliminado. Monitor de software ESM Baja Alerta de cambio de estado de receptor de OPSEC 306-50028 El recopilador de OPSEC (Check Point) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de estado de receptor de OPSEC 306-50034 El recopilador de OPSEC (Check Point) se ha detenido o iniciado. Monitor de software Receptor Media Alerta del recopilador 306-50072 de Oracle Identity Management El recopilador de Oracle IDM se ha detenido o iniciado. Monitor de software Receptor Media Alerta de sobresuscripción El ADM o el IPS han entrado o salido del modo de sobresuscripción. Monitor de software IPS/ADM/IPS Media 306-13 306-50012 Alerta del analizador/ 306-50073 recopilador de complementos El analizador/recopilador Monitor de de complementos se ha software detenido o iniciado. Receptor Media Adición de directiva 306-15 Se ha agregado una directiva al sistema. Monitor de software ESM Baja Eliminación de directiva 306-17 Se ha eliminado una directiva del sistema. Monitor de software ESM Baja Modificación de directiva 306-16 Se ha cambiado una directiva en el sistema. Monitor de software ESM Baja McAfee Enterprise Security Manager 9.5.0 Guía del producto 237 6 238 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Discrepancia con configuración previa 146-6 Ha cambiado la configuración del dispositivo de descubrimiento de red. Monitor de software ESM Baja Disponibilidad alta del receptor 306-50058 Cualquier proceso de disponibilidad alta se ha detenido o iniciado (Corosync, script de control de disponibilidad alta). Monitor de software Receptor Media Configuración OPSEC 306-50059 de disponibilidad alta del receptor No se utiliza. Monitor de software Receptor Baja ESM redundante sin sincronizar 306-76 El ESM redundante no está sincronizado. Monitor de software ESM Alta Alerta de cambio de estado de punto de montaje NFS remoto 306-50020 El montaje de NFS del ELM se ha detenido o iniciado. Monitor de software ELM Media Alerta de espacio libre en el disco en punto de montaje/ recurso compartido remoto 306-50021 Se está agotando el espacio libre en el punto de montaje remoto. Monitor de software ESM Media Alerta de cambio de estado de recurso compartido de SMB/ CIFS remoto 306-50019 El punto de montaje remoto SMB/CIFS se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50061 estado de correlación de riesgos El motor de correlación de riesgos se ha detenido o iniciado. Monitor de software ACE Media Alerta de espacio libre en el disco en particiones raíz 307-50002 Se está agotando el espacio libre en las particiones raíz. Monitor de software Todos Media Adición de regla 306-20 Se ha agregado una regla al sistema, por ejemplo, de ASP, filtrado o correlación. Monitor de software ESM Baja Eliminación de regla 306-22 Regla eliminada del sistema. Monitor de software ESM Baja Modificación de regla 306-21 Se ha cambiado una regla en el sistema. Monitor de software ESM Baja Error de actualización 306-9 de regla Se ha producido un error Monitor de al actualizar una regla software de ESM. ESM Media Alerta de cambio de 306-50033 estado de recuperador de SDEE El recopilador de SDEE se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50025 estado de recopilador de sFlow El recopilador de sFlow (flujo) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50023 estado de recopilador de SNMP El recopilador de SNMP se ha detenido o iniciado. Monitor de software Receptor Media McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Creación de una alarma Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de cambio de 306-50038 estado de recopilador de SQL El recopilador de SQL (anteriormente NFX) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50056 estado de recopilador de Symantec AV El recopilador de Symantec AV se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50037 estado del recopilador de syslog El recopilador de syslog se ha detenido o iniciado. Monitor de software Receptor Media Inicio de sesión de usuario administrador del sistema 306-40 El administrador del sistema ha iniciado sesión. Monitor de software ESM Baja Error de comprobación de integridad del sistema 306-50085 Se ha marcado un programa o proceso externo no ISO en ejecución en el sistema. Monitor de software Todos Alta Alerta de cambio de 306-50014 estado de registrador del sistema El proceso de registro del sistema se ha detenido o iniciado. Monitor de software Todos Media Tarea (consulta) terminada 306-54 Se ha cerrado una tarea del Administrador de tareas. Monitor de software ESM Baja Alerta de espacio libre en el disco en particiones temporales 306-50003 La partición temporal (/ tmp) se está quedando sin espacio en el disco. Monitor de software Todos Media Alerta de cambio de 306-50052 estado del analizador de registros de texto El proceso del analizador Monitor de de texto se ha detenido software o iniciado. Receptor Media Cambio de cuenta de 306-14 usuario Ha cambiado una cuenta Monitor de de usuario. software ESM Baja Error de inicio de sesión de dispositivo de usuario Un usuario SSH no ha podido iniciar sesión. Monitor de software ESM Baja Inicio de sesión de 306-50017 dispositivo de usuario No se usa en el sistema. Monitor de software ESM Baja Cierre de sesión de 306-50078 dispositivo de usuario Un usuario SSH ha cerrado la sesión. Monitor de software ESM Baja Inicio de sesión de usuario 306-11 Un usuario ha cerrado sesión en el sistema. Monitor de software ESM Baja Cierre de sesión de usuario 306-12 Un usuario ha cerrado la Monitor de sesión en el sistema. software ESM Baja Alerta de estado del motor de datos de evaluación de vulnerabilidades 306-50043 El motor de evaluación de vulnerabilidades (vaded.pl) se ha detenido o iniciado. Monitor de software Receptor Media Adición de variable 306-23 Se ha agregado una variable de directiva. Monitor de software ESM Baja Eliminación de variable 306-25 Se ha eliminado una variable de directiva. Monitor de software ESM Baja 306-50079 McAfee Enterprise Security Manager 9.5.0 Guía del producto 239 6 Uso de las alarmas Activación o desactivación de la supervisión de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Modificación de variable 306-24 Ha cambiado una variable de directiva. Monitor de software ESM Baja El certificado del servidor web ha caducado 306-50084 El certificado del servidor web de ESM ha caducado. Monitor de software ESM Alta El certificado del servidor web caducará pronto 306-50083 El certificado del servidor web de ESM caducará pronto. Monitor de software ESM Media Alerta de recopilador de Websense 306-50067 El recopilador de Websense se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de estado del recopilador de WMI Event Log 306-50030 El recopilador de WMI se Monitor de ha detenido o iniciado. software Receptor Media Cómo copiar una alarma Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Seleccione la alarma que desee copiar y haga clic en Copiar. En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia. 3 Cambie el nombre y haga clic en Aceptar. 4 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en Editar. 5 Cambie la configuración según proceda. Véase también Creación de una alarma en la página 224 Activación o desactivación de la supervisión de alarmas La supervisión de alarmas está activada de forma predeterminada. Es posible desactivarla y volver a activarla cuando sea necesario. 240 McAfee Enterprise Security Manager 9.5.0 Guía del producto 6 Uso de las alarmas Resumen personalizado para alarmas activadas y casos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Desactivar. La supervisión de alarmas se detendrá y el botón pasará a ser Activar. 3 Haga clic en Activar para reanudar la supervisión de las alarmas. Resumen personalizado para alarmas activadas y casos Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo Coincidencia de campo y Coincidencia de evento interno. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 En la página Propiedades del sistema, haga clic en Alarmas y, a continuación, en Agregar. 3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno. 4 5 6 Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables continuación, seleccione los campos que incluir en el resumen de caso. . y, a y, a Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma activada. Escriba el resto de información solicitada para configurar la alarma (véase Creación de una alarma) y, después, haga clic en Finalizar. Administración de las plantillas de mensajes de alarma Una de las acciones disponibles al configurar las alarmas es Enviar mensaje. Esta función permite reenviar la información de alarma a destinatarios de correo electrónico, SMS, SNMP o Syslog seleccionados. Es posible agregar plantillas para definir la información que aparecerá en los mensajes, y diseñarlos de forma que incluyan lo que resulte más útil al destinatario. Posteriormente, podrá seleccionar una plantilla cuando defina la acción para una alarma. Es posible agregar plantillas para definir la información que aparecerá en los mensajes, y diseñarlos de forma que incluyan lo que resulte más útil al destinatario. Posteriormente, podrá seleccionar una plantilla cuando defina la acción para una alarma. McAfee Enterprise Security Manager 9.5.0 Guía del producto 241 6 Uso de las alarmas Administración de archivos de audio para las alarmas Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Plantillas. 3 Vea la lista de plantillas existentes o seleccione cualquiera de las opciones disponibles; a continuación, haga clic en Aceptar. Administración de archivos de audio para las alarmas Cabe la posibilidad de cargar y descargar archivos de audio a fin de usarlos como alertas sonoras. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Audio. 3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar. Administración de los destinatarios de alarmas A la hora de definir la configuración de las acciones para una alarma, existe la posibilidad de enviar un mensaje a los destinatarios. Las listas de destinatarios se pueden administrar desde la página Alarmas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Destinatarios. 3 Seleccione el tipo de lista de destinatarios que desee administrar y, a continuación, agregue, edite o elimine destinatarios. Administración de alarmas Cuando se activa una alarma, es posible confirmarla, eliminarla o ver los detalles. También es posible anular la confirmación de una alarma, cambiar el usuario asignado y crear un caso a partir de ella. 242 McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de las alarmas Administración de alarmas 6 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Acceda a uno de estos elementos: • Panel de registro Alarma: situado debajo del árbol de navegación del sistema. • Alerta visual emergente: se abre cuando se activa una alarma. • 2 Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas. Realice una de las operaciones siguientes: Para... Confirmar una alarma Anular la confirmación de una alarma Eliminar una alarma Ver los detalles de la alarma Haga esto... Haga clic en el icono Confirmar . Haga clic en el icono Sin confirmar Haga clic en el icono Eliminar . . En el panel de registro Alarmas o en la alerta visual emergente, haga clic en el icono Detalles . Cambiar el usuario asignado En la página Detalles, haga clic en Usuario asignado y seleccione un nombre. Crear un caso a partir de una alarma En la página Detalles, haga clic en Crear caso. Procedimientos • Visualización de la cola de informes de alarma en la página 243 Si ha seleccionado Generar informes como acción para una alarma, podrá ver o realizar cambios en los informes que están a la espera de ejecutarse, así como ver los informes completados. • Administración de los archivos de informes de alarmas en la página 244 Una vez ejecutado un informe de alarma, este se agrega a la lista de informes disponibles de ESM. Es posible acceder a esta lista y realizar diversas acciones. Véase también Adición de un caso en la página 299 Visualización de la cola de informes de alarma Si ha seleccionado Generar informes como acción para una alarma, podrá ver o realizar cambios en los informes que están a la espera de ejecutarse, así como ver los informes completados. McAfee Enterprise Security Manager 9.5.0 Guía del producto 243 6 Uso de las alarmas Administración de alarmas Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Alarmas y, después, en la ficha Configuración. 2 Siga uno de estos procedimientos: 3 • Para ver o cancelar informes que están en la cola de ejecución, haga clic en Ver. • Para ver y administrar los informes completados, haga clic en Archivos. Haga clic en Cerrar. Administración de los archivos de informes de alarmas Una vez ejecutado un informe de alarma, este se agrega a la lista de informes disponibles de ESM. Es posible acceder a esta lista y realizar diversas acciones. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 244 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración, después en Archivos y seleccione si desea descargar, cargar o eliminar informes en la lista. 3 Haga clic en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos y flujos, además de conservar esta información disponible para fines de consulta, análisis forense, validación de reglas y conformidad. Contenido Eventos, flujos y registros Administración de informes Descripción de los filtros contains y regex Uso de las vistas de ESM Filtros de tipos personalizados Eventos, flujos y registros Los eventos, flujos y registros recopilan distintos tipos de actividades que se producen en un dispositivo. Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un flujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cuales al menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que se produce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre los eventos y los flujos: • Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes que los eventos. • Los flujos no están asociados a una firma de regla (ID de firma) como los eventos. • Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. • Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número de bytes y paquetes transmitidos por el destino del flujo. • Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina dentro de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 245 7 Uso de los eventos Eventos, flujos y registros Configuración de descargas de eventos, flujos y registros Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo de forma que lo haga automáticamente. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros. 3 Configure las descargas y haga clic en Aplicar. Limitación del tiempo de recopilación de datos Puede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos de cada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo. Antes de empezar Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos (véase Cambio de la configuración de agregación de eventos o flujos). Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registros puede acarrear una fuga de datos. 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades 2 3 . Seleccione una de las siguientes opciones: • Eventos, flujos y registros • Eventos y registros • Registros Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de inicio y finalización del intervalo de tiempo. El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM del ELM y cuándo envía los datos el ESM al ELM para su registro. Definición de la configuración de umbral de inactividad Cuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no se generan eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece un indicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema. 246 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros. 2 Haga clic en Configuración de inactividad. 3 Resalte el dispositivo y haga clic en Editar. 4 Realice cambios en la configuración y después haga clic en Aceptar. Obtención de eventos y flujos Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo. Haga clic en el icono Obtener eventos y flujos pasos necesarios. de la barra de herramientas de acciones y realice los Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después, haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas. Comprobación de eventos, flujos y registros Es posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de forma automática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividad del sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puede especificar qué dispositivos deben buscar cada tipo de información y establecer la configuración de umbral de inactividad para los dispositivos administrados por el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y registros. 2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros. 3 Haga clic en Aceptar. Véase también Definición de la configuración de umbral de inactividad en la página 246 Definición de la configuración de geolocalización y ASN La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica de forma exclusiva cada una de las redes de Internet. Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible recopilar datos de geolocalización de origen y destino para los eventos. McAfee Enterprise Security Manager 9.5.0 Guía del producto 247 7 Uso de los eventos Eventos, flujos y registros Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización. 3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar. Es posible filtrar los datos de eventos mediante esta información. Obtención de eventos y flujos Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo. Haga clic en el icono Obtener eventos y flujos pasos necesarios. de la barra de herramientas de acciones y realice los Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después, haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas. Agregación de eventos o flujos Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o flujo con un recuento que indica el número de veces que se ha producido. El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas para las cuales se haya activado la agregación en el Editor de directivas. Dirección IP de destino origen y destino Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo: • ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7). • ::0000:10.0.12.7 sería 10.0.12.7. Eventos y flujos agregados Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Total contiene el valor 30. 248 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas individuales (véase Administración de las excepciones de agregación de eventos). La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo. Cambio de la configuración de agregación de eventos o flujos La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en la página Agregación. Antes de empezar Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración. La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras que la agregación de flujos lo está en los receptores y los dispositivos IPS. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos o Agregación de flujos. 3 Defina la configuración y haga clic en Aceptar. Adición de excepciones a la configuración de agregación de eventos La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por una regla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción. Haga clic en el icono Menú y seleccione Modificar configuración de agregación. Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación de eventos definida para el dispositivo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 249 7 Uso de los eventos Eventos, flujos y registros 4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar. 5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos. 6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados. La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios. Administración de las excepciones de agregación de eventos Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe la posibilidad de editar o eliminar una excepción. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla. 3 Realice los cambios necesarios y haga clic en Cerrar. Configuración del reenvío de eventos El reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediante syslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir el paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren antes de su reenvío. Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de registros firmados digitalmente de cada uno de los dispositivos del entorno. Configuración del reenvío de eventos Es posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a un servidor syslog o SNMP. El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de eventos recuperados por el ESM, puede afectar al rendimiento global de ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar. 3 Si ha seleccionado agregar o editar un destino, defina su configuración. 4 Haga clic en Aplicar o en Aceptar. Adición de destinos de reenvío de eventos Es posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a un servidor syslog o SNMP. 250 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Véase también Agentes de reenvío de eventos en la página 251 Agentes de reenvío de eventos Estos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se reenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos. Agente Contenido Syslog (McAfee 9.2) ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3, Valor de agregación 3. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). Syslog (McAfee 8.2) ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). McAfee Enterprise Security Manager 9.5.0 Guía del producto 251 7 Uso de los eventos Eventos, flujos y registros Agente Contenido Syslog (Nitro) ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64). Syslog "McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre (ArcSight) de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez, Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo, Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo), ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64). Syslog (Snort) snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName], [Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP de destino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del paquete tiene la codificación Base 64). Syslog (registros de auditoría) Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0 y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de registro. Syslog (formato de evento común) Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto = modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/ buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor, dirección convertida de dispositivo. Syslog (formato de evento estándar) <#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM: { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime": "2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A" Activación o desactivación del reenvío de eventos Es posible activar o desactivar el reenvío de eventos en el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 252 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Eventos, flujos y registros 7 Modificación de la configuración de todos los destinos de reenvío de eventos Cabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de una vez. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y establezca las opciones. 3 Haga clic en Aceptar. Adición de filtros de reenvío de eventos Es posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP en el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y, después, en Filtros de evento. 3 Rellene los campos de filtrado y haga clic en Aceptar. Edición de la configuración de filtrado de reenvío de eventos Es posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada. Antes de empezar Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de usuarios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Editar y, después, haga clic en Filtros de evento. 3 Realice los cambios y haga clic en Aceptar. Véase también Configuración de grupos de usuarios en la página 199 McAfee Enterprise Security Manager 9.5.0 Guía del producto 253 7 Uso de los eventos Eventos, flujos y registros Envío y reenvío de eventos con el formato de eventos estándar El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos JavaScript (JSON) que permite representar datos de eventos genéricos. El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde el ESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a un receptor, mediante la selección de SEF como formato de datos al crear el origen de datos. Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a cabo estos cuatro pasos: 1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM que reenvía los eventos. — Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. — Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Exportar. — Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de reglas. 2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos personalizados y las reglas personalizadas que acaba de exportar. — Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. — Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Importar. — Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de reglas. 3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM. — En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar el origen de datos y, después, haga clic en el icono Agregar origen de datos . — En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y, después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos. — Rellene la información solicitada y haga clic en Aceptar. 4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío. — Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades . — Haga clic en Reenvío de eventos y, después, en Agregar. — En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del reenvío y haga clic en Aceptar. 254 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Administración de informes Administración de informes Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV. Informes predefinidos Los informes predefinidos se dividen en las siguientes categorías: • Conformidad • McAfee Database Activity Monitoring (DAM) • Ejecutivo • McAfee DEM • McAfee ADM • McAfee Event Reporter Estos informes generan datos basados en los eventos. Informes definidos por el usuario Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección de la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden incluir componentes y configurarlos para que muestren los datos de la forma deseada. Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe cuando ya no es necesario. Véase también Adición de una condición de informe en la página 256 Establecimiento del mes de inicio para los informes trimestrales en la página 255 Adición de un diseño de informe en la página 256 Establecimiento del mes de inicio para los informes trimestrales Si ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido y almacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta fecha de inicio. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes. 3 Haga clic en Aplicar para guardar la configuración. Adición de un informe Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño de informe existente o crear uno nuevo mediante el editor Diseño del informe. McAfee Enterprise Security Manager 9.5.0 Guía del producto 255 7 Uso de los eventos Administración de informes Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar y defina la configuración en la página Agregar informe. 3 Haga clic en Guardar. El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo Condición. Adición de un diseño de informe Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3. 3 En la sección 4, seleccione Informe en PDF o Informe en HTML. 4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe. 5 Configure el diseño a fin de mostrar los datos generados por el informe. El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable. Inclusión de una imagen en los PDF y los informes Es posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la imagen que aparece en la pantalla Inicio de sesión. Antes de empezar Agregue la imagen a la página Configuración personalizada (véase Personalización de la página de inicio de sesión). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos. 3 Haga clic en Aceptar. Véase también Personalización de la página de inicio de sesión en la página 21 Adición de una condición de informe Agregue condiciones para que estén disponibles a la hora de configurar un informe. 256 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Descripción de los filtros contains y regex Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Condiciones y rellene la información solicitada. 3 Haga clic en Aceptar para guardar la configuración. Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para un informe. Visualización de los nombres de hosts en un informe Es posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de origen y destino en los informes. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones de la 1 a la 4. 3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular y rellene el Asistente de consultas. 4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP como nombres de host. Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades del sistema | Hosts). Descripción de los filtros contains y regex Los filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados como no indizados. Estos filtros tienen requisitos de sintaxis. Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y minúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con contains/regex. Sintaxis y ejemplos La sintaxis básica de contains es contains(valor) y, en el caso de regex, es regex(expresión_regular). o Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono correspondiente incluya la notación de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 257 7 Uso de los eventos Descripción de los filtros contains y regex Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultados incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores y haga clic en el icono OR. Ejemplo 1 - Búsqueda simple Campos indizados: contains(stra), regex(stra) Campos no indizados: stra Resultado: devuelve cualquier cadena con stra, como, por ejemplo, administrador, gmestrad o straub. Ejemplo 2 - Búsqueda OR Campos indizados: contains(admin,NGCP), regex((admin|NGCP)) Campos no indizados: admin,NGCP Resultado: devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El par adicional de paréntesis es necesario para que funcione OR con la expresión regular. Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio Símbolo de dólar: Campos indizados: contains($), regex(\x24) o regex(\$) Campos no indizados: $ Resultado: devuelven cualquier cadena dentro del campo que contenga $. Diríjase a http:// www.ascii.cl para ver la lista de valores HEX correspondientes a los caracteres. Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de PCRE es un método de búsqueda mejor. Símbolo de porcentaje: Campos indizados: contains(%), regex(\x25) o regex(\%) Campos no indizados: % Barra diagonal inversa: Campos indizados: contains(\), regex(\x5c) o regex(\\) Campos no indizados: \ Barra diagonal inversa doble: Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\) Campos no indizados: \\ En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de Expresión regular no válida (ER5-0015). Ejemplo 4 - Búsqueda mediante el carácter comodín * 258 McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Descripción de los filtros contains y regex 7 Campos indizados: contains (ad*) Campos no indizados: ad* Resultado: devuelve cualquier cadena que empiece por ad como, por ejemplo, administrador y adición. Ejemplo 5 - Búsqueda mediante una expresión regular regex(nitroguard/x28[3-4]/x29[com|info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) Estos dominios corresponden a eventos DNS de Microsoft. Resultado: esta expresión regular busca una cadena concreta. En este caso, se trata de nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta expresión regular coincide con las dos primeras expresiones, pero no con las demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta función. Las expresiones serán muy distintas en su caso. Advertencias • El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres caracteres. • Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se puede utilizar en reglas de correlación con tipos personalizados de nombre/valor. • El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más lento en las consultas. Descripción del filtro Bloom Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter. Campos compatibles con contains y regex Access_Resource File_Operation_Succeeded Sitio de referencia Aplicación Ruta de archivo Clave de registro Application_Protocol File_Type Valor de registro Área Filename Request_Type Authoritative_Answer Estado de reenvío Response_Code CCO De Return_Code Proceso del llamador From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Categoría Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID McAfee Enterprise Security Manager 9.5.0 Guía del producto 259 7 Uso de los eventos Descripción de los filtros contains y regex Client_Version HTTP_Req_Host Estado de sesión Comando HTTP_Req_Method ID de firma Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incoming_ID SNMP_Item_Type Database_ID Interfaz SNMP_Operation Database_Name Dest. de interfaz SNMP_Version ID de centro de datos Job_Name Usuario de origen Nombre de centro de datos Job_Type Source_Context DB2_Plan_Name Idioma ID de inicio de sesión de origen Delivery_ID Local_User_Name Source_Network Descripción Logical_Unit_Name Source_UserID Usuario de destino Tipo de inicio de sesión Source_Zone Directorio de destino LPAR_DB2_Subsystem Comando SQL Destination_Filename Mail_ID SQL_Statement Destination_Hostname Buzón de correo Step_Count ID de inicio de sesión de destino Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Asunto Destination_UserID Malware_Insp_Result SWF_URL Destination_Zone Servidor de administración Table_Name Método de detección Message_ID Target_Class Acción de dispositivo Message_Text Target_Context Dirección Método Nombre de proceso de destino Directorio NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Categoría de amenaza DNS_Name NTP_Request Amenaza gestionada DNS_Type NTP_Server_Mode Threat_Name Dominio Objeto To Event_Class Object_Type To_Address External_Application Sistema operativo URL External_DB2_Server Policy_Name Categoría de URL External_Hostname Privileged_User User_Agent ID de sesión externo Process_Name User_Nickname Función Query_Response Versión File_Operation Motivo ID de máquina virtual Nombre de máquina virtual Los siguientes tipos personalizados pueden utilizar contains y regex: 260 McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Uso de las vistas de ESM Vistas Administración de casos • Cadena • Notas • Cadena aleatoria • Resumen • Nombre/valor • Historial 7 • Cadena con hash Uso de las vistas de ESM El ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por un dispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation and Correlation (MSEAC) de McAfee. Contenido Uso de las vistas de ESM Visualización de detalles de sesión Barra de herramientas de vistas Vistas predefinidas Adición de una vista personalizada Componentes de vista Uso del Asistente de consultas Administración de vistas Búsqueda alrededor de un evento Visualización de los detalles de dirección IP de un evento Cambio de la vista predeterminada Filtrado de vistas Listas de control Normalización de cadenas Uso de las vistas de ESM Mediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a través de un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. La vista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema. Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vista predeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida (véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin de ejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas). También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú de componentes y la barra de herramientas de componentes a fin de interactuar con las vistas y sus datos. En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso. En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff: 10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería 10.0.12.7. McAfee Enterprise Security Manager 9.5.0 Guía del producto 261 7 Uso de los eventos Uso de las vistas de ESM Visualización de detalles de sesión Es posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV mediante el Visor de sesión. Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado de una conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentan con ID de sesión. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver. 2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a continuación, seleccione Información detallada de evento | Eventos. 3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de sesión situado junto al campo ID de sesión. Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión. Barra de herramientas de vistas La barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de varias opciones que se pueden utilizar a la hora de configurar las vistas. Tabla 7-1 262 Opción Descripción 1 — Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediante la ocultación del panel del árbol de dispositivos. 2 — Navegación por vistas Permite retroceder y avanzar por las vistas anteriores. 3 — Lista de vistas Seleccione una vista en la lista desplegable, la cual incluye todas las vistas predefinidas y personalizadas seleccionadas para su visualización en esta lista. 4 — Administrar vistas Permite administrar todas las vistas (véase Administración de vistas). Puede seleccionar qué vistas desea incluir en la lista, agregar carpetas o renombrar, eliminar, copiar, importar y exportar vistas. 5 — Actualizar vista actual Permite actualizar todos los datos mostrados en el panel de vistas. 6 — Vista predeterminada Volver a la vista predeterminada. McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Tabla 7-1 (continuación) Opción Descripción 7 — Imprimir vista actual Imprimir una copia de la vista actual. Las opciones de impresión son: • Cambiar tamaño para ajustar todos los componentes en una página: los componentes que forman parte de la vista se ajustan para que la vista quepa en una página. • Imprimir cada componente en una página distinta: cada componente que forma parte de la vista se imprime en una página diferente. Si hace clic en Cambiar tamaño de componente para ajustarlo a la página, se ajusta el tamaño de cada componente para rellenar toda la página. • Imprimir área visible solamente: solo se imprime la parte de la vista visible en la pantalla. • Exportar a PDF: la vista se guarda como un archivo PDF. 8 — Editar vista actual Permite modificar la vista mostrada, en caso de ser una vista personalizada. Al hacer clic en esta opción, se abre la Barra de herramientas de edición de vistas (véase Adición de una vista personalizada). 9 — Crear vista nueva Permite crear una nueva vista personalizada (véase Adición de una vista personalizada). 10 — Espacio de tiempo Especifique el espacio de tiempo correspondiente a la información que desea que aparezca en la vista. 11 — Ocultar filtros Haga clic aquí para ampliar la vista actual mediante la ocultación del panel de filtrado. Vistas predefinidas La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del sistema, así como a cualquier vista personalizada que se agregue. A continuación se detallan los diferentes tipos de vistas predefinidas. • Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su posible efecto sobre su sistema. • Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas. • Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema. • La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre el dispositivo seleccionado aparece en la mitad inferior de la vista. McAfee Enterprise Security Manager 9.5.0 Guía del producto 263 7 Uso de los eventos Uso de las vistas de ESM • Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista Búsqueda de ELM mejorada). • Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo seleccionado en el árbol de navegación del sistema. • Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés para empleados ajenos al departamento de TI. • Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza mediante Nitro IPS (véase Vistas de flujo). • McAfee Event Reporter incluye vistas específicas para varios productos de McAfee. • Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver correctamente los datos en los administradores personalizados, es necesario crear vistas personalizadas. • Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes: • Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las condiciones de alarma (véase Vista Alarmas activadas). • Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los casos). Vistas de flujo Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el dispositivo Nitro IPS. Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo así, podrá ver los flujos en la vista Análisis de flujos. Activación del registro de flujos Para ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activar dos variables de firewall. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 264 En el árbol de navegación del sistema, seleccione un dispositivo. Haga clic en el icono del Editor de directivas McAfee Enterprise Security Manager 9.5.0 y seleccione Variable en el panel Tipos de regla. Guía del producto Uso de los eventos Uso de las vistas de ESM 7 3 Expanda la categoría Firewall en el panel de visualización de reglas. 4 En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. 5 En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. Vista Búsqueda de ELM mejorada La vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el sistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros uno o varios ELM. Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM para proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual permite limitar la consulta para minimizar el número de archivos en los que buscar. Con el fin de permitir una mayor velocidad de búsqueda cuando se emplea Búsqueda de ELM mejorada, se debe activar el motor de indización de texto completo, el cual aumenta la velocidad porque limita el número de archivos en los que se busca. Para que este aumento surta efecto, se deben indizar todos los registros de ELM existentes. Cuando se activa el indizador, la indización puede tardar incluso semanas, en función de la velocidad del sistema y del número de registros recopilados. El rendimiento de búsqueda no decrece durante este tiempo, pero solamente aumenta a medida que se van indizando los registros de ELM. Si desea activar la indización de texto completo, véase Búsquedas de ELM más rápidas. Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados: • Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con una distribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de espacios de tiempo. • Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del sistema. • Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo de dispositivo según los dispositivos seleccionados en el árbol de navegación del sistema. Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que se encuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen de datos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados. Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado a mostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, además de limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estos gráficos muestran los resultados reales. Realización de una búsqueda de ELM mejorada Cabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM. Si el indizador de texto completo está activado, es posible llevar a cabo búsquedas de ELM más rápidas, ya que se limita el número de archivos en los que hay que buscar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 265 7 Uso de los eventos Uso de las vistas de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable. 2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscar en la lista desplegable situada junto al campo de texto. 3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto. Este campo no admite el vocabulario de indización de texto completo, como por ejemplo XOR y NOT. Sí que admite AND y OR. 4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable. 5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar. 6 Si fuera necesario, seleccione una o varias de estas opciones: 7 • Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas y minúsculas. • Expresión regular: el término del campo de búsqueda se considera como expresión regular. • NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido en el campo de búsqueda. Haga clic en Buscar. Los resultados aparecerán en la sección Resultados de la búsqueda de la vista. 8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice. Opción Definición Guardar búsqueda Guardar los resultados de esta búsqueda aunque se abandone la vista. Las búsquedas guardadas se pueden ver en la página Propiedades de ELM | Datos. Descargar archivo de resultados de Descargar los resultados en la ubicación designada. búsqueda Copiar elementos seleccionados al Copiar los elementos seleccionados al portapapeles para poder pegarlos en un documento. portapapeles Ver detalles de datos Mostrar los detalles de cualquier registro seleccionado en la tabla Resultados de la búsqueda. Visualización y administración de alarmas activadas Esta vista incluye las alarmas activadas y las alarmas que no se han eliminado. Es posible llevar a cabo diversas acciones para administrar estas alarmas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 266 En la consola de ESM, seleccione el icono de inicio rápido Alarmas activadas. para acceder a la vista Alarmas Siga uno de los procedimientos siguientes: McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Para... Haga esto... Confirmar una alarma • Para confirmar una alarma, haga clic en la casilla de verificación de la primera columna de la alarma activada que desee confirmar. • Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma de la parte inferior de la vista. Las alarmas confirmadas se eliminan del panel Alarmas, pero se conservan en la vista Alarmas activadas. Eliminar una • Seleccione la alarma activada que desee eliminar y haga clic en el icono alarma del sistema Eliminar alarma Filtrar las alarmas . • Introduzca la información que desee usar como filtro en el panel Filtros y haga clic en el icono Actualizar . Cambiar el usuario 1 Si las fichas de detalles de los datos no aparecen en la parte inferior de la asignado de las alarmas vista, haga clic en el icono Ver detalles de datos . 2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo usuario asignado. Crear un caso para 1 Asegúrese de que las fichas de detalles de los datos estén visibles. las alarmas 2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones necesarias. Ver detalles sobre una alarma 1 Asegúrese de que las fichas de detalles de los datos resulten visibles en la parte inferior de la vista. 2 Seleccione la alarma y realice una de las acciones siguientes: • Haga clic en la ficha Evento activador para ver el evento que activó la alarma seleccionada. Haga doble clic en el evento para ver su descripción. La ficha Evento activador no siembre está disponible, ya que algunas condiciones de alarma no responden a un único evento. • Haga clic en la ficha Condición para ver la condición que activó el evento. • Haga clic en la ficha Acción para ver las acciones resultantes de la alarma y las etiquetas de ePolicy Orchestrator asignadas al evento. Editar la configuración de una alarma activada 1 Haga clic en la alarma activada, después en el icono Menú Editar alarma. y seleccione 2 En la página Configuración de alarma, realice los cambios (haga clic en el icono Ayuda de cada ficha para obtener instrucciones) y haga clic en Finalizar. Adición de una vista personalizada Las vistas personalizadas incluyen componentes que permiten mostrar la información que se desee. McAfee Enterprise Security Manager 9.5.0 Guía del producto 267 7 Uso de los eventos Uso de las vistas de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En la barra de herramientas de vistas, haga clic en el icono Crear vista nueva y, después, arrastre y suelte un componente de la Barra de herramientas de edición de vistas (véase Visualización de componentes). En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver (véase Uso del Asistente de consultas) y haga clic en Finalizar. Los datos aparecerán en el componente agregado. 3 Realice una de las operaciones siguientes: Para... Haga esto... Mover el componente Haga clic en la barra de título del componente y, después, arrástrelo y suéltelo. Mostrar los nombres de host de la barra de en lugar de las direcciones IP Haga clic en el icono Mostrar nombres de host herramientas de un componente que muestre las direcciones IP de forma predeterminada (véase Administración de los nombres de host). Personalizar el componente Haga clic en el componente y realice cambios en la configuración mediante el panel Propiedades (véase Personalización de componentes). Agregar más componentes a la vista 1 Haga clic en un componente y arrástrelo. Guardar la vista 1 Haga clic en Guardar o en Guardar como y escriba un nombre para la vista. 2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver y haga clic en Finalizar. Para guardarla en una carpeta existente, seleccione la carpeta. 2 Haga clic en Aceptar. Copiar y pegar un componente 1 Haga clic en el componente que desee copiar. Eliminar un componente Seleccione el componente y, a continuación, haga clic en Eliminar. Salir del editor de vistas sin guardar una vista Elimine todos los componentes y cierre la Barra de herramientas de edición de vistas. 2 Haga clic en Copiar y después en Pegar. Componentes de vista Es posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidades de la forma que le resulte más útil. Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y se configuran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente de consultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente. 268 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Descripción de los componentes de vista Existen trece componentes distintos que se pueden agregar a una vista personalizada. Se pueden utilizar para configurar la vista a fin de ver los datos con el formato más adecuado. Componente Dial de control Descripción Muestra los datos de un vistazo. Es dinámico y se puede vincular con otros componentes de la consola. Se actualiza a medida que el usuario interactúa con la consola de ESM. Cada dial incluye un indicador de referencia ( ). El degradado que rodea el borde exterior del dial se torna de color rojo por encima del indicador de referencia. Si lo prefiere, todo el dial puede cambiar de color para indicar un comportamiento anómalo: amarillo cuando se encuentre dentro del umbral de una referencia o rojo cuando se supere ese umbral. La opción Tasa permite ajustar la tasa de los datos visualizados. Por ejemplo, si observa Día en curso y Eventos totales y cambia la tasa a una hora, verá el número de eventos por hora para el día en cuestión. Esta opción estará desactivada si la consulta visualizada ya muestra un promedio, como por ejemplo Promedio de gravedad o Promedio de bytes. Gráfico de origen y destino Muestra la actividad general de direcciones IP de evento o flujo. La opción de evento permite especificar direcciones IP y ver todos los ataques llevados a cabo en las direcciones especificadas, así como todos los ataques que esas direcciones IP han lanzado sobre otras. La opción de flujo permite especificar direcciones IP y ver las direcciones IP que han conectado con ellas, así como las conexiones que realizaron esas direcciones IP. Este gráfico incluye un campo abierto en la parte inferior del componente que permite ver los eventos o flujos de origen y destino para una dirección IP concreta. Escriba la dirección en el campo o seleccione una previamente utilizada y haga clic en el icono Actualizar . Gráfico circular Muestra la información consultada mediante un gráfico circular. Resulta útil cuando hay pocas categorías que visualizar (por ejemplo, una consulta de acción o protocolo). Tabla Muestra la información mediante diversas columnas. Este componente es útil para mostrar datos de eventos y flujos con el mayor nivel de detalle. Gráfico de barras Muestra la información consultada en un gráfico de barras, lo cual permite comparar el tamaño de cada resultado en un intervalo de tiempo concreto. Lista Muestra los datos de consulta seleccionados en forma de lista. Este componente resulta útil cuando se desea ver una lista más detallada de elementos en un espacio reducido. Distribución Muestra una distribución de eventos y flujos a lo largo de un periodo de tiempo. Es posible establecer intervalos para periodos de tiempo específicos a fin de dar forma a los datos. Área de notas Un componente vacío que se emplea para notas de texto. Permite escribir notas relacionadas con la vista actual. Recuento Muestra el total de eventos, activos, vulnerabilidades o flujos consultados para una vista concreta. Título Permite crear un título o encabezado para la vista. Se puede colocar en cualquier parte de la vista. McAfee Enterprise Security Manager 9.5.0 Guía del producto 269 7 Uso de los eventos Uso de las vistas de ESM Componente Descripción Topología de red Permite ver los datos representados en la red. También se puede crear una vista personalizada para utilizarla junto con los datos de descubrimiento de red (véase Adición de dispositivos al componente de topología de red). Mapa de geolocalización Muestra la ubicación de origen y destino de las alertas y los flujos en un mapa de geolocalización. Las opciones de este componente permiten cambiar entre marcar una ciudad, una región, un país y áreas del mundo, acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús. Filtrar lista Muestra una lista de usuarios y grupos de Active Directory. Cuando se agrega el componente Filtrar lista, es posible enlazar otros componentes con él; para ello, haga clic en la flecha hacia abajo de los campos de filtrado Usuario de origen o Usuario de destino en el Asistente de consultas y seleccione Enlazar con Lista de Active Directory. Asimismo, es posible ver los datos de eventos y flujos asociados con Active Directory mediante el icono de menú. Personalización de componentes Al agregar o editar un componente, existen varias opciones disponibles en el panel Propiedades que se pueden utilizar para personalizarlo. Las opciones disponibles dependen del componente seleccionado. 270 Opción Definición Título Cambiar el título de un componente. Anchura/Altura Definir las dimensiones del componente. También es posible hacer clic y arrastrar la línea de límite. X/Y Definir la ubicación del componente en la vista. También se puede hacer clic en la barra de título del componente y, después, arrastrarlo y soltarlo. Editar consulta Realizar cambios en la consulta actual. Al hacer clic en este botón, se abre el Asistente de consultas (véase Uso del Asistente de consultas). Mostrar barra de control Indicar si se debe mostrar o no la barra de control en la parte inferior del componente. Tamaño de página Definir cuántos registros se muestran por página si hay más datos de los que se pueden mostrar de forma simultánea. Mostrar valor “Otros” Si se selecciona esta opción, aparece el valor Otros en la parte inferior de un componente de gráfico o lista. Proporciona el total de registros no mostrados en la página actual. Por ejemplo, si está en la segunda página de un conjunto de registros, la categoría Otros es la suma de los valores de la primera página y todas las páginas existentes tras la segunda. Mostrar leyenda Mostrar una leyenda en la parte inferior o a la derecha de un gráfico de sectores. Mostrar valores (gráficos de barras y lista) Incluir el valor de cada elemento en un gráfico de barras. Mostrar etiquetas Incluir una etiqueta por cada barra de un gráfico de barras. Es posible establecer el número máximo de caracteres que se pueden mostrar en una etiqueta. Si se establece en 0, no existirá límite máximo en la etiqueta. McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Opción Definición Mostrar promedios de referencia Seleccione si desea comparar los datos actuales con los datos históricos en un gráfico de distribución o de barras, o bien en un dial de control. Existen dos opciones distintas que se pueden usar al mostrar los datos de referencia: • Usar intervalo de tiempo automático: si se selecciona esta opción, los datos de referencia se correlacionan mediante el uso del mismo periodo de tiempo utilizado en la consulta actual para los últimos cinco intervalos. Por ejemplo, si está consultando el día en curso un lunes, los datos de referencia se calculan para el mismo periodo de los últimos cinco lunes. Se emplean menos intervalos si no existen datos para un intervalo concreto. Una vez recopilados los valores de cada intervalo, se halla el promedio a fin de calcular el valor de referencia actual. • Usar intervalo de tiempo específico: al seleccionar un intervalo concreto, es posible especificar un momento de inicio y fin para calcular un promedio. Si se emplea esta opción, se calcula como un periodo de tiempo único. En el caso de los informes de distribución, produce un promedio de línea plana. Los datos de referencia se muestran en los gráficos de distribución mediante una línea azul. La línea es plana si se ha seleccionado la opción Usar intervalo de tiempo específico o si no hay datos suficientes para calcular un valor correlacionado. La línea es curva (siempre que se muestren varios valores para cada periodo de tiempo) si se calcula un valor correlacionado. El gráfico de barras muestra un indicador de flecha en el punto de referencia de cada barra. Si el valor actual es mayor que el de referencia, la barra será de color rojo por encima del marcador de referencia. Si el gráfico de barras incluye la gravedad de la regla, el color de la barra no cambiará para el valor de referencia. Una opción adicional permite establecer la aparición de un valor de margen junto con los datos de referencia. El valor de margen se calcula a partir del valor de referencia. Por ejemplo, si el valor de referencia es 100 y el margen superior es del 20 %, el valor de margen calculado será 120. La activación de esta función permite mostrar el área de margen para cada una de las barras del gráfico de barras. Un gráfico de distribución calcula el promedio de referencia, y muestra un área sombreada por encima y por debajo de la referencia que indica el área de margen. Lista de dispositivos Arrastrar y soltar dispositivos en el componente Topología de red o el árbol Agrupaciones lógicas de dispositivos. Agrupaciones lógicas de dispositivos Crear carpetas a fin de agrupar los dispositivos para el componente Topología de red. Fondo Seleccionar el color del fondo para la vista. URL de imagen de fondo permite importar una imagen para utilizarla como fondo. Adición de dispositivos al componente de topología de red La topología de red permite obtener datos de eventos y flujos de los dispositivos o el árbol de dispositivos, así como ver los datos representados en la red. Antes de empezar Es necesario descubrir la red para que aparezca la lista de dispositivos (véase Descubrimiento de red). También permite crear una vista personalizada que se puede usar con los datos de descubrimiento de red. Una vez creada una vista de topología de la red, hay que personalizarla para mostrar la información de eventos o flujos (véase Adición de una vista personalizada). McAfee Enterprise Security Manager 9.5.0 Guía del producto 271 7 Uso de los eventos Uso de las vistas de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Si va a agregar o editar una vista, haga clic en el componente Topología de red de evento, arrástrelo y suéltelo. El panel Propiedades mostrará la Lista de dispositivos y el árbol Agrupaciones lógicas de dispositivos. 2 3 En la Lista de dispositivos o la Lista de carpetas, seleccione un dispositivo o una carpeta y haga una de estas cosas: • Para agregar el dispositivo o la carpeta al componente, arrástrelo y suéltelo en el componente. • Para agregar el dispositivo o la carpeta a un grupo en el árbol Agrupaciones lógicas de dispositivos, haga clic en Agregar, introduzca un nombre para la carpeta y haga clic en Aceptar; a continuación, arrastre y suelte el dispositivo en la carpeta. Ordene los dispositivos. Los dispositivos físicamente conectados al sistema se conectan mediante una línea recta negra al componente. Las líneas curvas azules o rojas indican una ruta de datos. Detalles de dispositivos en los componentes de la Topología de red Es posible ver detalles de un dispositivo específico en un componente de Topología de red al hacer doble clic en el dispositivo. Esta pantalla permite ver información sobre interfaces y endpoints, como, por ejemplo, un resumen de puertos, el total de dispositivos y el estado de los dispositivos. Opción Definición Resumen de puertos de Muestra el puerto que se está visualizando. Total Proporciona el número total de dispositivos. Por encima del promedio de referencia Indica el número de dispositivos por encima del promedio de referencia actual. Representa una estación de trabajo. Indica que la interfaz tiene datos de alerta asociados y que los datos están por debajo del promedio de referencia. Indica que la interfaz tiene datos de alerta asociados y que los datos están por encima del promedio de referencia. Indica que la interfaz no tiene datos de alerta asociados. Indica que el estado administrativo no funciona (no solo operativamente hablando). Representa un enrutador. Indica que el puerto del conmutador está activo. 272 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Opción Definición Representa un dispositivo desconocido. Representa un dispositivo no gestionado. Indica que el ESM no se puede comunicar con el dispositivo mediante SNMP, descubrimiento de red ni ping. Barra de herramientas de componentes La barra de herramientas de componentes, situada en la parte inferior de cada componente de una vista, proporciona diversas acciones que es posible llevar a cabo con los datos del componente. Las acciones disponibles dependen del tipo de componente. Opción Definición Marcar eventos como revisados: marcar eventos concretos una vez recibidos. Posteriormente, puede usar la lista desplegable Cambiar filtro de estado de evento para mostrar solamente los eventos revisados o solamente los eventos que no se han revisado. Asignar eventos a un caso o Remedy: asignar eventos a un caso (véase Administración de casos) o enviar un mensaje de correo electrónico al sistema Remedy (si está configurado). Al hacer clic en este icono, es posible seleccionar: • Crear un nuevo caso • Agregar eventos a un caso • Enviar evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy) Ejecutar URL de dispositivo: ejecutar la dirección URL asociada con el evento seleccionado, en caso de haber agregado alguna para el dispositivo (véase Adición de una URL). Si no ha definido ninguna, se le pedirá que lo haga. Mostrar u Ocultar nombres de host: mostrar u ocultar los nombres de host asociados con las direcciones IP de la vista (véase Administración de nombres de host). Iconos de tipos de gráficos McAfee Enterprise Security Manager 9.5.0 Cambiar tipo de gráfico: cambiar el tipo de gráfico que muestra los datos. El icono correspondiente a esta función será el icono del componente correspondiente al tipo de gráfico actual. Guía del producto 273 7 Uso de los eventos Uso de las vistas de ESM Opción Definición Ver u Ocultar detalles de datos: mostrar u ocultar los detalles del evento seleccionado. Existen varias fichas en esta sección: • Detalles: muestra la información disponible para el evento o el flujo seleccionados. • Detalles avanzados: muestra información sobre el dispositivo de red de origen, el dispositivo de red de destino y las correcciones. Es posible buscar eventos o flujos según su ID, en caso de disponer de derechos suficientes para ver los registros, haciendo clic en el icono de la lupa situado a la derecha del campo ID de evento o ID de flujo. • Geolocalización: muestra la ubicación del origen y el destino del evento seleccionado. • Descripción: proporciona el nombre, la descripción y la firma o regla asociadas al evento. • Notas: permite agregar notas al evento o el flujo que aparecen cada vez que se visualiza el elemento particular. • Paquete: recupera el contenido del paquete que generó el evento seleccionado. Es posible llevar a cabo las siguientes funciones en esta ficha: • Seleccionar el formato en el que se desea ver el paquete. • • Recuperar los datos del paquete mediante . Guardar el paquete en el equipo mediante . Si se trata de una captura de paquete (PCAP) (como eventos de Nitro IPS, eventos de ADM o eventos de Estreamer procedentes del receptor), se guardará con la extensión .pcap y se podrá abrir en cualquier programa de visualización de PCAP. De lo contrario, se guardará como archivo de texto. • Configurar la recuperación automática del paquete al hacer clic en un evento. • Buscar información en el paquete mediante la introducción de la palabra clave en el campo Buscar texto y haciendo clic en . No utilice caracteres especiales como paréntesis o corchetes en el campo Buscar texto. • Eventos de origen: cuando se selecciona un evento de correlación o vulnerabilidad, se muestra el conjunto de eventos que provocó la generación del evento. • Archivo de ELM: si introduce texto en el campo Buscar texto, se recuperan los datos archivados en el ELM. Si se agrega el evento, un dispositivo Event Receiver o ACE mostrará hasta 100 eventos agregados. • Tipos personalizados: si ha definido tipos personalizados (véase Definición de filtros de tipos personalizados), 274 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Opción Definición muestra los campos de tipos personalizados y los datos del evento correspondientes a esos campos. • Información: muestra información como el nombre del dispositivo, la dirección IP, la versión del sistema operativo y el dispositivo, la descripción del sistema, la persona de contacto del sistema y la ubicación física del sistema. • Interfaces: muestra el nombre de puerto, la velocidad del puerto, la VLAN, el estado administrativo y el estado operativo. • Vecinos: muestra información específica sobre los dispositivos vecinos, como la interfaz local, el dispositivo vecino y la interfaz vecina. Cambiar período de intervalo/Cambiar tasa de intervalos: indique con qué frecuencia desea que se actualicen los datos del gráfico. Tasa: seleccione la tasa para los datos mostrados (Ninguna, Por segundo, Por minuto, Por hora, Por día, Por semana, Por mes). Dirección IP: ver los eventos o flujos de origen y destino para una dirección IP concreta. Escriba la dirección en el campo o seleccione una que haya utilizado anteriormente y haga clic en el icono Actualizar . Geolocalización: cambiar entre marcar una ciudad, una región, un país y áreas del mundo, acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús. Cambiar página: navegar por los datos cuando hay más de una página. Cambiar filtro de estado de evento: seleccionar el tipo de eventos o flujos que aparecerán en la lista de análisis. Es posible ver todos los eventos, solo los eventos revisados, solo los eventos no revisados, los eventos corregidos, todos los flujos, solo los flujos abiertos o solo los flujos cerrados. Botones de historial: desplazarse hacia adelante y hacia atrás por los cambios realizados en la vista. o Ver rutas de datos u Ocultar rutas de datos: ocultar o ver la línea que conecta dos dispositivos con las conexiones de datos de eventos o flujos. Ocultar texto: ocultar o mostrar las etiquetas del dispositivo en la vista Topología de red. Envío de un mensaje de correo electrónico a Remedy Si configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar al sistema la existencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe un número de caso de Remedy que se agrega al registro de evento. El usuario se encarga de configurar el sistema Remedy, que no tiene relación alguna con McAfee Nitro IPS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 275 7 Uso de los eventos Uso de las vistas de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En una vista de eventos, resalte el evento que requiera solución. Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy. 3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa. 4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistema acerca del evento. 5 Haga clic en Enviar. Opciones de menú de componentes La mayoría de los componentes de una vista disponen de un menú que muestra las opciones disponibles para el componente en cuestión. En la tabla siguiente se incluyen los posibles elementos. Opción Definición Información detallada (de evento, Ver más detalles sobre el tipo de datos seleccionado en las listas de información detallada. Los detalles se muestran en una vista nueva. flujo o activo) Resumir o Resumir según Ver datos de otros eventos o flujos que comparten características con los eventos seleccionados. Por ejemplo, si observa un evento de barrido de puertos en la pantalla de análisis y desea ver otros eventos generados por el mismo atacante, haga clic en el evento, seleccione Resumir según y haga clic en IP de origen. Modificar configuración de agregación Crear una excepción a la configuración de agregación general para una regla individual (véase Adición de excepciones a la configuración de agregación de eventos). Crear nueva lista de vigilancia Seleccionar eventos en una vista y agregarlos a una nueva lista de vigilancia (véase Listas de vigilancia). Adjuntar a lista de Seleccionar eventos en una vista y agregarlos a una lista de vigilancia control existente. Acciones 276 Crear nueva alarma Seleccionar eventos en una vista y crear una alarma en función de sus valores (véase Creación de una alarma). Realizar análisis de MVM Iniciar un análisis de McAfee Vulnerability Manager si el sistema incluye un dispositivo McAfee Vulnerability Manager. Ejecutar ePO Abrir la interfaz de ePolicy Orchestrator (véase Ejecución de ePolicy Orchestrator). Historial de ejecución de TIE Cuando se selecciona un evento de TIE, se puede abrir la página Historial de ejecución de TIE para ver las direcciones IP que han intentado ejecutar el archivo seleccionado. Desde esta página, es posible crear una nueva lista de vigilancia, anexar un archivo a una lista de vigilancia, crear una nueva alarma, incluir un archivo en la lista negra, exportar un archivo a CSV o agregar etiquetas de ePolicy Orchestrator al archivo. Mostrar regla Ver la regla que generó el evento. Detalles de dirección IP Permite buscar información sobre un puerto o una dirección IP de origen o destino. Es posible ver los detalles de la amenaza y los resultados de la búsqueda de WHOIS correspondientes a la dirección IP seleccionada. Búsqueda de ASN Recuperar un registro de WHOIS mediante el identificador ASN. McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Opción Definición Examinar referencia Abrir el navegador web predeterminado y conectar con la base de datos de firmas de McAfee online, la cual proporciona información sobre la firma que generó el evento seleccionado. Establecer ID de caso de Remedy Agregar el ID de caso de Remedy, recibido al enviar un mensaje de correo electrónico de evento al sistema Remedy, al registro de eventos con fines de referencia (véase Adición de un ID de caso de Remedy a un registro de eventos). Lista negra Agregar la dirección IP del evento seleccionado a la lista negra. Al seleccionar esta opción, se abre el Editor de la lista negra, donde el campo de dirección IP se rellena mediante los datos del evento seleccionado (véase Lista negra de dispositivo virtual o IPS). Buscar ELM Realizar una búsqueda de información contenida en el ELM sobre el evento seleccionado. Se abrirá la página Búsqueda de ELM mejorada con los datos seleccionados (véase Realización de una búsqueda de ELM mejorada). Cambiar VLAN Cambiar la VLAN para cualquier dispositivo seleccionado. Es posible seleccionar entre uno y doce dispositivos. Activar/Desactivar puerto(s) Es posible realizar una selección única o múltiple de interfaces o endpoints. En función de lo seleccionado, aparecerá la opción para activar o desactivar. Por ejemplo, si selecciona cinco interfaces y una de ellas está activada mientras que las otras cuatro están desactivadas, solo tendrá la posibilidad de desactivar el puerto. No obstante, si selecciona un puerto desactivado, estará disponible la opción Activar puerto(s). Ver eventos/Ver flujos Ver los eventos generados por un flujo o los flujos generados por un evento. Exportar Exportar un componente de vista a formato PDF, texto, CSV o HTML (véase Exportación de un componente). Eliminar Eliminar eventos o flujos de la base de datos. Es necesario pertenecer a un grupo con privilegios de evento y solo se pueden eliminar los registros seleccionados, la página actual de datos o un número máximo de páginas a partir de la primera. Marcar como revisado Marcar con un indicador los eventos como revisados. Es posible marcar todos los registros del conjunto de resultados, la página actual o los registros seleccionados. Crear regla de firewall personalizada Crear una regla de firewall personalizada basada en las propiedades del evento o el flujo seleccionados. Al hacer clic en Crear regla de firewall personalizada, se abre la página Nueva regla (véase Adición de reglas de correlación, base de datos o ADM personalizadas). Crear regla personalizada Crear una regla personalizada mediante la firma que activó una alerta concreta como punto de partida. Esta opción está disponible cuando se seleccionan las alertas generadas por reglas estándar (no de firewall). Al hacer clic en Crear regla personalizada, se abre la página Nueva regla (véase Adición de reglas de correlación, base de datos o ADM personalizadas). Realización de una búsqueda de WHOIS o ASN En un componente de tabla es posible realizar una búsqueda de WHOIS para localizar información sobre una dirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consulta de ASN de un gráfico de barras y cualquier registro de flujo en un componente de tabla con datos de ASN, recupera un registro WHOIS mediante el identificador ASN. McAfee Enterprise Security Manager 9.5.0 Guía del producto 277 7 Uso de los eventos Uso de las vistas de ESM Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente de tabla o una barra de consulta de ASN de un componente de gráfico. Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN. Para buscar otra dirección IP o identificador: • En la página de la ficha WHOIS, seleccione una dirección IP en la lista desplegable y escriba el nombre de host. • En la página Búsqueda de ASN, escriba los números o realice una selección en la lista desplegable. Adición de un ID de caso de Remedy a un registro de evento Cuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID de caso. Es posible agregar este número al registro de eventos como referencia para el futuro. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Resalte el evento en la vista Análisis de eventos y haga clic en el menú . Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar. Exportación de un componente Es posible exportar los datos incluidos en un componente de vista de ESM. Los componentes de gráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se pueden exportar a una lista de valores separados por comas (CSV) o HTML. Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datos exportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de una página, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haber diferencias respecto de lo que se ve en el componente. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 278 En una vista, haga clic en el menú clic en Exportar. correspondiente al componente que desee exportar y haga Seleccione uno de los formatos siguientes: • Texto: exportar los datos en formato de texto. • PDF: exportar los datos a modo de imagen. • Imagen a PDF: exportar solo la imagen. • CSV: exportar una lista de valores delimitados por comas. • HTML: exportar los datos en forma de tabla. McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM 3 4 En la página Exportar, especifique los datos que desee exportar. • Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo de páginas a partir de la página 1. • Si selecciona Imagen a PDF, se genera la imagen. • Si selecciona CSV o HTML, solo puede exportar los elementos seleccionados, la página de datos actual o un número máximo de páginas a partir de la página 1. Haga clic en Aceptar. Se generará el archivo de exportación y se le pedirá que descargue el archivo resultante. Uso del Asistente de consultas Todos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cada componente. A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cada componente del Asistente de consultas mediante la selección del tipo de consulta, la consulta, los campos que incluir y los filtros que usar. Todas las consultas del sistema, tanto predefinidas como personalizadas, aparecerán en el asistente para que pueda seleccionar los datos que desee que genere el componente. También cabe la posibilidad de editar o eliminar consultas, así como de copiar una consulta existente a fin de usarla como plantilla para configurar una consulta nueva. Administración de consultas El ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora de agregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones de configuración, así como de agregar o quitar consultas personalizadas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Acceda al Asistente de consultas de una de las formas siguientes. Para... Haga esto... Agregar una nueva vista 1 Haga clic en el icono Crear vista nueva de vista. , situado en la barra de herramientas 2 Arrastre y suelte un componente de la Barra de herramientas de edición de vistas en el panel de vista. Aparecerá el Asistente de consultas. Editar una vista existente 1 Seleccione la vista que desee editar. 2 Haga clic en el icono Editar vista actual de vista. , situado en la barra de herramientas 3 Haga clic en el componente que desee editar. 4 Haga clic en Editar consulta en el panel Propiedades. Se abrirá el Asistente de consultas por la segunda página. McAfee Enterprise Security Manager 9.5.0 Guía del producto 279 7 Uso de los eventos Uso de las vistas de ESM Para... Haga esto... Establecer el diseño de un informe nuevo 1 En Propiedades del sistema, haga clic en Informes. 2 Haga clic en Agregar. 3 En la sección 5 de la página Agregar informe, haga clic en Agregar. 4 Arrastre y suelte un componente en la sección de diseño del informe. Aparecerá el Asistente de consultas. Editar el diseño de un informe existente 1 En Propiedades del sistema, haga clic en Informes. 2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar. 3 En la sección 5 de la página Editar informe, seleccione un diseño existente y haga clic en Editar. 4 Haga clic en el componente en la sección de diseño del informe y haga clic en Editar consulta en la sección Propiedades. Se abrirá el Asistente de consultas por la segunda página. 2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones: Para... Haga esto... Agregar una nueva consulta 1 Seleccione la consulta que desee usar como plantilla y haga clic en Copiar. 2 Escriba el nombre de la nueva consulta y haga clic en Aceptar. 3 En la lista de consultas, haga clic en la recién agregada y, después, en Siguiente. 4 En la segunda página del asistente, cambie la configuración mediante los botones. Editar una consulta personalizada 1 Seleccione la consulta personalizada que desee editar y haga clic en Editar. 2 En la segunda página del asistente, cambie la configuración mediante los botones. Quitar una consulta personalizada 3 Seleccione la consulta personalizada que desee eliminar y, a continuación, haga clic en Quitar. Haga clic en Finalizar. Componentes enlazados Cuando un componente de vista se enlaza con otro componente mediante un enlace de datos, la vista pasa a ser interactiva. Al seleccionar uno o varios elementos en el componente principal, los resultados mostrados en el componente secundario cambian, igual que si se accediera a información detallada. Por ejemplo, si enlaza un componente de IP de origen de gráfico de barras principal a un componente de IP de destino de gráfico de barras secundario, al hacer una selección en el componente principal el componente secundario ejecuta su consulta mediante la IP de origen seleccionada como filtro. Al cambiar la selección en el componente principal, se actualizan los datos en el componente secundario. El enlace de datos solo permite enlazar un campo con otro. 280 McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Uso de las vistas de ESM 7 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Cree los componentes principal y secundario; después, seleccione el componente secundario. 2 En el panel Propiedades, haga clic en Editar consulta | Filtros. La página Filtros de consulta se abrirá con las consultas principales y secundarias activadas. 3 En la lista desplegable de consultas secundarias, seleccione Enlazar con. 4 Haga clic en Aceptar y, después, en Finalizar. Comparación de valores Los gráficos de distribución tienen una opción que permite superponer una variable adicional sobre el gráfico actual. De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, por ejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosas comparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacio en la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en un único gráfico de distribución. La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona una consulta de evento, solamente es posible realizar la comparación con los campos de la tabla de eventos, pero no con la tabla de flujos o de activos y vulnerabilidades. Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de la forma habitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobre los datos al mismo tiempo. El componente de distribución muestra los datos para ambos conjuntos de datos en el mismo gráfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico (esquina inferior izquierda del componente), se siguen mostrando ambos conjuntos de datos. Comparación de valores de gráficos Es posible comparar los datos de un gráfico de distribución con la variable que se seleccione. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Seleccione el icono Crear vista nueva o el icono Editar vista actual . 2 Haga clic en el icono Distribución Asistente de consultas. y, después, arrástrelo y suéltelo en la vista para abrir el 3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente. 4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada. 5 Haga clic en Aceptar y, después, en Finalizar. 6 Mueva el componente a la ubicación correcta en la vista y, después: • Haga clic en Guardar si va a agregar el componente a una vista existente. • Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vista nueva. McAfee Enterprise Security Manager 9.5.0 Guía del producto 281 7 Uso de los eventos Uso de las vistas de ESM Configuración de la distribución apilada para vistas e informes Es posible configurar el componente de distribución en una vista o informe para poder ver la distribución de los eventos relacionados con un campo específico. Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe. Cuando se accede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo y definir el tipo y los detalles del gráfico. No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada) o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta. El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio (por ejemplo, Promedio de gravedad por alerta o Duración media por flujo). 2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones. 3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas. La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el tipo de gráfico, mediante el icono Opciones de gráfico . Administración de vistas La administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista al mismo tiempo, así como de seleccionar las vistas que incluir en la lista de vistas y asignar permisos a usuarios o grupos específicos para el acceso a vistas concretas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En la consola de ESM, haga clic en el icono Administrar vistas . Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar. Búsqueda alrededor de un evento En la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos del evento dentro del espacio de tiempo seleccionado antes y después del evento. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 282 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis de eventos. Haga clic en un evento, haga clic en el icono de menú McAfee Enterprise Security Manager 9.5.0 y, después, en Buscar. Guía del producto Uso de los eventos Uso de las vistas de ESM 3 Seleccione el número de minutos antes y después de la hora del evento donde desea que el sistema busque una coincidencia. 4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda y escriba el valor. 7 Los resultados aparecerán en la vista Resultado de la búsqueda. Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menú Análisis de eventos. Visualización de los detalles de dirección IP de un evento ® ™ Si cuenta con una licencia de McAfee Global Threat Intelligence (McAfee GTI) de McAfee, dispone de acceso a la nueva ficha Detalles de amenaza al ejecutar una búsqueda de Detalles de dirección IP. Cuando se selecciona esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo o datos de geolocalización. Antes de empezar Adquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI). Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento | Análisis de eventos. Haga clic en una dirección IP, después en el icono de menú de cualquier componente que tenga una dirección IP y, a continuación, en Detalles de dirección IP. La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada. Puede copiar los datos al portapapeles del sistema. La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. No obstante, la página Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece esta información. Cambio de la vista predeterminada La vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando se inicia sesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada por cualquiera de las vistas predefinidas o personalizadas del ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas. 2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 283 7 Uso de los eventos Uso de las vistas de ESM Filtrado de vistas En el panel de filtros situado en la consola principal de ESM, es posible establecer filtros para aplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre. La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos de filtrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar y eliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado, administrar todos los filtros e iniciar el administrador de normalización de cadenas. Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertar de que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros y se vuelve a ejecutar la consulta. Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales, filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman parte de una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas en el valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como "Salas,""Barbas""Juan". Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex). Filtrado de una vista Los filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtros y actualiza la vista, los datos de la vista reflejarán los filtros agregados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en la lista desplegable de vistas y seleccione la que desee filtrar. 2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formas siguientes: • Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vista actual de forma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escriba esta dirección IP en el campo IP de origen. • Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex). • Haga clic en el icono Mostrar lista de filtros de vigilancia por las que filtrar. • En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en el panel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datos seleccionados. junto al campo y seleccione las variables o las listas En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80 representa un intervalo de gravedad de entre 60 y 80. 3 284 Realice cualquiera de las acciones siguientes: McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Para... Haga esto... Ver datos que coinciden con más de un filtro Introduzca los valores en cada campo. Ver datos que coinciden con algunos valores de filtrado y excluyen otros 1 Introduzca los valores de filtrado que desee incluir y excluir. Ver datos que coinciden con filtros de expresión regular o de tipo OR 1 Introduzca los valores de filtrado en los campos de expresión regular y OR. 2 Haga clic en el icono NOT desee excluir. situado junto a los campos que 2 Haga clic en el icono OR junto a los campos que tengan los valores OR. La vista incluirá los datos que coincidan con los valores de los campos no marcados como OR y que coincidan con cualquiera de los valores de los campos marcados como OR. Para que funcione este filtro, hay que marcar un mínimo de dos campos como OR. 4 Hacer que en los valores de filtrado no se distinga entre mayúscula y minúscula Haga clic en el icono Sin distinción mayúsculas/minúsculas campo de filtrado adecuado. Reemplazar las cadenas normalizadas por sus alias Haga clic en el icono de normalización de cadenas campo de filtrado adecuado. Haga clic en el icono Ejecutar consulta junto al junto al . La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en la vista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista que indica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros se borran y la vista muestra todos los datos. Panel Filtros El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para las vistas. Icono Significado Descripción Sugerencias Hace que aparezca información sobre herramientas al hacer clic en un campo de filtro. Iniciar administrador de Se aplica el filtrado por una cadena y sus alias (véase normalización de Normalización de cadenas). cadenas Ejecutar consulta Se aplican los filtros actuales a la vista. Deberá hacer clic en este icono si cambia un valor de filtro y desea aplicarlo a la vista actual. Borrar todo Se borran todos los filtros del panel de filtros. McAfee Enterprise Security Manager 9.5.0 Guía del producto 285 7 Uso de los eventos Uso de las vistas de ESM Icono Significado Descripción Opciones de conjunto de filtros Seleccione una acción que realizar con los conjuntos de filtros. • Convertir en predeterminado: guarda los valores de filtro introducidos como predeterminados. Estos filtros se aplican automáticamente al iniciar sesión. • Restaurar predeterminado: devuelve los filtros a los valores predeterminados para poder ejecutar la consulta con el conjunto de filtros predeterminado. • Guardar filtros rellenados: guarda el conjunto de filtros actual y lo agrega a la lista de filtros disponibles, donde podrá seleccionarlo a la hora de agregar un filtro. Escriba un nombre para el conjunto y seleccione la carpeta donde desee guardarlo. • Administrar filtros: abre la página Administración de conjuntos de filtros, donde puede organizar los conjuntos de filtros disponibles. Seleccione un campo de filtro o un conjunto de filtros por los que filtrar la vista. Al hacer clic en el campo, un menú desplegable indica todos los filtros y conjuntos de filtros posibles. Mostrar lista de filtros Seleccione las variables o las listas de vigilancia para realizar el filtrado. NOT Para ver datos que coinciden con algunos valores de filtro y excluyen otros, haga clic en esta opción junto a los campos que desee excluir. OR Para ver los datos que coinciden con los filtros de expresión regular y OR, haga clic en este icono junto a los campos que tengan los valores OR. La vista incluirá los datos que coincidan con los valores de los campos no marcados como OR y que coincidan con cualquiera de los valores de los campos marcados como OR. Para que funcione este filtro, hay que marcar un mínimo de dos campos como OR. Sin distinción Para que en los valores de filtro no se distinga entre mayúsculas/minúsculas mayúsculas y minúsculas, haga clic en este icono. Normalización de cadenas Permite reemplazar las cadenas normalizadas por sus alias. Ver filtros de un conjunto Permite ver una lista de los filtros incluidos en un conjunto. Sustituir valor Permite reemplazar el valor actual por el valor incluido en el conjunto de valores. Quitar este filtro Permite eliminar el campo de filtro de los filtros actuales. Adición de filtros de ID de evento de Windows y UCF Uno de los retos que supone la conformidad con las normativas es la naturaleza en constante evolución de estas normativas. Unified Compliance Framework (UCF) es una organización que asigna las características específicas de cada normativa a ID de control armonizados. A medida que cambian las normativas, estos ID se actualizan y se insertan en ESM. 286 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM • Es posible filtrar por el ID de conformidad a fin de seleccionar la conformidad necesaria o subcomponentes específicos, o bien por el ID de evento de Windows. Para... Haga esto... Agregar filtros UCF 1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID de conformidad. 2 Seleccione los valores de conformidad que desee usar como filtros y haga clic en Aceptar | Ejecutar consulta Agregar filtros de ID de evento de Windows . 1 Haga clic en el icono de filtro situado junto al ID de firma. 2 En Variables de filtrado, seleccione la ficha Windows. 3 Escriba los ID de evento de Windows (separados por comas) en el campo de texto o seleccione los valores que desee usar como filtro en la lista. Listas de control Una lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar como filtro o como condición de alarma. Puede ser global o específica de un usuario o grupo, y puede ser estática o dinámica. Una lista de vigilancia estática consta de valores específicos que se introducen o se importan. Una lista de vigilancia dinámica consta de valores que resultan de los criterios de búsqueda de cadenas o expresiones regulares que se definen. Una lista de vigilancia puede contener un máximo de 1 000 000 de valores. Las listas de valores de las páginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de 25 000 valores. Si hay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editar una lista de vigilancia mediante la adición de valores de forma que el total supere los 25 000, deberá exportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista. Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tiene una marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice. Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posible actualizar los valores configurados para caducar mediante su anexión a la lista a través de la opción Adjuntar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú de componentes). El ESM proporciona un conector para el origen de datos relacionales de Hadoop HBase sirviéndose de los pares clave-valor del origen. Estos datos se pueden emplear en una lista de vigilancia (véase Adición de una lista de vigilancia de Hadoop HBase). Por ejemplo, se pueden suministrar a alarmas que se activen cuando se encuentren valores de la lista de vigilancia en eventos nuevos. Adición de una lista de vigilancia Si agrega una lista de vigilancia al ESM, podrá usarla a modo de filtro para una condición de alarma. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Acceda a la página Listas de vigilancia de una de estas formas: • • En la consola de ESM, haga clic en el icono de inicio rápido Listas de vigilancia . En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas de vigilancia. McAfee Enterprise Security Manager 9.5.0 Guía del producto 287 7 Uso de los eventos Uso de las vistas de ESM La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema. Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero no contienen datos a menos que se adquiera una licencia de McAfee GTI a través de McAfee. Póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquirir una licencia. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia. Véase también Lista de vigilancia de McAfee GTI en la página 288 Lista de vigilancia de McAfee GTI Las listas de vigilancia de McAfee GTI contienen más de 130 millones de direcciones IP sospechosas y maliciosas recopiladas por McAfee junto con su gravedad. Estas listas de vigilancia se pueden utilizar para activar alarmas, para filtrar datos en informes y vistas, a modo de filtro en la correlación de reglas y como origen de calificación para un administrador de correlación de riesgos de un ACE. Para agregar los datos de las listas al sistema, es necesario adquirir una licencia de McAfee GTI por medio de McAfee. Una vez hecho esto, las listas se agregarán al sistema la siguiente vez que descargue las reglas. Este proceso puede tardar varias horas debido al tamaño de la base de datos. Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad de descargarlas sin conexión. Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema | Listas de control) indica si la lista está activa (contiene valores) o inactiva (no contiene valores). Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee. Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet Cabe la posibilidad de crear una lista de vigilancia, que se puede actualizar periódicamente, para extraer automáticamente las fuentes de amenazas o indicadores de compromiso (IOC) de Internet. En esta lista de vigilancia, se puede acceder a una vista previa de los datos que se recuperarán a través de la solicitud HTTP, así como agregar expresiones regulares para filtrar dichos datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades . 288 2 Haga clic en Listas de vigilancia y, después, en Agregar. 3 Rellene la ficha Principal y seleccione Dinámica. McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Uso de las vistas de ESM 4 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo. 5 Complete la información solicitada en las fichas Origen, Análisis y Valores. 7 El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código de origen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribir una expresión regular para la coincidencia. Una actualización planificada o ejecutada mediante Ejecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsqueda mediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con una dirección IP. Adición de una lista de vigilancia de Hadoop HBase Agregue una lista de vigilancia con Hadoop HBase como origen. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades después, haga clic en Listas de vigilancia. y, 2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la información solicitada y, a continuación, haga clic en la ficha Origen. 3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, el puerto y el nombre de la tabla. 4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta: a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna. b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Por ejemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dXNlcm5hbWU=", "latestVersion": true, "comparator": { "type": "BinaryComparator", "value": "c2NhcGVnb2F0" } } </filter> </Scanner> 5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora. Normalización de cadenas Recurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar con valores de alias, así como para importar o exportar un archivo .csv de valores de normalización de cadenas. Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización de cadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre de usuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal es Juan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, [email protected] y JuanD. A McAfee Enterprise Security Manager 9.5.0 Guía del producto 289 7 Uso de los eventos Filtros de tipos personalizados continuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el icono de filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante se muestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar la existencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no. Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividad de usuarios con privilegios. Administración de archivos de normalización de cadenas Antes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas . Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar. Creación de un archivo de normalización de cadenas que importar Si crea un archivo .csv de alias, es posible importarlo en la página Normalización de cadenas para poder utilizarlo como filtro. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formato siguiente: comando, cadena principal, alias Los comandos posibles son agregar, modificar y eliminar. 2 Guárdelo como archivo .CSV y, después, importe este archivo. Filtros de tipos personalizados Los campos de tipos personalizados se pueden usar como filtros para vistas e informes, así como para crear reglas personalizadas, lo cual permite definir datos relevantes en su caso y, después, acceder a ellos. Los datos generados por estos campos de tipos personalizados se pueden ver en la sección Detalles de las vistas Análisis de eventos o Análisis de flujos. Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use la página Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puede cambiar la configuración de subtipo. Exportación o importación de tipos personalizados Al exportar los tipos personalizados, se exportan todos a la ubicación seleccionada. Al importar un archivo de tipos personalizados, los datos importados reemplazan los tipos personalizados existentes en el sistema. 290 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Filtros de tipos personalizados Consultas personalizadas A la hora de configurar una consulta personalizada para una vista, los tipos personalizados predefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Si agrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la información consultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultado alguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al 10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipo personalizado. Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuario de origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como un filtro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta no devolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campo de usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en la tabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En caso de no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía, pero otras columnas mostrarán datos. Tipo de datos personalizados Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cada campo en un registro de varios campos. Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipo personalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal o booleano). Por ejemplo: • Registro inicial: 100300.351 • Tres subtipos: Integer|decimal|boolean • Subtipo personalizado: 100|300.35|1 Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra el número de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto de color rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64 bits. Tipo personalizado de nombre/valor Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya un grupo de pares de nombre/valor especificado. A continuación, se pueden filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas de coincidencia de campo. A continuación se indican algunas de las características de esta función: • Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular. • Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación. • La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslog avanzado (ASP). • El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Si supera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar el tamaño y el número de nombres. • Los nombres deben constar de más de dos caracteres. McAfee Enterprise Security Manager 9.5.0 Guía del producto 291 7 Uso de los eventos Filtros de tipos personalizados • El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres. • Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> <nombre>. Formato de expresión regular para tipos personalizados no indizados Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoria y cadena con hash: • Puede utilizar la sintaxis contains(<expresión regular>) o simplemente escribir un valor en los campos de cadena aleatoria no indizada o cadena con hash y después filtrar los tipos personalizados. • Es posible emplear la sintaxis regex(). • Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado no indizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y el asterisco actúan como una barra (|) y un punto seguido por un asterisco (.*) en un campo de cadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco (*), se sustituye por un punto seguido por el asterisco (.*). • Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar un error que indica que la expresión regular no es válida. • Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado de las cadenas con hash y las cadenas aleatorias indizadas o no indizadas. • El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>) y regex(<en una parte de un mensaje de regla>). • Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después. Estos son algunos filtros de búsqueda habituales: • Un valor único • Varios valores separados por comas que se convierten en una expresión regular • Una sentencia contains con un * que actúa como .* • Expresiones regulares avanzadas donde se emplea la sintaxis regex() Véase Descripción de los filtros contains y regex. Creación de tipos personalizados Es posible agregar tipos personalizados para usarlos como filtros si se dispone de privilegios de administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 292 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipos personalizados. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar para guardar el tipo personalizado. McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Filtros de tipos personalizados 7 Tabla de tipos personalizados predefinidos Si dispone de privilegios de administrador, puede ver una lista de los tipos personalizados predefinidos en la tabla de tipos personalizados (Propiedades del sistema | Tipos personalizados). Si no cuenta con privilegios de administrador, utilice esta lista de tipos personalizados predefinidos. Nombre Tipo de datos Campo de evento Campo de flujo Application (Aplicación) Cadena Campo personalizado 1 Ninguno Application_Layer ID de firma Ninguno Campo personalizado - 4 Application_Protocol Cadena Campo personalizado 1 Ninguno Authoritative_Answer Cadena Campo personalizado 10 Ninguno Bcc (CCO) Cadena Campo personalizado 9 Ninguno CC (CC) Cadena Campo personalizado 8 Ninguno Client_Version Cadena Campo personalizado 9 Ninguno Command (Comando) Cadena Campo personalizado 2 Ninguno Confidence (Confianza) Entero no firmado Campo personalizado 8 Ninguno Contact_Name Cadena Campo personalizado 6 Ninguno Contact_Nickname Cadena Campo personalizado 8 Ninguno Cookie Cadena Campo personalizado 9 Ninguno Database_Name Cadena Campo personalizado 8 Ninguno Destination User (Usuario de destino) Cadena Campo personalizado 6 Campo personalizado - 1 Destination_Filename Cadena Campo personalizado 9 Ninguno Direction (Dirección) Cadena Campo personalizado 10 Ninguno DNS_Class Cadena Campo personalizado 8 Ninguno DNS_Name Cadena Campo personalizado 5 Ninguno DNS_Type Cadena Campo personalizado 6 Ninguno Domain (Dominio) Cadena Campo personalizado 3 Ninguno End_Page Entero no firmado Campo personalizado 9 Ninguno File_Operation Cadena Campo personalizado 5 Ninguno McAfee Enterprise Security Manager 9.5.0 Guía del producto 293 7 294 Uso de los eventos Filtros de tipos personalizados Nombre Tipo de datos Campo de evento Campo de flujo File_Operation_Succeeded Cadena Campo personalizado 6 Ninguno Filename (Nombre de archivo) Cadena Campo personalizado 3 Ninguno Flow_Flags Entero no firmado Ninguno Campo personalizado - 1 From (De) Cadena Campo personalizado 5 Ninguno Hops (Saltos) Entero no firmado Campo personalizado 8 Ninguno Host Cadena Campo personalizado 4 Ninguno HTTP_Layer ID de firma Ninguno Campo personalizado - 5 HTTP_Req_Cookie Cadena Ninguno Campo personalizado - 3 HTTP_Req_Host Cadena Ninguno Campo personalizado - 5 HTTP_Req_Method Cadena Ninguno Campo personalizado - 6 HTTP_Req_Reference Cadena Ninguno Campo personalizado - 4 HTTP_Req_URL Cadena Ninguno Campo personalizado - 2 HTTP_Resp_Length Entero no firmado Ninguno Campo personalizado - 5 HTTP_Resp_Status Entero no firmado Ninguno Campo personalizado - 4 HTTP_Resp_TTFB Entero no firmado Ninguno Campo personalizado - 6 HTTP_Resp_TTLB Entero no firmado Ninguno Campo personalizado - 7 HTTP_User_Agent Cadena Ninguno Campo personalizado - 7 Interface (Interfaz) Cadena Campo personalizado 8 Ninguno Job_Name Cadena Campo personalizado 5 Ninguno Language (Idioma) Cadena Campo personalizado 10 Ninguno Local_User_Name Cadena Campo personalizado 5 Ninguno Message_Text Cadena Campo personalizado 9 Ninguno Method (Método) Cadena Campo personalizado 5 Ninguno McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de los eventos Filtros de tipos personalizados Nombre Tipo de datos Campo de evento Campo de flujo NAT_Details Personalizado • NAT_Address • Dirección IPv4 Campo personalizado 9 Campo personalizado - 1 • NAT_Port • Entero no firmado • NAT_Type 7 • Entero no firmado Network_Layer ID de firma Ninguno Campo personalizado - 1 NTP_Client_Mode Cadena Campo personalizado 5 Ninguno NTP_Offset_To_Monitor Entero no firmado Campo personalizado 8 Ninguno NTP_Opcode Cadena Campo personalizado 10 Ninguno NTP_Request Cadena Campo personalizado 9 Ninguno NTP_Server_Mode Cadena Campo personalizado 6 Ninguno Num_Copies Entero no firmado Campo personalizado 6 Ninguno Object (Objeto) Cadena Campo personalizado 5 Ninguno Object_Type Cadena Campo personalizado 2 Ninguno Priority (Prioridad) Entero no firmado Campo personalizado 8 Ninguno Query_Response Cadena Campo personalizado 9 Ninguno Referer (Sitio de referencia) Cadena Campo personalizado 10 Ninguno Response Time (Tiempo de respuesta) Personalizado Campo personalizado 10 Ninguno • Seconds (Segundos) • Entero no firmado • Milliseconds (Milisegundos) • Entero no firmado RTMP_Application Cadena Campo personalizado 9 Ninguno Session_Layer Cadena Ninguno Campo personalizado - 3 SNMP_Error_Code Cadena Campo personalizado 10 Ninguno SNMP_Item Cadena Campo personalizado 6 Ninguno SNMP_Item_Type Cadena Campo personalizado 8 Ninguno SNMP_Operation Cadena Campo personalizado 5 Ninguno McAfee Enterprise Security Manager 9.5.0 Guía del producto 295 7 Uso de los eventos Filtros de tipos personalizados Nombre Tipo de datos Campo de evento Campo de flujo SNMP_Version Cadena Campo personalizado 9 Ninguno Source User (Usuario de origen) Cadena Campo personalizado 7 Start_Page Entero no firmado Campo personalizado 8 Ninguno Subject (Asunto) Cadena Campo personalizado 10 Ninguno SWF_URL Cadena Campo personalizado 5 Ninguno TC_URL Cadena Campo personalizado 6 Ninguno To (Para) Cadena Campo personalizado 6 Ninguno Transport_Layer ID de firma Ninguno Campo personalizado - 2 URL Cadena Campo personalizado 8 Ninguno User_Agent Cadena Campo personalizado 6 Ninguno User_Nickname Cadena Campo personalizado 5 Ninguno Version (Versión) Cadena Campo personalizado 10 Ninguno Adición de tipos personalizados de tiempo Es posible agregar tipos personalizados que permiten almacenar datos temporales. Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos. Tiempo - Precisión de nanosegundos almacena datos temporales con una precisión de nanosegundos. Incluye un número de coma flotante con nueve valores de precisión que representan los nanosegundos. Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en las consultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible en el enriquecimiento de datos, las listas de vigilancia ni las alarmas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades a continuación, haga clic en Tipos personalizados | Agregar. y, En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos, rellene la información restante y haga clic en Aceptar. Tipos personalizados de nombre/valor El tipo personalizado de nombre/valor consta de un grupo de pares de nombre/valor que se especifica. Es posible filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas de Coincidencia de evento interno. A continuación se indican algunas de las características de esta función: 296 McAfee Enterprise Security Manager 9.5.0 Guía del producto 7 Uso de los eventos Filtros de tipos personalizados • Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular. • Se pueden correlacionar para permitir su selección en el Editor de reglas de correlación. • La parte del par correspondiente al valor solo se puede recopilar mediante ASP. • El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres. Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar el tamaño y el número de nombres. • Los nombres deben constar de más de dos caracteres. • El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres. • Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> <nombre>. Adición de un tipo personalizado de grupo de nombre/valor Si agrega un grupo de pares de nombre/valor, puede filtrar las vistas y las consultas con respecto a ellos y utilizarlos en las alarmas de tipo Coincidencia de evento interno. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 Haga clic en Tipos personalizados y, después, en Agregar. 3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 297 7 Uso de los eventos Filtros de tipos personalizados 298 McAfee Enterprise Security Manager 9.5.0 Guía del producto 8 Administración de casos Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporte asociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tenga el privilegio Usuario administrador de casos activado. Hay cinco maneras de agregar un caso: • En la vista Administración de casos • En el panel Casos, sin vinculación con ningún evento • En la vista Análisis de eventos, con vinculación a un evento • Al configurar una alarma • En una notificación de una alarma activada Contenido Adición de un caso Creación de un caso a partir de un evento Adición de eventos a un caso existente Edición o cierre de un caso Visualización de detalles de casos Adición de niveles de estado de casos Envío de casos por correo electrónico Visualización de todos los casos Generación de informes de administración de casos Adición de un caso El primer paso para rastrear una tarea generada como resultado de un evento de red es agregar un caso al sistema de administración de casos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Casos , haga clic en el icono Agregar caso 2 Rellene la información solicitada y, después, haga clic en Aceptar. . El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso por correo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico). McAfee Enterprise Security Manager 9.5.0 Guía del producto 299 8 Administración de casos Creación de un caso a partir de un evento Creación de un caso a partir de un evento Para rastrear un evento en la vista Análisis de eventos, cree un caso. Esto permite rastrear el flujo de trabajo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos. Haga clic en el evento, haga clic en el icono de menú caso. y, después, en Acciones | Crear un nuevo Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso. El nuevo caso incluye los datos de evento en la tabla Mensaje. Adición de eventos a un caso existente Es posible agregar uno o varios eventos a un caso existente a fin de rastrear las acciones realizadas como respuesta a esos eventos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel de vistas, seleccione Vistas de evento en la lista desplegable de vistas y, a continuación, haga clic en Análisis de eventos. 2 Seleccione los eventos y, después, realice una de las siguientes acciones: • • 3 Haga clic en el icono Asignar eventos a un caso o Remedy Haga clic en el icono Menú y seleccione Agregar eventos a un caso. , resalte Acciones y haga clic en Agregar eventos a un caso. Seleccione el caso y haga clic en Agregar. La página Detalles del caso muestra el ID de evento en la tabla Mensajes. 4 Haga clic en Aceptar y, a continuación, en Cerrar. Edición o cierre de un caso Si dispone de privilegios de Administrador de administración de casos, puede modificar cualquier caso del sistema. Si cuenta con privilegios de Usuario administrador de casos, solamente puede modificar los casos que tenga asignados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 300 Acceda a Detalles del caso de una de las formas siguientes. McAfee Enterprise Security Manager 9.5.0 Guía del producto 8 Administración de casos Visualización de detalles de casos Para... Haga esto... Un caso que tiene asignado 1 Seleccione el caso en el panel Casos. Un caso que no tiene asignado 2 Haga clic en el icono Editar caso . 1 Haga clic en el icono Abrir ventana de administración de casos Casos. en el panel 2 Seleccione el caso que desea modificar. 3 Haga clic en el icono Editar caso 2 Edite la configuración o cierre el caso en el campo Estado. 3 Haga clic en Aceptar para guardar los cambios. , situado en la parte inferior de la vista. Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya no aparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado. Visualización de detalles de casos Si dispone de derechos de Administrador en el ESM, puede ver todos los casos del ESM y realizar acciones al respecto. Todos los usuarios de un grupo pueden ver cualquier caso perteneciente al grupo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos . Se abrirá la vista Administración de casos con todos los casos del sistema. 2 Revise los datos de las fichas Notas y Eventos de origen. 3 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles del caso. Adición de niveles de estado de casos El administrador de casos ofrece dos niveles de estado: Abierto y Cerrado. Es posible agregar otros estados a los que asignar los casos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos 2 En la vista Administración de casos, haga clic en el icono Configuración de administración de casos barra de herramientas de la parte inferior y, después, haga clic en Agregar. McAfee Enterprise Security Manager 9.5.0 . en la Guía del producto 301 8 Administración de casos Envío de casos por correo electrónico 3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casos nuevos. 4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar. Envío de casos por correo electrónico Es posible configurar el sistema para que envíe de forma automática un mensaje de correo electrónico a la persona o el grupo a los que está asignado un caso cada vez que se agregue o se reasigne un caso. Antes de empezar Es necesario disponer de privilegios de Administrador de administración de casos. También se puede enviar por correo electrónico una notificación de caso manualmente, así como incluir notas sobre el caso y detalles del evento. Para... Haga esto... Enviar por correo electrónico un caso automáticamente 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos . 2 Haga clic en el icono Configuración de administración de casos . 3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clic en Cerrar. Las direcciones de correo electrónico de los usuarios deben encontrarse en el ESM (véase Configuración de usuarios). Enviar un caso existente por correo electrónico manualmente 1 En el panel Casos, seleccione el caso que desee enviar por correo electrónico y haga clic en el icono Editar caso . 2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene los campos Desde y Hasta. 3 Indique si desea incluir las notas y adjuntar un archivo CSV con los detalles de evento. 4 Escriba las notas que desee incluir en el mensaje de correo electrónico y haga clic en Enviar. Visualización de todos los casos Si tiene privilegios de tipo Administrativo en el ESM, podrá administrar todos los casos del sistema, tanto abiertos como cerrados. Los privilegios de Administrador de administración de casos permiten crear estados y organizaciones, así como establecer la funcionalidad automática de correo electrónico. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos . Se abrirá la vista Administración de casos. 302 McAfee Enterprise Security Manager 9.5.0 Guía del producto 8 Administración de casos Generación de informes de administración de casos 2 Realice una de las operaciones siguientes: Para... Haga esto... Agregar un caso Haga clic en el icono Agregar caso , situado en la barra de herramientas de la parte inferior de la vista. Ver o editar el caso seleccionado Haga clic en el icono Editar caso , situado en la barra de herramientas de la parte inferior de la vista. Enviar el caso seleccionado por correo electrónico Haga clic en el icono Enviar caso por correo electrónico , situado en la barra de herramientas de la parte inferior de la vista. Configurar un caso para que se envíe un mensaje de correo electrónico cuando se agregue o cambie Haga clic en el icono Configuración de administración de casos , situado en la barra de herramientas de la parte inferior de la vista. Agregar o editar los estados disponibles para los casos Haga clic en el icono Configuración de administración de casos en Agregar, Editar o Eliminar. y, después, Ver las notas, el historial y Haga clic en Notas, Historial o Eventos de origen. Al hacer clic en Eventos de los eventos de origen del origen, se abren las fichas de detalles de Eventos de origen. Si las fichas caso seleccionado no están visibles o lo están pero desea ocultarlas, haga clic en el icono Ver detalles de evento de origen , situado en la barra de herramientas de la parte inferior de la vista. La ficha Historial registra todas las ocasiones en que un usuario visualiza un caso. Si el mismo usuario visualiza un caso más de una vez en cinco minutos, el registro no se actualiza en cada ocasión. Filtrar los casos En el panel Filtros, seleccione o escriba los datos por los que desee filtrar los casos y haga clic en el icono Ejecutar consulta . La lista de casos cambiará para mostrar únicamente los que cumplan los criterios de filtrado. Generación de informes de administración de casos Existen seis informes de administración de casos disponibles en el ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la página Propiedades del sistema, haga clic en Informes | Agregar. 2 Rellene las secciones 1, 2 y 3. 3 En la sección 4, seleccione Consulta en CSV. McAfee Enterprise Security Manager 9.5.0 Guía del producto 303 8 Administración de casos Generación de informes de administración de casos 4 5 En la sección 5, seleccione el informe de administración de casos que desee ejecutar. • Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienen asignada, su estado, los usuarios a los que están asignados, las organizaciones a las que están asignados (si procede), la fecha y la hora de adición de los casos, la fecha y la hora de actualización de los casos (si procede) y los resúmenes de los casos. • Detalles de administración de casos: incluye toda la información del informe Resumen de administración de casos, además de los números de ID de los eventos vinculados a los casos y la información contenida en las secciones de notas de los casos. • Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo, la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, se muestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, la organización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo. • Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo. • Casos por organización: incluye el número de casos por organización. • Casos por estado: incluye el número de casos por tipo de estado. Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar. El informe se guardará y se agregará a la lista de Informes. 304 McAfee Enterprise Security Manager 9.5.0 Guía del producto 9 Uso de Asset Manager Asset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importar activos. En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar a cabo las siguientes operaciones en el grupo al completo: • Cambiar los atributos de todos los activos del grupo. Este cambio no es persistente. Si se agrega un activo a un grupo modificado, no heredará automáticamente la configuración anterior. • Realizar operaciones de arrastrar y colocar. • Cambiar el nombre de un grupo si es necesario. Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante el etiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de las instalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describen el sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable el activo. Existen dos formas de definir las etiquetas de un activo: lo hace el sistema cuando se recupera un activo o lo hace el usuario cuando agrega o edita un activo. Si el sistema define las etiquetas, se actualizan cada vez que se recupera el activo, en caso de haber cambiado. Si las define el usuario, el sistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayan cambiado. Si agrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando se recupere el activo, haga clic en Restablecer. Es necesario realizar esta acción cada vez que se realicen cambios en la configuración de las etiquetas. La administración de la configuración forma parte de las normativas de conformidad estándar, tales como PCI, HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de los enrutadores y conmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función de administración de configuraciones permite hacer lo siguiente: • Establecer la frecuencia con la que deben sondearse los dispositivos. • Seleccionar los dispositivos descubiertos en los que comprobar la configuración. • Identificar un archivo de configuración recuperado como predeterminado para el dispositivo. • Ver los datos de configuración, descargar los datos a un archivo y comparar la información de configuración de ambos dispositivos. Contenido Administración de activos Establecimiento de la administración de configuración Descubrimiento de la red Orígenes de activos Administración de orígenes de evaluación de vulnerabilidades McAfee Enterprise Security Manager 9.5.0 Guía del producto 305 9 Uso de Asset Manager Administración de activos Administración de zonas Evaluación de activos, amenazas y riesgo Administración de amenazas conocidas Administración de activos Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. Los activos descubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también se pueden manipular. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager . 2 Asegúrese de que esté seleccionada la ficha Activo. 3 Administre los activos según proceda y, después, haga clic en Aceptar. Procedimientos • Definición de activos antiguos en la página 306 El grupo Activos antiguos de Asset Manager permite almacenar activos que no se han detectado en el periodo de tiempo definido. Definición de activos antiguos El grupo Activos antiguos de Asset Manager permite almacenar activos que no se han detectado en el periodo de tiempo definido. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager . 2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos. 3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse a la carpeta Activos antiguos y, después, haga clic en Aceptar. Establecimiento de la administración de configuración La administración de configuración permite recuperar los archivos de configuración de los dispositivos que se han descubierto correctamente mediante el perfil de la interfaz de línea de comandos (CLI). Cuando termina el proceso de descubrimiento de red, es necesario establecer la administración de configuración. 306 McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de Asset Manager Descubrimiento de la red 9 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en el icono de inicio rápido de Asset Manager configuración. y seleccione la ficha Administración de Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Aceptar. Procedimientos • Administración de archivos de configuración recuperados en la página 307 Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando se comprueba la configuración de los enrutadores y los conmutadores. Administración de archivos de configuración recuperados Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando se comprueba la configuración de los enrutadores y los conmutadores. Antes de empezar Recupere los archivos de configuración (véase Establecimiento de la administración de configuración). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en el icono de inicio rápido de Asset Manager configuración. y seleccione la ficha Administración de Lleve a cabo cualquiera de las acciones disponibles en la sección Archivos de configuración recuperados de la página. Descubrimiento de la red El Descubrimiento de la red muestra las ubicaciones físicas donde se producen los eventos en la red, lo cual aumenta la capacidad de rastrear los eventos. El Descubrimiento de la red es para usuarios avanzados con un conocimiento amplio de la red, y requiere la asignación de privilegios. Es necesario disponer de privilegios activados para crear y ver el Descubrimiento de la red, así como para modificar la configuración de conmutación en Control de puertos de red. El Descubrimiento de la red a través de SNMPv3, Telnet o SSH no es conforme a FIPS. Si está obligado a cumplir las normativas de FIPS, no utilice estas funciones. Descubrimiento de red El primer paso para crear un mapa de la red es su descubrimiento. Es necesario establecer los parámetros antes de iniciar el análisis. McAfee Enterprise Security Manager 9.5.0 Guía del producto 307 9 Uso de Asset Manager Descubrimiento de la red Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. 2 Haga clic en Configuración y, después, en Agregar en la página Configurar opciones de red a fin de agregar los parámetros para el descubrimiento. 3 Indique la configuración de Parámetros de descubrimiento de red. 4 Haga clic en Aceptar. Los parámetros definidos se agregarán a la lista Configurar opciones de red. 5 Lleve a cabo otras acciones según proceda. 6 Haga clic en Descubrir red a fin de iniciar el análisis. Si es necesario detener el descubrimiento, haga clic en Detener descubrimiento. La sección Dispositivo de red de la página se rellenará con los datos del análisis. 7 Haga clic en Aceptar. Administración de la lista de exclusiones de IP Es posible agregar direcciones IP a la Lista de exclusiones de IP a fin de excluirlas de la búsqueda de descubrimiento de red. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. 2 Haga clic en Lista de exclusiones de IP. 3 Agregue una nueva dirección, o bien edite o quite una existente. 4 Haga clic en Aceptar para guardar los cambios. Descubrimiento de endpoints A la hora de configurar la red, agregar direcciones IP a la lista de exclusiones y descubrir la red, es necesario descubrir los endpoints conectados a los dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. Haga clic en Descubrir endpoints a fin de iniciar el análisis inmediatamente. Los resultados y el estado del análisis se indicarán en la sección Dispositivos endpoint de la página. 3 Para planificar el descubrimiento automático de endpoints, seleccione Descubrir automáticamente cada y seleccione la frecuencia. Visualización de un mapa de la red Existe la posibilidad de generar una representación gráfica de la red que permita mover los dispositivos a cualquier posición. 308 McAfee Enterprise Security Manager 9.5.0 Guía del producto 9 Uso de Asset Manager Orígenes de activos Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en el icono de inicio rápido de Asset Manager red. y, después, en la ficha Descubrimiento de la Haga clic en Mapa de red. Se abrirá la representación gráfica de la red. 3 Mueva los dispositivos o pase el ratón sobre un dispositivo a fin de ver sus propiedades. Cambio del comportamiento de Descubrimiento de red Existe la posibilidad de cambiar la configuración predeterminada de ping, número de estaciones finales y dispositivos simultáneos de Descubrimiento de red. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos . 2 Haga clic en la ficha Descubrimiento de red, haga clic en Configuración y por último, en Opciones avanzadas. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. Orígenes de activos Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través de Orígenes de activos. Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como los de PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan a la tabla de activos. Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en la consola de administración de Altiris. Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS para consultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar la dirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debe contener la información de DNS correspondiente a los equipos de Active Directory. Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributo networkAddress de los objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar de realizar una consulta DNS. Administración de orígenes de activos Es posible recuperar datos de Active Directory o un servidor Altiris. McAfee Enterprise Security Manager 9.5.0 Guía del producto 309 9 Uso de Asset Manager Administración de orígenes de evaluación de vulnerabilidades Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos. El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes de activos actuales. Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios. 2 Seleccione un dispositivo y, después, seleccione alguna de las acciones disponibles. Administración de orígenes de evaluación de vulnerabilidades Es posible recuperar datos de una serie de proveedores de evaluación de vulnerabilidades mediante el uso de Evaluación de vulnerabilidades. Para comunicarse con los orígenes de evaluación de vulnerabilidades deseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar los datos de evaluación de vulnerabilidades. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades. 2 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades y, después, escríbalos en el dispositivo. 3 Haga clic en Aceptar. Administración de zonas Es posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red. Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en la ubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona y desea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas y asignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agrupar los eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada una de las zonas. Administración de las zonas Las zonas ayudan a categorizar los dispositivos y los orígenes de datos según la geolocalización o el ASN. Es necesario agregar zonas, ya sea individualmente o mediante la importación de un archivo exportado de otro equipo, y asignar los dispositivos o los orígenes de datos a las zonas. 310 McAfee Enterprise Security Manager 9.5.0 Guía del producto 9 Uso de Asset Manager Administración de zonas Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas. 2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte la configuración de zonas. 3 Despliegue los cambios realizados y, después, haga clic en Aceptar Adición de una zona El primer paso para la administración de zonas es agregar las zonas empleadas para categorizar los dispositivos y los orígenes de datos. Se pueden agregar individualmente mediante la función Agregar zona, o bien se puede importar un archivo exportado de otro sistema. Cuando se agrega una zona, es posible editar su configuración en caso de ser necesario. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas. Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar. Exportación de la configuración de zonas Es posible exportar la configuración de zonas del ESM para poder importarla a otro ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono de Asset Manager y, después, en Administración de zonas. 2 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar. 3 Haga clic en Aceptar y seleccione el archivo que descargar inmediatamente. Importación de la configuración de zonas La función de importación permite importar un archivo de zonas tal cual está o editar los datos antes de su importación. Antes de empezar Exporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM. McAfee Enterprise Security Manager 9.5.0 Guía del producto 311 9 Uso de Asset Manager Administración de zonas Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Abra el archivo de configuración de zonas que desee importar. • Si se trata de un archivo de importación de definición de zonas, tendrá ocho columnas: Comando, Nombre de zona, Nombre de principal, Geolocalización, ASN, Predeterminado, Inicio de IP y Fin de IP. • Si es un archivo de importación de asignación de dispositivos a zonas, tendrá tres columnas: Comando, Nombre de dispositivo y Nombre de zona. Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cada línea cuando se importe. • add (agregar): importar los datos de la línea tal cual están. • edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible para el archivo de definición de zonas). Para realizar cambios en un intervalo de subzonas, es necesario eliminar el intervalo existente y, después, agregar el intervalo con los cambios. No es posible la edición directa. • 3 4 remove (quitar): eliminar la zona que coincide con esta línea del ESM. Guarde los cambios realizados y cierre el archivo. Haga clic en el icono de inicio rápido de Asset Manager zonas. y, después, en la ficha Administración de 5 Haga clic en Importar y seleccione el tipo de importación. 6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar. El sistema le notificará si se detectan errores en el archivo. 7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo. 8 Despliegue los cambios a fin de actualizar los dispositivos. Adición de una subzona Una vez agregada una zona, es posible agregar subzonas a fin de categorizar aún más los dispositivos y eventos según la dirección IP. Antes de empezar Agregue zonas en la ficha Administración de zonas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 312 Haga clic en el icono de inicio rápido de Asset Manager zonas. y, después, en la ficha Administración de 2 Seleccione una zona y haga clic en Agregar subzona. 3 Rellene la información solicitada y, después, haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Uso de Asset Manager Evaluación de activos, amenazas y riesgo 9 Evaluación de activos, amenazas y riesgo McAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades del sistema generan una lista de amenazas conocidas. Se utilizan la gravedad de estas amenazas y la criticidad de cada activo para calcular el nivel de riesgo que para la empresa. Administrador de activos Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna un nivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene un único equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, su criticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno de ellos con una copia de seguridad, el nivel de criticidad es considerablemente menor. Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menú Editar de la ficha Activo. Administración de amenazas La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, su gravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivar amenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detalles de las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de la amenaza, así como las contramedidas que se pueden utilizar. Vistas predefinidas Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobre activos, amenazas y riesgo. • Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles de amenaza, y los niveles de amenaza según el riesgo. • Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo y productos de protección disponibles. • Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos. Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús del componente. Vistas personalizadas Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas (véase Adición de una vista personalizada) que muestren los datos necesarios. • En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarial media y la calificación de riesgo empresarial total. • En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, la protección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y las amenazas por proveedor. • En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activos principales por calificación de riesgo y las amenazas principales por calificación de riesgo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 313 9 Uso de Asset Manager Administración de amenazas conocidas Administración de amenazas conocidas Seleccione qué amenazas conocidas se deben usar en los cálculos de riesgo. Cada amenaza tiene una calificación de gravedad. Esta calificación y la calificación de criticidad de los activos se emplean para calcular la gravedad global de una amenaza para su sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas. 3 Seleccione una amenaza conocida y haga una de estas cosas: 4 314 En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos . • Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza. • Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo, haga clic en Desactivar. • Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, haga clic en Activar. Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 10 Administración de directivas y reglas Es posible crear, aplicar y ver las reglas y plantillas de directiva. Contenido Descripción del Editor de directivas El Árbol de directivas Tipos de reglas y sus propiedades Configuración de la directiva predeterminada Operaciones relacionadas con reglas Asignación de etiquetas a reglas o activos Modificación de la configuración de agregación Omisión de la acción en las reglas descargadas Ponderaciones de gravedad Visualización del historial de cambios de directiva Aplicación de cambios de directivas Administración del tráfico prioritario Descripción del Editor de directivas El Editor de directivas permite crear plantillas de directiva y personalizar las directivas individuales. Las plantillas de directiva, así como la configuración de directiva de cualquier dispositivo, pueden heredar valores de sus elementos principales. La herencia permite que la configuración de directiva aplicada a un dispositivo presente infinidad de opciones de configuración, a la vez que se mantiene el nivel de simplicidad y facilidad de uso. Todas las directivas agregadas, al igual que todos los dispositivos, cuentan con una entrada en el Árbol de directivas. En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay que actualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas). El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos o valores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estas configuraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De forma predeterminada, las opciones de configuración del resto de directivas y dispositivos heredan los valores de la Directiva predeterminada. Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o el dispositivo en el árbol de navegación y haga clic en el icono del Editor de directivas de la barra de herramientas de acciones McAfee Enterprise Security Manager 9.5.0 . Guía del producto 315 10 Administración de directivas y reglas El Árbol de directivas 1 Barra de menús 4 Pantalla de reglas 2 Panel de ruta de navegación 5 Campo de búsqueda de etiquetas 3 Panel de tipos de reglas 6 Panel Filtros/etiquetado Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivo seleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra la jerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de la directiva en el panel de ruta de navegación y haga clic en la flecha del panel de ruta de navegación, que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en el icono del Árbol de directivas directiva. . El menú del Árbol de directivas indica las cosas que se pueden hacer con una Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección de visualización de reglas. Las columnas indican los parámetros de regla específicos que se pueden ajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad de cambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la lista desplegable. El panel Filtros/etiquetado permite filtrar las reglas que aparecen en el Editor de directivas de forma que solo se vean las que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones. El Árbol de directivas El Árbol de directivas enumera las directivas y los dispositivos del sistema. El Árbol de directivas permite: 316 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas El Árbol de directivas • Navegar para ver los detalles de una directiva o un dispositivo concretos • Agregar una directiva al sistema • Modificar el orden de las directivas o los dispositivos • Localizar cualquier directiva o dispositivo por su nombre • Renombrar, eliminar, copiar o copiar y reemplazar, importar o exportar una directiva Icono 10 Descripción Directiva El dispositivo no está sincronizado El dispositivo está preparado El dispositivo está actualizado El dispositivo virtual no está sincronizado El dispositivo virtual está preparado para la aplicación El dispositivo virtual está actualizado El origen de datos no está sincronizado El origen de datos está preparado para la aplicación El origen de datos está actualizado El ADM no está sincronizado El DEM no está sincronizado Administración de directivas en el Árbol de directivas Es posible administrar las directivas del sistema mediante la realización de acciones en el Árbol de directivas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en el icono del Editor de directivas de directivas 2 y, después, en el icono del Árbol . Realice cualquiera de las acciones siguientes: Para... Haga esto... Ver las reglas de una directiva • Haga doble clic en la directiva. Las reglas se enumeran en la sección de visualización de reglas del Editor de directivas. Convertir una directiva en secundaria de otra • Seleccione el elemento secundario, arrástrelo y suéltelo en el principal. Localizar una directiva o un dispositivo • Escriba el nombre en el campo de búsqueda. Solo se pueden arrastrar y soltar dispositivos en directivas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 317 10 Administración de directivas y reglas El Árbol de directivas Para... Haga esto... Agregar una nueva directiva 1 Seleccione la directiva a la que desee agregar la nueva directiva y haga clic en el icono Elementos de menú del árbol de directivas . 2 Haga clic en Nueva, introduzca un nombre para la directiva y haga clic en Aceptar. Cambiar el nombre de una directiva 1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar. Eliminar una directiva 1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Eliminar y después en Aceptar en la página de confirmación. Copiar una directiva 1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clic en Aceptar. Mover dispositivos 1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos a una directiva de menú del árbol de directivas . 2 Resalte la opción Mover y seleccione la directiva a la que desee mover los dispositivos. Copiar y reemplazar una directiva 1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos de menú del árbol de directivas y seleccione Copiar y reemplazar. 2 En Seleccionar directiva, seleccione la directiva que desee reemplazar. 3 Haga clic en Aceptar y, a continuación, en Sí. La configuración de la directiva copiada se aplicará a la directiva reemplazada, pero el nombre seguirá siendo el mismo. 318 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades Para... Haga esto... Importar una directiva La importación se produce desde el dispositivo seleccionado hacia abajo. 10 1 Seleccione en el árbol el nivel al que desee importar la nueva directiva, haga clic en el icono Elementos de menú del árbol de directivas y seleccione Importar. 2 Busque el archivo que desee importar y cárguelo. Si aparece un mensaje de error, véase Importar directiva para encontrar una solución. 3 Seleccione las opciones de importación que desee usar y, a continuación, haga clic en Aceptar. Exportar una directiva 1 Seleccione la directiva que desee exportar. La exportación incluye desde el nodo seleccionado hacia arriba en la jerarquía. Solo se exportan las reglas estándar con configuración personalizada o las reglas personalizadas, así que es necesario seleccionar una de estas opciones para que se active la función Exportar. 2 Haga clic en Menú y seleccione Exportar. 3 Seleccione las opciones de exportación que desee emplear, haga clic en Aceptar y seleccione la ubicación para guardar el archivo de directiva exportado. 3 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clic en el icono de cierre . Tipos de reglas y sus propiedades El panel Tipos de regla de la página Editor de directivas permite acceder a todas las reglas por tipo. Es posible importar, exportar, agregar y editar las reglas, así como realizar diversas operaciones con ellas cuando se seleccionan. Las funciones que se pueden llevar a cabo están limitadas según el tipo de regla. Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elemento principal. La regla (excepto en el caso de las reglas de Variable y Preprocesador) se marca con un icono para indicar cómo hereda su uso, y el icono cuenta con un punto en la esquina inferior izquierda si la cadena de herencia se ha roto en algún punto por debajo de la fila actual. Icono Descripción Indica que el uso de este elemento está determinado por la configuración del elemento principal. La mayoría de las reglas están configuradas para heredar la configuración de forma predeterminada, pero el uso se puede cambiar. Indica que la cadena de herencia está rota en este nivel y el valor de herencia está desactivado. Se emplea el uso actual de la regla cuando la cadena de herencia se ha roto. Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de este punto no heredan nada que se encuentre en un nivel superior de la cadena. Esta configuración resulta útil para forzar a las reglas a usar los valores predeterminados. Indica un valor personalizado; el valor se configura de forma distinta a la predeterminada. McAfee Enterprise Security Manager 9.5.0 Guía del producto 319 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Propiedades Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas de ese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades pueden encontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete. Esta propiedad... Permite... Acción Establecer la acción que realiza esta regla. Las opciones disponibles dependen del tipo de regla. Los elementos de lista negra no se pueden mover a su destino; si se selecciona Paso en la columna Lista negra, el sistema lo cambia automáticamente por Alerta. Gravedad Seleccione la gravedad de la porción de regla cuando se active la regla. La gravedad puede oscilar entre 1 y 100, siendo 100 la gravedad más alta. Lista negra Permite crear automáticamente una entrada de lista negra por cada regla cuando se activa en el dispositivo. Puede elegir entre incluir en la lista negra solo la dirección IP o la dirección IP y el puerto. Agregación Establezca para cada regla la agregación de los eventos creados cuando se active la regla. La configuración de agregación definida en las páginas de Agregación de eventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidas en el Editor de directivas. Copiar paquete Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de que se produzca una pérdida de comunicación. Si existe una copia de los datos de paquete, es posible acceder a la información a través de su recuperación. Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor. Variables Una variable es una configuración global o un marcador de posición para información específica de cada usuario o sitio. Muchas reglas hacen uso de las variables. Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificar variables. Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puede variar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece la posibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen a modo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la página Nueva variable. Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valores correspondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir un nombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizar la efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NET de acuerdo con la red protegida por el dispositivo concreto. En esta tabla se muestra una lista de variables habituales y sus valores predeterminados. 320 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades Nombre de variable Descripción Valor predeterminado Descripción predeterminada EXTERNAL_NET Cualquiera fuera de la red protegida !$HOME_NET Puerto 80 HOME_NET Espacio de dirección de la red local Cualquiera protegida: (10.0.0.0/80) Igual que HOME_NET HTTP_PORTS Puertos de servidor web: 80 u 80:90 para indicar un intervalo entre 80 y 90 80 Cualquier puerto excepto el de HTTP_PORTS HTTP_SERVE RS Direcciones de servidores web: 192.168.15.4 o [192.168.15.4,172.16.61.5] $HOME_NET Igual que HOME_NET SHELLCODE_PORTS Cualquier cosa excepto puertos de servidor web !$HTTP_PORTS Igual que HOME_NET SMTP Direcciones de servidores de correo $HOME_NET Igual que HOME_NET SMTP_SERVERS Direcciones de servidores de correo $HOME_NET Igual que HOME_NET SQL_SERVERS Direcciones de servidores de base de datos SQL $HOME_NET Igual que HOME_NET TELNET_SERVERS Direcciones de servidores de Telnet $HOME_NET Igual que HOME_NET 10 Las variables incluidas en el sistema de fábrica se pueden modificar. También es posible agregar, modificar o eliminar las variables personalizadas. Cabe la posibilidad de asignar tipos a las variables personalizadas. Los tipos de variables se usan al filtrar reglas para generar informes, y determinan el campo donde están disponibles las variables a la hora de agregar o modificar una regla. Los tipos de variables son globales por naturaleza, de forma que todos los cambios realizados se reflejan en todos los niveles de la directiva. Administración de variables Cuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabo diversas acciones a fin de administrar las variables, tanto personalizadas como predefinidas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Haga clic en el icono del Editor de directivas. 2 En el panel Tipos de regla, seleccione Variable. 3 Realice una de las operaciones siguientes: Para... Haga esto... Agregar una nueva 1 Seleccione Nueva | Categoría. categoría 2 Escriba un nombre para la nueva categoría y haga clic en Aceptar. Agregar una variable personalizada 1 En el panel de visualización de reglas, seleccione la categoría y haga clic en Nueva. 2 Seleccione Variable y defina la configuración solicitada. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 321 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Para... Haga esto... Modificar una variable 1 En el panel de visualización de reglas, seleccione la variable que desee modificar. 2 Seleccione Editar y, después, haga clic en Modificar. 3 Modifique el valor o la descripción y haga clic en Aceptar. Eliminar una variable personalizada 1 En el panel de visualización de reglas, seleccione la variable que desee eliminar. 2 Seleccione Editar y haga clic en Eliminar. Importar una variable 1 Seleccione Archivo y haga clic en Importar | Variables. 2 Haga clic en Importar, busque el archivo y cárguelo. El archivo de importación debe ser un archivo .txt con la información en el formato siguiente: NombreVariable;ValorVariable; NombreCategoría (opcional); Descripción (opcional). Si falta algún campo, debe existir un punto y coma que actúe como marcador de posición. Modificar el tipo de 1 Seleccione la variable personalizada. variable 2 Haga clic en Editar y seleccione Modificar. personalizada 3 Cambie el tipo de variable. Cuando el tipo de variable se establece con un valor distinto de No hay ningún tipo seleccionado y se confirma, no es posible cambiar el valor. 4 Haga clic en Aceptar para guardar los cambios. Detección de anomalías y secuestro de sesiones del protocolo TCP Es posible detectar y alertar de anomalías relacionadas con el protocolo TCP, así como comprobar la existencia de sesiones TCP secuestradas mediante la variable de preprocesador Stream5. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 322 En la consola de ESM, haga clic en el icono del Editor de directivas . 2 En el panel Tipos de regla, haga clic en Variable. 3 En el panel de visualización de reglas, haga clic en Preprocesador y seleccione STREAM5_TCP_PARAMS. 4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor: • Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy first. • Para comprobar la existencia de secuestro de sesiones TCP, agregue detect_anomalies check_session_hijacking tras policy first. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Reglas de preprocesador Los preprocesadores proporcionan una forma de unificar la detección de anomalías y la inspección de paquetes en los dispositivos McAfee Nitro IPS e IDS. Los preprocesadores son vitales para la detección precisa de muchas reglas. Use los preprocesadores aplicables a su configuración de red. Los parámetros de los preprocesadores se pueden cambiar mediante la edición de la variable de preprocesador en cuestión en el tipo de regla Variables del Editor de directivas. Tipo Descripción Normalización de RPC Normaliza el tráfico específico del protocolo RPC de modo uniforme únicamente con fines de detección. Este preprocesador puede evitar que los ataques relacionados con la fragmentación de RPC omitan el dispositivo Nitro IPS. Detección de barrido de puertos Genera un evento si detecta un barrido de puertos en los dispositivos del lado de confianza de la red. Una vez configurada correctamente la variable HOME_NET, deberá modificar la variable SFPORTSCAN_PARMS (Variables | preprocesador) de forma que tenga este aspecto: proto { all } scan_type { all } sense_level { medium } ignore_scanners Esto se agrega a la variable sfportscan para eliminar lo que Nitro IPS reconoce como barridos de puertos procedentes de HOME_NET. Las redes en las que el dispositivo Nitro IPS o IDS está situado cerca de un enrutador o firewall que utiliza la traducción de direcciones de red (NAT) parecen realizar barridos de puertos en el dispositivo Nitro IPS. Al modificar esta variable, disminuyen los eventos que parecen falsos positivos. HOME_NET no se puede configurar con el valor “any” para que ignore_scanners funcione correctamente. ZipZap Cuando sirven contenido web (HTTP), muchos servidores aceptan solicitudes de los navegadores web, lo que indica que el contenido web se puede comprimir antes de su envío. Aunque esto ahorra ancho de banda en la red, las páginas web comprimidas no se pueden analizar mediante un dispositivo. El preprocesador ZipZap hace que el servidor web devuelva los datos con un formato sin procesar, sin comprimir y analizable. Al activar este preprocesador, aumenta el ancho de banda utilizado por el tráfico web. Desfragmentador de Modela los destinos reales de la red en lugar de simplemente modelar los protocolos IP basado en y buscar ataques en ellos. Utiliza la estructura de datos sfxhash y listas vinculadas destino para la gestión de datos de forma interna, lo que le permite ofrecer un rendimiento predictivo y determinista en cualquier entorno, siendo esto de gran ayuda para la administración en entornos con mucha fragmentación. McAfee Enterprise Security Manager 9.5.0 Guía del producto 323 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Tipo Descripción Normalización de solicitud web Normaliza las solicitudes web de manera uniforme únicamente con fines de detección. Siempre está activada, y no es posible realizar cambios. Hay dos tipos de preprocesadores de normalización de solicitudes web, uno para las versiones hasta la 8.2.x y otro para las versiones 8.3.0 y posteriores. Este preprocesador detecta los siguientes ataques: • Ataques de cruce de directorios web (http://algo.com/./ataque.cmd) • Cadenas con doble codificación (http://algo.com/ %25%32%35%25%33%32%25%33%30ataque.cmd) • Normalización de Unicode • Caracteres no válidos en URI de solicitudes web Reensamblado de Rastrea las sesiones. Es un preprocesador Stream5, así que las palabras clave de TCP basado en regla "flow" y "flowbits" se pueden usar con el tráfico tanto TCP como UDP. destino y rastreo de sesiones TCP/UDP Administración de reglas de preprocesador Es posible activar o desactivar cada uno de los preprocesadores, además de establecer su herencia. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, haga clic en IPS | Preprocesador. 2 Seleccione Heredar, Activado o Desactivado para las reglas activas. Reglas de firewall Las reglas de firewall se usan para detectar los eventos de red en función de la información de los paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS. La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También rastrean la velocidad y el tamaño del tráfico de red. Estos son los tipos de reglas de firewall: 324 • Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada regla, consulte la sección de detalles en la parte inferior de la página. • Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IP interna reservada se detecta entrando en la red a través de un dispositivo, se activa la regla antifalsificación. • Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con origen o destino en una dirección IP o un puerto incluidos en la lista negra. • DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo. • IPv6: detecta el tráfico IPv6. • Port-Block (Bloqueo de puertos): bloquea ciertos puertos. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Detección de anomalías Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos parámetros (véase Asistente de detección de anomalías). Excepciones de firewall Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de firewall. También se puede considerar una excepción como una excepción a los patrones definidos en otras excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la selección de la casilla. A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de excepciones. Adición de una regla de firewall personalizada Por lo general, las reglas de firewall predeterminadas son suficientes para proteger la red. No obstante, puede haber situaciones en las que sea necesario agregar reglas específicas para un entorno o un sistema protegidos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Firewall. 2 Seleccione Nueva y, después, haga clic en Regla de firewall. 3 Defina la configuración y haga clic en Aceptar. Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si hace clic en el icono de filtrado , se borrará el filtro. Adición de excepciones de firewall Es posible agregar excepciones a las reglas de firewall para permitir que los eventos de red de los protocolos, direcciones IP o puertos especificados pasen a través del firewall. McAfee Enterprise Security Manager 9.5.0 Guía del producto 325 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione IPS | Firewall. 2 En el panel de visualización de reglas, haga clic en la regla a la que desee agregar una excepción. Para que sea más fácil localizar la regla, utilice los filtros del panel Filtros/etiquetado (véase Adición de reglas de filtrado). 3 Seleccione Nueva y, después, haga clic en Excepción de firewall. 4 Haga clic en Agregar y seleccione o escriba los valores que definen la excepción. 5 Haga clic en Aceptar. Reglas de inspección profunda de paquetes (DPI) Las reglas de inspección profunda de paquetes (Deep Packet Inspection, DPI) evalúan el contenido de un paquete y lo comparan con los patrones de las firmas de reglas. Si hay alguna coincidencia, se lleva a cabo la acción especificada. El filtro BASE (en el panel Filtros/etiquetado) proporciona protección frente a intrusiones conocidas que podrían dañar un sistema o sus datos. Lo mismo se aplica a los filtros MALWARE y VIRUS. Los filtros DIRECTIVA y MULTIMEDIA inhiben actividades de red (o alertan sobre ellas) asociadas con especificaciones de uso de la red definidas por el usuario, pero no asociadas a intrusiones de red peligrosas en potencia. Estos son los tipos generales de grupos de filtros: • Reglas protectoras (BASE, MALWARE, PERÍMETRO y VIRUS) • Reglas de directiva (CHAT, MULTIMEDIA, PEERTOPEER, DIRECTIVA y SECURE APPLICATION GATEWAY) Por lo general, las reglas predeterminadas son suficientes para proteger la red. No obstante, puede haber situaciones en las que se necesiten reglas específicas para un entorno o un sistema protegidos. Es posible agregar reglas de inspección profunda de paquetes (DPI) al ESM (véase Adición de reglas de inspección profunda de paquetes (DPI)). Adición de reglas de inspección profunda de paquetes (DPI) Agregue una regla de inspección profunda de paquetes (DPI) cuando sea necesaria en un entorno o un sistema protegidos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione Nitro IPS | DPI. 2 Haga clic en Nueva y seleccione Regla de DPI. 3 Defina la configuración y haga clic en Aceptar. Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si hace clic en el icono de filtro, el filtrado se eliminará y se mostrarán todas las reglas de inspección profunda de paquetes (DPI). Adición del atributo de inspección profunda de paquetes (DPI) Cuando se agrega o edita una regla de inspección profunda de paquetes (DPI), uno de los pasos necesarios es asignar atributos a la regla. Estos atributos definen la acción para la regla. Es posible 326 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 agregar y eliminar opciones personalizadas en la lista existente, de manera que se puedan asignar a una regla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione IPS | DPI | Agregar. 2 En la lista desplegable, seleccione la categoría del atributo. 3 En el campo Opciones, seleccione la acción asociada con este atributo. 4 Introduzca un valor para la opción seleccionada y haga clic en Aceptar. El nombre y el valor de la opción se agregarán a la tabla Opciones de regla. Seleccione el valor para editarlo o eliminarlo. Reglas internas El tipo de regla Interno contiene reglas con ID de firma entre 3 000 000 y 3 999 999, que son alertas internas y no tienen firmas como otras reglas. Estas reglas solo pueden estar activadas o desactivadas. Este tipo de regla solo está disponible cuando se selecciona un dispositivo virtual o Nitro IPS en el árbol de navegación del sistema. Administración de reglas internas Es posible ver la lista de las reglas internas existentes o cambiar su estado. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS. 2 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Interno. 3 En la columna Activar, haga clic en Seleccionar todo, No seleccionar nada o bien seleccione reglas individuales o anule su selección. Reglas de filtrado Las reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe los datos definidos. Orden de los datos Las reglas de filtrado se escriben en el receptor con el siguiente orden de datos. 1 2 Todas la reglas no aplicables a todo. a detención = verdadero y analizar = falso y registrar = falso b detención = verdadero y analizar = verdadero y registrar = verdadero c detención = verdadero y analizar = verdadero y registrar = falso d detención = verdadero y analizar = falso y registrar = verdadero Todas las reglas aplicables a todo. McAfee Enterprise Security Manager 9.5.0 Guía del producto 327 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Orden de las reglas Si cuenta con derechos de Administrador de directivas, puede definir el orden en que desee que se ejecuten las reglas de filtrado. Estas reglas, posteriormente, se ejecutarán en el orden más adecuado para generar los datos necesarios (véase Establecimiento del orden de las reglas de filtrado y ASP). Adición de reglas de filtrado Existe la posibilidad de agregar reglas de filtrado al Editor de directivas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione Receptor | Filtro. 2 Seleccione Nuevo y, después, haga clic en Regla de filtrado. 3 Rellene los campos y haga clic en Aceptar. 4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de la columna Acción y haga clic en activada. Reglas de ASP El ASP proporciona un mecanismo para analizar los datos contenidos en mensajes de Syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP cómo reconocer un mensaje concreto y en qué parte residen los datos en ese evento de mensaje específico, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones. También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX. Esta funcionalidad requiere escribir reglas personalizadas para el entorno Linux o UNIX concreto. Es necesario conocer las expresiones regulares para emplear esta función. Cuando el sistema recibe un registro de ASP, el formato de hora debe coincidir con el formato especificado en la regla de ASP. De lo contrario, el registro no se procesa. Es posible agregar varios formatos de hora personalizados para aumentar las posibilidades de que el formato de hora del registro coincida (véase Adición del formato de hora a las reglas de ASP). Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas de ASP. Estas reglas, posteriormente, generarán los datos necesarios (véase Establecimiento del orden de las reglas de filtrado y ASP). Adición de una regla de ASP personalizada El editor Regla de analizador de syslog avanzado permite crear reglas para analizar los datos de registro de ASP. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 328 1 En el Editor de directivas, seleccione Receptor | Analizador de syslog avanzado. 2 Seleccione Nueva y haga clic en Regla de analizador de syslog avanzado. 3 Haga clic en cada una de las fichas y rellene la información solicitada. 4 Haga clic en Finalizar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Establecimiento del orden de las reglas de filtrado y ASP Si dispone de derechos de Administrador de directivas, ahora puede establecer el orden de ejecución de las reglas de filtrado o de analizador de syslog avanzado (ASP). Esta función permite ordenar las reglas de modo eficiente para que proporcionen los datos más necesarios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En la consola de ESM, haga clic en el icono del Editor de directivas . En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación, seleccione un origen de datos en el campo Tipo de origen de datos. El panel de la izquierda se rellena con las reglas que estén disponibles para su ordenación. Las reglas ordenadas aparecen en el panel de la derecha. 3 En las fichas Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de la izquierda al de la derecha (arrástrela y colóquela o bien sírvase de las flechas) y colocarla por encima o debajo de Reglas sin ordenar. Reglas sin ordenar representa las reglas del panel de la izquierda, que son aquellas que tienen el orden predeterminado. 4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar los cambios. Adición de formatos de hora a las reglas de ASP Cuando el sistema recibe un registro de analizador de syslog avanzado (ASP), el formato de hora debe coincidir con el formato especificado en la regla de ASP. Es posible agregar varios formatos de hora personalizados para aumentar las posibilidades de que el formato de hora del registro coincida con alguno de los indicados. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en el icono del Editor de directivas . 2 En el panel Tipos de regla, haga clic en Receptor | Analizador de syslog avanzado. 3 Una vez descargadas las reglas de ASP, realice una de las acciones siguientes: • Para editar una regla existente, haga clic en ella y, después, en Editar | Modificar. • Para agregar una regla nueva, haga clic en Nuevo | Regla de analizador de syslog avanzado y, después, rellene las fichas General, Análisis y Asignación de campos. 4 Haga clic en la ficha Asignación y, después, en el icono situado sobre la tabla Formato de hora. 5 Haga clic en el campo Formato y seleccione el formato de hora. McAfee Enterprise Security Manager 9.5.0 Guía del producto 329 10 Administración de directivas y reglas Tipos de reglas y sus propiedades 6 Seleccione los campos de hora que desee que empleen este formato. Primera vez y Última vez hacen referencia a la primera y la última vez que se generó el evento. También aparecerá cualquier campo de hora de Tipo personalizado agregado al ESM (véase Filtros de tipos personalizados). 7 Haga clic en Aceptar y rellene el resto de información en la ficha Asignación. Reglas de origen de datos La lista de reglas de origen de datos incluye reglas tanto predefinidas como de aprendizaje automático. El receptor aprende de forma automática las reglas de origen de datos a medida que procesa la información que le envían los orígenes de datos asociados. La opción Origen de datos del panel Tipos de regla solo resulta visible cuando se seleccionan una directiva, un origen de datos, el Analizador de syslog avanzado o un receptor en el árbol de navegación del sistema. El área de descripción situada en la parte inferior de la página ofrece información detallada sobre la regla seleccionada. Todas las reglas tienen una configuración de gravedad que dicta su prioridad asociada. La prioridad afecta a la forma en que se muestran las alertas generadas para estas reglas con fines de generación de informes. Las reglas de origen de datos tienen una acción predeterminada definida. El receptor la asigna al subtipo de evento asociado a la regla. Es posible cambiar esta acción (véase Establecimiento de acciones de reglas de origen de datos). Establecimiento de acciones de reglas de origen de datos Las reglas de origen de datos tienen una acción predeterminada definida. El receptor asigna esta acción al subtipo de evento asociado a la regla. Es posible modificar esta acción. Cabe la posibilidad de establecer el valor del subtipo de evento por cada regla de origen de datos. Esto significa que se pueden establecer acciones de regla para paneles, informes, reglas de análisis o alarmas con distintos valores, tales como el resultado de una regla de acceso selectivo (permitir/ denegar). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas a continuación, seleccione Receptor | Origen de datos en el panel Tipos de regla. y, Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación, seleccione la nueva acción. • Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta. • Seleccione Desactivar si no desea recopilar eventos para la regla en cuestión. • Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción. Administración de reglas de origen de datos de aprendizaje automático Cabe la posibilidad de ver una lista de todas las reglas de origen de datos de aprendizaje automático y editarlas o eliminarlas. 330 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione Receptor | Origen de datos. 2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior del panel. 3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta . En el panel de visualización aparecerán todas las reglas de origen de datos de aprendizaje automático. 4 Seleccione la regla que desee editar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglas de aprendizaje automático. • Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic en Aceptar. • Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic en Aceptar. Reglas de eventos de Windows Las reglas de eventos de Windows se usan para generar eventos relacionados con Windows. Se trata de reglas de origen de datos para eventos de Windows y son independientes del tipo de regla de origen de datos porque constituyen caso de uso común. Todas las reglas de este tipo están definidas por McAfee. No es posible agregarlas, modificarlas ni eliminarlas, pero cabe la posibilidad de cambiar la configuración de sus propiedades. Reglas de ADM McAfee ADM consta de una serie de dispositivos de red con tecnología de motor de ICE para la inspección profunda de paquetes (Deep Packet Inspection, DPI). El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos de protocolo y contenido que puede identificar y extraer contenido a partir del tráfico de red sin procesar en tiempo real. Es capaz de volver a ensamblar y descodificar por completo el contenido de nivel de aplicación, para lo cual transforma los crípticos flujos de paquetes de red en contenido fácilmente legible, como si se leyera en un archivo local. El motor de ICE puede identificar automáticamente protocolos y tipos de contenido sin necesidad de confiar en números de puerto de TCP o extensiones de archivo concretos. El motor de ICE no emplea firmas para realizar los análisis y la descodificación; en su lugar, sus módulos implementan analizadores completos para cada protocolo o tipo de contenido. Esto tiene como resultado una identificación y una descodificación extremadamente precisas del contenido, y permite identificar y extraer el contenido aunque esté comprimido o codificado de cualquier otra forma (es decir, que no pasa por la red sin cifrar). Gracias a la identificación y descodificación altamente precisas, el motor de ICE puede ofrecer una visión del tráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir un flujo de documento PDF que pasó por la red dentro de un archivo zip a modo de datos adjuntos codificados en BASE-64 con dirección a una dirección de correo electrónico SMTP y procedente de un servidor proxy SOCKS. McAfee Enterprise Security Manager 9.5.0 Guía del producto 331 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Este reconocimiento de aplicaciones y documentos permite al ADM proporcionar un contexto de seguridad inestimable. Puede detectar amenazas que no se detectan fácilmente mediante un sistema de detección de intrusiones tradicional o Nitro IPS, tales como: • Fuga de información y documentos de carácter confidencial o infracciones de la directiva de comunicación. • Tráfico de aplicación no autorizado (por ejemplo, quién utiliza Gnutella). • Aplicaciones utilizadas de formas inesperadas (por ejemplo, HTTPS en un puerto no estándar). • Documentos potencialmente maliciosos (por ejemplo, un documento que no coincide con su extensión). • Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado). El ADM también detecta patrones de tráfico malicioso mediante la localización de anomalías en los protocolos de transporte y aplicación (por ejemplo, una conexión RPC que tiene un formato incorrecto o que el puerto TCP es 0). Aplicaciones y protocolos compatibles Existen más de 500 aplicaciones y protocolos compatibles en los que el ADM puede supervisar, descodificar y detectar anomalías. Esta lista incluye algunos ejemplos: 332 • Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc. • Correo electrónico: MAPI, NNTP, POP3, SMTP, Microsoft Exchange • Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC • Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace • P2P: Gnutella, bitTorrent • Shell: SSH (solo detección), Telnet • Mensajería instantánea: AOL, ICQ, Jabber, MSN, SIP y Yahoo • Protocolos de transferencia de archivos: FTP, HTTP, SMB y SSL • Protocolos de compresión y extracción: BASE64, GZIP, MIME, TAR, ZIP, etc. • Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU • Paquetes de instalación: paquetes de Linux, archivos CAB de InstallShield, archivos CAB de Microsoft • Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital e iconos de Windows • Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast, etc. • Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4 , Vivo, Digital Video (DV), MJPEG, etc. • Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes, archivos ejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollo de software • Otros protocolos: impresora de red, acceso a shell, VoIP, y peer-to-peer McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Conceptos clave Para comprender cómo funciona el ADM, es fundamental conocer los siguientes conceptos: • Objeto: un objeto es un elemento individual de contenido. Un mensaje de correo electrónico es un objeto, pero también un contenedor de objetos, ya que consta del cuerpo del mensaje y de datos adjuntos. Una página HTML es un objeto que puede contener otros objetos, tales como imágenes. Un archivo .zip y cada uno de los archivos contenidos en él son objetos. El ADM desempaqueta el contenedor y trata cada uno de los objetos que hay dentro como un objeto en sí mismo. • Transacción: una transacción es un envoltorio que rodea la transferencia de un objeto (contenido). Una transacción contiene como mínimo un objeto; no obstante, si ese objeto es un contenedor, como un archivo .zip, la transacción podría contener varios objetos. • Flujo: un flujo es la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones. Reglas de DEM El auténtico poder de McAfee DEM radica en la forma en que captura y normaliza la información contenida en los paquetes de red. El DEM también tiene la capacidad de crear reglas complejas mediante expresiones lógicas y regulares para la coincidencia con patrones, lo cual ofrece la posibilidad de supervisar los mensajes de bases de datos o aplicaciones casi sin falsos positivos. Los datos normalizados (métricas) varían según la aplicación, ya que algunos mensajes y protocolos de aplicación tienen más información que otros. Las expresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis, sino también para asegurarse de que la métrica sea compatible con la aplicación. El DEM incluye un grupo de reglas predeterminado. Las reglas de conformidad predeterminadas supervisan los eventos de base de datos significativos, tales como inicio/cierre de sesión, actividad de administrador de base de datos, como por ejemplo cambios de DDL, actividad sospechosa y ataques de base de datos, que suelen ser necesarios para satisfacer los requisitos de conformidad. Es posible activar o desactivar cada una de las reglas predeterminadas y establecer el valor de los parámetros que el usuario puede definir. Estos son los tipos de reglas de DEM: base de datos, acceso a datos, descubrimiento y rastreo de transacciones. Tipos de regla Descripción Base de datos El grupo de reglas predeterminado del DEM incluye reglas para todos los tipos de bases de datos admitidos y normativas habituales tales como SOX, PCI, HIPAA y FISMA. Es posible activar o desactivar cada una de las reglas predeterminadas y establecer el valor de cada uno de los parámetros que el usuario puede definir. Además de usar las reglas incluidas en el DEM, es posible crear reglas complejas mediante expresiones lógicas y regulares. Esto permite supervisar los mensajes de base de datos o aplicación prácticamente sin falsos positivos. Ya que algunos mensajes y protocolos de aplicación tienen más información que otros, los datos normalizados (métricas) varían según la aplicación. Las reglas pueden ser tan complejas como sea necesario y permiten la inclusión de operadores tanto lógicos como de expresión regular. Es posible aplicar una expresión de regla a una o varias métricas disponibles para la aplicación. Acceso a datos Las reglas de acceso a datos del DEM proporcionan la capacidad de rastrear rutas de acceso desconocidas a la base de datos y enviar alertas en tiempo real. Algunas infracciones habituales en los entornos de base de datos, como que los desarrolladores de aplicaciones accedan a los sistemas de producción mediante los ID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando se crean las reglas de acceso a datos apropiadas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 333 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Tipos de regla Descripción Descubrimiento Las reglas de descubrimiento de base de datos del DEM proporcionan una lista de excepciones de servidores de base de datos, de los tipos admitidos por el ESM, que están en la red pero no se supervisan. Esto permite a un administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y los puertos de escucha no autorizados abiertos para acceder a los datos a través de las bases de datos. Las reglas de descubrimiento (Editor de directivas | Tipo de regla de DEM | Descubrimiento) son reglas predefinidas que no se pueden agregar ni editar. Cuando se activa la opción de descubrimiento la página de servidores de base de datos (Propiedades de DEM | Servidores de base de datos | Activar), el sistema emplea estas reglas para buscar servidores de base de datos presentes en la red pero no incluidos bajo el DEM en el árbol de navegación del sistema. Rastreo de transacciones Las reglas de rastreo de transacciones permiten realizar un seguimiento de las transacciones de base de datos y conciliar los cambios automáticamente. Por ejemplo, el lento proceso de rastrear los cambios de base de datos y conciliarlos mediante órdenes de trabajo autorizadas en el sistema de fichas de cambio existente puede automatizarse por completo. El uso de esta función se comprende mejor con un ejemplo: El administrador de la base de datos, como parte del procedimiento normal, ejecutaría el procedimiento almacenado de etiqueta de inicio (spChangeControlStart en este ejemplo) en la base de datos donde se debe realizar el trabajo antes de que empiece realmente el trabajo autorizado. La función Rastreo de transacciones del DEM permite al administrador de base de datos incluir un máximo de tres parámetros de cadena opcionales a modo de argumento para la etiqueta en la secuencia correcta: 1 ID 2 Nombre o iniciales del administrador 3 Comentario Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’ Cuando el DEM detecta la ejecución del proceso spChangeControlStart, no solamente registra la transacción, sino también los parámetros (ID, nombre, comentario) a modo de información especial. Una vez terminado el trabajo, el administrador de base de datos ejecuta el procedimiento almacenado de etiqueta de fin (spChangeControlEnd) y, si procede, incluye un parámetro de ID, que debe ser el mismo que el ID de la etiqueta de inicio. Cuando el DEM detecta la etiqueta de fin (y el ID), puede agrupar todas las actividades entre la etiqueta de inicio (que tiene el mismo ID) y la etiqueta de fin como una transacción especial. Entonces es posible informar por transacciones y buscar por ID, que en este ejemplo de conciliación de órdenes de trabajo podría ser el número de control de cambio. También es posible utilizar el rastreo de transacciones para registrar el inicio y el fin de una ejecución de orden o las sentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas. 334 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Referencias de métricas para reglas de DEM A continuación se ofrece una lista de referencias de métricas para las expresiones de reglas del DEM, las cuales están disponibles en la página Componente de expresión cuando se agrega una regla en el DEM. Nombre Definición Tipos de bases de datos Nombre de aplicación El nombre que identifica el tipo de base de datos al que se aplica la regla. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PIServer, InterSystems Cache Hora de inicio Marca de tiempo de inicio de la consulta. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Desviación de hora de inicio Captura las desviaciones con respecto a la hora del servidor. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Cache IP del cliente Dirección IP del cliente. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Nombre del cliente Nombre del equipo cliente. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache PID del cliente ID de proceso asignado por el sistema operativo al proceso del cliente. MSSQL, DB2, Sybase, MySQL Puerto del cliente Número de puerto de la conexión de socket del cliente. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Nombre del comando Nombre del comando de MySQL. MSSQL, Oracle, DB2, Sybase, Informix Tipo de comando Tipo de comando de MySQL: DDL, DML, Show o Replication. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Datos entrantes Número total de bytes del paquete de consulta entrante. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Datos salientes Número total de bytes del paquete de resultado saliente. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache McAfee Enterprise Security Manager 9.5.0 Guía del producto 335 10 336 Administración de directivas y reglas Tipos de reglas y sus propiedades Nombre Definición Tipos de bases de datos Nombre de la base de datos Nombre de la base de datos a la que se accede. MSSQL, DB2, Sybase, MySQL, Informix, PostgreSQL, PIServer, InterSystems Cache Hora de fin Marca de tiempo de fin de la consulta. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Mensaje de error Contiene el texto de mensaje asociado con las variables SQLCODE y SQLSTATE de la estructura de datos SQLCA, que proporciona información sobre el éxito o el fracaso de las sentencias SQL solicitadas. DB2, Informix Número de mensaje Un número de mensaje exclusivo asignado por el servidor de base de datos a cada error. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache Gravedad del mensaje Número de nivel de gravedad entre 10 y 24 que indica el tipo y la gravedad del problema. MSSQL, Sybase, Informix Texto de mensaje Texto completo del mensaje. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache Hora de red Tiempo que se tarda en enviar el conjunto de resultados de vuelta al cliente (response_time server_response_time). MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Nombre de cliente de NT Nombre del equipo Windows donde el usuario inició la sesión. MSSQL Nombre de dominio de NT Nombre del dominio de Windows donde el usuario inició la sesión. MSSQL Nombre de usuario de NT Nombre de inicio de sesión de usuario de Windows. MSSQL Nombre del objeto MSSQL, Oracle, DB2, Sybase, MySQL, Informix Nombre de usuario del SO Oracle Nombre del paquete Un paquete contiene estructuras de control utilizadas DB2 para ejecutar sentencias SQL. Los paquetes se producen durante la preparación del programa y se crean utilizando el subcomando BIND PACKAGE de DB2. Paquetes entrantes Número de paquetes que componen la consulta. McAfee Enterprise Security Manager 9.5.0 MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Nombre Definición Tipos de bases de datos Paquetes salientes Número de paquetes que componen el conjunto de resultados devuelto. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Contraseña MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache Longitud de contraseña MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache Tamaño de bloque de consulta Un bloque de consulta es la unidad básica de transmisión para los datos de consultas y conjuntos de resultados. La especificación del tamaño del bloque de consulta permite al solicitante, que puede tener limitaciones en cuanto a recursos, controlar la cantidad de datos que se devuelven en cada momento. DB2, Informix Estado de salida de consulta Estado de salida de una consulta. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache Número de consulta Un número exclusivo asignado a cada consulta por el MSSQL, Oracle, DB2, agente de supervisión AuditProbe; empieza desde Sybase, MySQL, PostgreSQL, cero para la primera consulta y va aumentando de Teradata, PIServer, uno en uno. InterSystems Cache Texto de consulta La consulta SQL real enviada por el cliente. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Tipo de consulta Un número entero asignado a los distintos tipos de consultas. MSSQL, Oracle, Sybase Nombre de usuario real Nombre de inicio de sesión de usuario del cliente. Contenido de respuesta MSSQL, Oracle, DB2, Sybase, MySQL, Informix Tiempo de respuesta Tiempo de respuesta de un extremo a otro de la consulta (server_response_time + network_time). MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache Filas de devolución Número de filas que componen el conjunto de resultados devuelto. McAfee Enterprise Security Manager 9.5.0 MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Guía del producto 337 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Nombre Definición Tipos de bases de datos Indicador de seguridad Métrica de indicador de seguridad cuyo valor se establece en 1 (de confianza) o 2 (no fiable) cuando se cumplen los criterios del archivo de directiva de acceso especificados por el administrador. El valor 3 indica que los criterios del archivo de directiva no se han cumplido. El valor 0 indica que la supervisión de seguridad no se ha activado. MSSQL, Oracle, DB2, Sybase, MYSQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Mecanismo de seguridad DB2 El mecanismo de seguridad utilizado para validar la identidad del usuario (por ejemplo, el ID de usuario y la contraseña). IP del servidor Dirección IP del host del servidor de base de datos. Nombre del servidor Se trata del nombre del servidor. El nombre de host se asigna como nombre de servidor de forma predeterminada. Puerto del servidor Número de puerto del servidor. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache Tiempo de respuesta Respuesta inicial del servidor de base de datos a la del servidor consulta del cliente. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Código de gravedad DB2 SID Identificador de sistema de Oracle. Oracle, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache SPID ID de proceso de sistema de base de datos asignado a cada conexión/sesión concreta. MSSQL, Sybase Código SQL Cuando se ejecuta una sentencia SQL, el cliente recibe un SQLCODE, el cual es un código de devolución que proporciona información adicional específica de DB2 sobre un error o una advertencia de SQL: • El SQLCODE EQ 0 indica que la ejecución ha sido correcta. • El SQLCODE GT 0 indica que la ejecución ha sido correcta con una advertencia. • EL SQLCODE LT 0 indica que la ejecución no ha sido correcta. • El SQLCODE EQ 100 indica que no se han encontrado datos. El significado de los SQLCODE distintos de 0 y 100 varía en función del producto concreto que implemente SQL. Comando SQL 338 Tipo de comando SQL. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Nombre Definición Tipos de bases de datos Estado SQL El SQLSTATE de DB2 es un código de devolución adicional que proporciona a los programas de aplicación códigos de devolución comunes para situaciones de error habituales en los sistemas de bases de datos relacionales de IBM. DB2 Nombre de usuario Nombre de inicio de sesión de usuario de la base de datos. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache Reglas de correlación La finalidad principal del motor de correlación es analizar los datos que fluyen del ESM, detectar patrones interesantes en el flujo de datos, generar alertas que representen esos patrones e insertar las alertas en la base de datos de alertas del receptor. El motor de correlación se activa cuando se configura un origen de datos de correlación. Dentro del motor de correlación, un patrón interesante tiene como resultado datos interpretados por una regla de correlación. Una regla de correlación es distinta e independiente de una regla estándar o de firewall, y dispone de un atributo que especifica su comportamiento. Cada receptor obtiene un grupo de reglas de correlación de un ESM (grupo de reglas de correlación desplegado), el cual se compone de cero o más reglas de correlación con un conjunto cualquiera de valores de parámetros definidos por el usuario. Al igual que en el caso de los grupos de reglas estándar y de firewall, se incluirá un grupo de reglas de correlación de base en cada ESM (grupo de reglas de correlación básico) y las actualizaciones de este grupo de reglas se desplegarán en los dispositivos ESM desde el servidor de actualización de reglas. Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando se actualiza el grupo de reglas básico del motor de correlación, es necesario personalizar estos valores predeterminados para que representen la red de forma apropiada. Si despliega estas reglas sin cambiar los valores predeterminados, pueden generar falsos positivos o falsos negativos. Solo se puede configurar un origen de datos de correlación por cada receptor, de forma similar a la configuración de syslog u OPSEC. Una vez configurado el origen de datos de correlación, se puede editar el grupo de reglas de base a fin de crear el grupo de reglas de correlación desplegado mediante el Editor de reglas de correlación. Cabe la posibilidad de activar o desactivar cada regla de correlación y establecer el valor de los parámetros definibles por el usuario de cada regla. Además de activar o desactivar las reglas de correlación, el Editor de reglas de correlación permite crear reglas personalizadas y crear componentes de correlación personalizados que se pueden agregar a las reglas de correlación. Visualización de los detalles de las reglas de correlación Las reglas de correlación muestran ahora detalles sobre la causa de que se activara la regla. Esta información puede ayudarle a realizar ajustes en relación con los falsos positivos. Los detalles se recopilan siempre en el momento de la solicitud en la interfaz de usuario. No obstante, en el caso de las reglas que usan listas de vigilancia dinámicas u otros valores que pueden cambiar con frecuencia, es posible configurar la regla para obtener los detalles de inmediato tras la activación. Esto reduce la posibilidad de que los detalles dejen de estar disponibles. McAfee Enterprise Security Manager 9.5.0 Guía del producto 339 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 Configurar cada una de las reglas para que los detalles se muestren de inmediato: a En la consola de ESM, haga clic en el icono de inicio rápido Correlación . Se abrirá el Editor de directivas con el tipo de regla Correlación seleccionado. b Haga clic en la columna Detalles correspondiente a la regla y seleccione Activado. Puede seleccionar varias reglas a la vez. 2 Ver los detalles: a En el árbol de navegación del sistema, haga clic en Correlación de reglas bajo el dispositivo ACE. b En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos y haga clic en el evento que desee ver. c Haga clic en la ficha Detalles de correlación para ver los detalles. Adición de reglas de correlación, base de datos o ADM personalizadas Además de usar las reglas de correlación, base de datos y ADM predefinidas, es posible crear reglas complejas mediante expresiones regulares y lógicas. Los editores empleados para agregar estos tipos distintos de reglas se parecen mucho entre ellos, así que se describen en las mismas secciones. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 340 1 En el panel Tipos de regla del Editor de directivas, seleccione ADM, DEM | Base de datos o Correlación. 2 Haga clic en Nueva y seleccione el tipo de regla que desee agregar. 3 Introduzca la información solicitada y, después, arrastre y suelte elementos lógicos y componentes de expresión de la barra de herramientas en el área Lógica de expresión a fin de crear la lógica de la regla. 4 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Procedimientos • Adición de parámetros a un componente o una regla de correlación en la página 342 Los parámetros de una regla o un componente controlan su comportamiento cuando se ejecutan. Los parámetros no son necesarios. • Adición o edición de una regla de acceso a datos en la página 344 Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de acceso desconocidas a la base de datos y enviar eventos en tiempo real. • Adición o edición de una regla de rastreo de transacciones en la página 345 Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilian automáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden o las sentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas. • Administración de reglas de correlación, DEM o ADM personalizadas en la página 345 Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al agregar una regla personalizada, es posible editar la configuración, copiarla y pegarla a fin de emplearla a modo de plantilla para una regla personalizada nueva, o bien eliminarla. • Configuración de la regla y el informe para las pistas de auditoría de base de datos en la página 346 Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de las modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o tabla asociadas con un evento de base de datos concreto. Elementos lógicos Cuando se agrega una regla de correlación, base de datos o ADM, o bien un componente de correlación, es necesario crear la funcionalidad básica de la regla; para ello, hay que arrastrar los elementos lógicos a las áreas Lógica de expresión o Lógica de correlación. Los elementos lógicos conforman la estructura de la regla. Elemento Descripción AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de que se active una regla. OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una de las condiciones. SET En el caso de los componentes o las reglas de correlación, este elemento permite definir más de una condición y seleccionar el número de condiciones que deben ser verdaderas para que se active la regla. Por ejemplo, si tiene tres condiciones en el conjunto y dos de ellas deben cumplirse para que se active la regla, la configuración será "2 de 3". Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones: McAfee Enterprise Security Manager 9.5.0 Guía del producto 341 10 Administración de directivas y reglas Tipos de reglas y sus propiedades • editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos). • quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos secundarios estos no se eliminan, sino que se mueven hacia arriba en la jerarquía. Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz, también se eliminan todos los elementos secundarios. • quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y todos sus elementos secundarios de la jerarquía. Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para controlar el comportamiento de la regla o el componente cuando se ejecuten. Edición de elementos lógicos Los elementos lógicos AND, OR y SET tienen una configuración predeterminada. Esta configuración se puede cambiar en la página Editar elemento lógico. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica de correlación. Haga clic en el icono Menú en Editar. correspondiente al elemento que desee editar y, después, haga clic Cambie la configuración y haga clic en Aceptar. Adición de parámetros a un componente o una regla de correlación Los parámetros de una regla o un componente controlan su comportamiento cuando se ejecutan. Los parámetros no son necesarios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En las páginas Regla de correlación o Componente de correlación, haga clic en Parámetros. 2 Haga clic en Agregar y escriba un nombre para el parámetro. 3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección. Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluir un intervalo (1–6 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13. 4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valores predeterminados 342 . 5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visible externamente. El parámetro es local en cuanto al ámbito de la regla. 6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la página Parámetros de regla al resaltar el parámetro. 7 Haga clic en Aceptar y, a continuación, en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Ejemplo de componente o regla de correlación personalizados Agregue un componente o regla de correlación. La regla que vamos a agregar en este ejemplo genera una alerta cuando el ESM detecta cinco intentos de inicio de sesión fallidos de un mismo origen en un sistema Windows, seguidos por un inicio de sesión correcto, todo ello en un plazo de diez minutos. 1 En el panel Tipos de regla del Editor de directivas, haga clic en Correlación. 2 Haga clic en Nueva y, después, seleccione Regla de correlación. 3 Escriba un nombre descriptivo y seleccione la gravedad. Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedido al sistema, un valor de gravedad adecuado sería 80. 4 Seleccione el ID de normalización, que podría ser Autenticación o Autenticación | Inicio de sesión y, después, arrastre y suelte el elemento lógico AND. Se utiliza AND porque hay dos tipos de acciones que deben llevarse a cabo (primero los intentos de inicio de sesión y luego un inicio de sesión correcto). 5 Haga clic en el icono Menú y seleccione Editar. 6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidos y después un inicio de sesión correcto) deben producirse en una secuencia; después, establezca el número de veces que se debe producir esta secuencia, que este caso sería "1". 7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar. Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debe dividirse entre las dos. En este ejemplo, cinco minutos es el periodo de tiempo para cada acción. Una vez que se han producido los intentos fallidos en un plazo de cinco minutos, el sistema empieza a esperar un inicio de sesión correcto del mismo origen de IP en los siguientes cinco minutos. 8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derecha para indicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clic en Aceptar. 9 Defina la lógica para esta regla o este componente. McAfee Enterprise Security Manager 9.5.0 Guía del producto 343 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Para... Haga esto... Especificar el tipo de filtro que identifica los eventos de interés (en este caso, varios intentos de inicio de sesión fallidos en un sistema Windows). 1 Arrastre el icono Filtro y suéltelo en el elemento lógico AND. 2 En la página Componente de filtrado de campos, haga clic en Agregar. 3 Seleccione Regla de normalización | En y, después, seleccione: • Normalización • Autenticación • Inicio de sesión • Inicio de sesión de host • Varios intentos de inicio de sesión fallidos en un host de Windows 4 Haga clic en Aceptar. Indique el número de veces que debe producirse el fallo de inicio de sesión y el periodo de tiempo en el que deben ocurrir estos fallos. 1 Arrastre y suelte el elemento lógico AND en la barra Filtro. Se utiliza el elemento AND porque son cinco los intentos distintos que deben producirse. El elemento permite establecer el número de veces y la cantidad de tiempo en que deben producirse. 2 Haga clic en el icono Menú correspondiente al elemento AND recién agregado y haga clic en Editar. 3 En el campo Umbral, introduzca 5 y borre el resto de valores presentes. 4 Configure el campo Período de tiempo con el valor 5. 5 Haga clic en Aceptar. Defina el segundo tipo de filtro que debe utilizarse, que es el inicio de sesión correcto. 1 Arrastre y suelte el icono Filtro en la parte inferior del corchete correspondiente al primer elemento lógico AND. 2 En la página Coincidir componente, haga clic en Agregar. 3 En los campos, seleccione Regla de normalización | En y, después, seleccione: • Normalización • Autenticación • Inicio de sesión • Inicio de sesión de host 4 Haga clic en Aceptar para volver a la página Coincidir componente. 5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar, seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic en Subtipo de evento | correcto | Agregar. 6 Haga clic en Aceptar para volver al Editor de directivas. La nueva regla se agregará a la lista de reglas de correlación en el Editor de directivas. Adición o edición de una regla de acceso a datos Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de acceso desconocidas a la base de datos y enviar eventos en tiempo real. Algunas infracciones habituales en los entornos de base de datos, como que los desarrolladores de aplicaciones accedan a los sistemas de producción mediante los ID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando se crean las directivas de acceso a datos apropiadas. 344 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos. 2 Siga uno de estos procedimientos: 3 • Para agregar una regla, seleccione Nueva y haga clic en Regla de acceso a datos. • Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar | Modificar. Rellene la información solicitada y haga clic en Aceptar. Adición o edición de una regla de rastreo de transacciones Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilian automáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden o las sentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione DEM | Rastreo de transacciones. 2 Siga uno de estos procedimientos: 3 • Para agregar una regla nueva, haga clic en Nueva y, después, en Regla de rastreo de transacciones. • Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar | Modificar. Rellene la información solicitada y haga clic en Aceptar. Administración de reglas de correlación, DEM o ADM personalizadas Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al agregar una regla personalizada, es posible editar la configuración, copiarla y pegarla a fin de emplearla a modo de plantilla para una regla personalizada nueva, o bien eliminarla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, seleccione ADM o DEM | Base de datos, Acceso a datos o Rastreo de transacciones. 2 Realice cualquiera de las acciones siguientes: McAfee Enterprise Security Manager 9.5.0 Guía del producto 345 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Para... Haga esto... Ver todas las reglas 1 Seleccione la ficha Filtro en el panel Filtros/etiquetado. personalizadas de ADM o 2 Haga clic en la barra Avanzadas en la parte inferior del panel. DEM 3 En el campo Origen, seleccione definido por el usuario. 4 Haga clic en Ejecutar consulta. Las reglas personalizadas del tipo seleccionado aparecerán en el panel de visualización de reglas. Copiar y pegar una regla 1 Seleccione una regla predefinida o personalizada. 2 Haga clic en Editar | Copiar 3 Haga clic en Editar | Pegar. La regla copiada se agregará a la lista de reglas existentes con el mismo nombre. 4 Para cambiar el nombre, haga clic en Editar | Modificar. Modificar una regla personalizada 1 Seleccione la regla personalizada. Eliminar una regla personalizada 1 Seleccione la regla personalizada. 2 Haga clic en Editar | Modificar. 2 Haga clic en Editar | Eliminar. Configuración de la regla y el informe para las pistas de auditoría de base de datos Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de las modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o tabla asociadas con un evento de base de datos concreto. Una vez configurados los parámetros para generar este informe, se reciben notificaciones de informe de conformidad que muestran la pista de auditoría asociada con cada evento. Para generar los eventos de pista de auditoría, es necesario agregar una regla Acceso a datos y un informe Pistas de auditoría de usuario con privilegios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos. 2 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP en el panel de visualización de reglas. 3 Haga clic en Editar | Copiar y, después, en Editar | Pegar. 4 Cambie el nombre y las propiedades de la nueva regla. 5 346 a Resalte la nueva regla y seleccione Editar | Modificar. b Introduzca un nombre para la regla y, después, escriba el nombre de usuario. c Seleccione el tipo de acción No fiable y haga clic en Aceptar. Haga clic en el icono Desplegar McAfee Enterprise Security Manager 9.5.0 . Guía del producto Administración de directivas y reglas Tipos de reglas y sus propiedades 6 7 10 Configure el informe: a En Propiedades del sistema, haga clic en Informes | Agregar. b Rellene las secciones de la 1 a la 3 y la sección 6. c En la sección 4, seleccione Informe en PDF o Informe en HTML. d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos). e Haga clic en Guardar. Para generar el informe, haga clic en Ejecutar ahora. Reglas de ESM Las reglas de ESM se emplean para generar eventos relacionados con el ESM. Todas las reglas de este tipo están definidas por McAfee. Se pueden utilizar para generar informes de conformidad o auditoría que muestren lo que ha ocurrido en el ESM. No es posible agregar, modificar ni eliminar estas reglas. Sin embargo, es posible cambiar la configuración de las propiedades (véase Tipos de reglas y sus propiedades). Normalización Cada proveedor pone nombre a sus reglas y las describe. Como resultado, a menudo un mismo tipo de regla tiene distintos nombres, lo cual dificulta la recopilación de información sobre los tipos de eventos que se producen. McAfee ha compilado y actualiza de forma constante una lista de ID normalizados que describen las reglas, de forma que los eventos se puedan agrupar en categorías útiles. Cuando se hace clic en Normalización en el panel Tipos de regla del Editor de directivas, aparecen estos ID, nombres y descripciones. Estas funciones de evento ofrecen la opción de organizar la información sobre eventos mediante ID normalizados: • Ver campos de componentes: Resumen de evento normalizado es una opción disponible al definir los campos para una consulta de evento en un gráfico circular, un gráfico de barras y los componentes de lista (véase Administración de consultas). • Ver filtros de componentes: cuando se crea una vista nueva, es posible filtrar los datos de eventos en un componente por los ID normalizados (véase Administración de consultas). • Ver filtros: ID normalizado es una opción presente en la lista de filtros de vista (véase Filtrado de vistas). • Ver lista: hay disponible una vista Resumen de evento normalizado en la lista de Vistas de evento. La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecen en la lista. Al agregar filtros de ID normalizado a una vista nueva o existente, es posible: • Filtrar según todos los ID normalizados en una carpeta de primer nivel. Se incluye una máscara (/5 para una carpeta de primer nivel) al final del ID para indicar que los eventos también se filtrarán según los ID secundarios de la carpeta seleccionada. • Filtrar por los ID de una carpeta de segundo o tercer nivel. Se incluye una máscara (/12 para una carpeta de segundo nivel y /18 para una carpeta de tercer nivel) al final del ID para indicar que los eventos se filtrarán según los ID secundarios de la subcarpeta seleccionada. El cuarto nivel no dispone de máscara. McAfee Enterprise Security Manager 9.5.0 Guía del producto 347 10 Administración de directivas y reglas Configuración de la directiva predeterminada • Filtrar por un ID único. • Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús. Activación de Copiar paquete Cuando se activa la opción Copiar paquete para una regla, los datos de paquete se copian en el ESM. Si está activada, los datos del paquete se incluyen en los datos del evento de origen de una alarma de tipo Coincidencia de evento interno o Coincidencia de campo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, haga clic en el icono del Editor de directivas . 2 En el panel Tipos de regla, haga clic en el tipo de regla al que desee acceder y, después, localice la regla en el panel de visualización de reglas. 3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de forma predeterminada, y haga clic en activado. Configuración de la directiva predeterminada Es posible configurar la directiva predeterminada para que funcione en el modo de solo alertas o en el modo de sobresuscripción. También cabe la posibilidad de ver el estado de las actualizaciones de reglas y de iniciar una actualización. Modo de solo alertas Es posible aplicar directivas a dispositivos Nitro IPS y dispositivos virtuales en el Modo de solo alertas. Cuando el Modo de solo alertas está activado, se envían todas las reglas activadas a los dispositivos con el uso de alertas aunque la regla esté establecida con una acción de bloqueo como supresión. Al visualizar los eventos generados, la columna Subtipo de evento incluye la acción como Alerta seguida por la acción realizada si no estuviera activado el Modo de solo alertas, como alerta-supresión. Esto resulta útil para los administradores de sistemas que se están familiarizando con los patrones de tráfico de la red, ya que les permite analizar los eventos generados sin bloquear activamente ningún evento pero viendo la acción que se realizaría si no estuviera activado el Modo de solo alertas. La activación del Modo de solo alertas no cambia la configuración de uso individual de las reglas individuales en el Editor de directivas. Por ejemplo, cuando está activado, podría enviarse una regla al dispositivo Nitro IPS o el dispositivo virtual con el uso de alertas aunque su uso en el Editor de directivas esté establecido en supresión (con la excepción de que un grupo de reglas esté establecido con el valor paso, en cuyo caso permanece igual en este modo). Esto permite activar y desactivar con facilidad el Modo de solo alertas sin que ello afecte a la configuración de directiva. El Modo de solo alertas no afecta a las reglas desactivadas. Las reglas nunca se envían a un dispositivo cuando están configuradas con el valor Desactivar. Activación del Modo de solo alertas Si desea que todas las reglas activadas se envíen a los dispositivos con el uso de alertas, deberá activar la función Modo de solo alertas. Esta opción hace uso de la herencia, de forma que esta configuración de directiva omite el valor que, de otro modo, se heredaría. 348 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Configuración de la directiva predeterminada 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Configuración 2 . En el campo Modo de solo alertas, seleccione Activado. Configuración del modo de sobresuscripción El Modo de sobresuscripción define cómo se gestionarán los paquetes si se supera la capacidad del dispositivo. En cualquier caso, el paquete se registra a modo de evento. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Configuración 2 En el campo Modo de sobresuscripción, haga clic en Actualizar. 3 En el campo Valor, introduzca la funcionalidad. 4 . a Si se permite el paso (paso o 1), los paquetes que se descartarían pueden pasar sin ser analizados. b Con la supresión (supresión o 0) se eliminan los paquetes que superan la capacidad del dispositivo. c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop. Haga clic en Aceptar. A partir de la versión 8.1.0, cambiar el Modo de sobresuscripción afecta al dispositivo y a sus elementos secundarios (dispositivos virtuales). A fin de que este cambio se aplique, es necesario cambiar el modo en el dispositivo principal. Visualización del estado de actualización de directivas de los dispositivos Es posible ver un resumen del estado de actualización de las directivas de todos los dispositivos pertenecientes al ESM. Esto ayuda a determinar cuándo se deben desplegar actualizaciones en el sistema. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Configuración . 2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar y planificados para un despliegue automático. 3 Haga clic en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 349 10 Administración de directivas y reglas Operaciones relacionadas con reglas Operaciones relacionadas con reglas Existen diversas operaciones que se pueden llevar a cabo con las reglas a fin de administrarlas y generar la información necesaria. Administración de reglas Es posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación. Las reglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se pueden modificar, pero deben guardarse como una nueva regla personalizada. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar. 2 Realice una de las operaciones siguientes: Para... Haga esto... Ver las reglas personalizadas 1 Seleccione la ficha Filtro en el panel Filtros/etiquetado. 2 En la parte inferior del panel, haga clic en la barra Avanzadas. 3 En el campo Origen, seleccione definido por el usuario y haga clic en Ejecutar consulta Copiar y pegar una regla . 1 Seleccione una regla predefinida o personalizada. 2 Seleccione Editar | Copiar y, después, seleccione Editar | Pegar. La regla copiada se agregará a la lista de reglas existentes con el mismo nombre. 3 Para cambiar el nombre, seleccione Editar | Modificar. Modificar una regla 1 Resalte la regla que desee ver y, después, seleccione Editar | Modificar. 2 Cambie la configuración y haga clic en Aceptar. Si se trata de una regla personalizada, se guardará con los cambios. Si es una regla estándar, se le preguntará si desea guardar los cambios a modo de nueva regla personalizada. Haga clic en Sí. Si no ha cambiado el nombre de la regla, se guardará con el mismo nombre y un ID de firma distinto. Para cambiar el nombre, seleccione la regla y, después, seleccione Editar | Modificar. Eliminar una regla personalizada • Seleccione la regla personalizada. • Seleccione Editar | Eliminar. Importación de reglas Es posible importar un conjunto de reglas exportado de otro ESM y guardarlo en su ESM. 350 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Operaciones relacionadas con reglas 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que desee importar. 2 Haga clic en Archivo | Importar y seleccione Reglas. Estos cambios no se rastrean, de forma que no pueden deshacerse. 3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar. El archivo se cargará en el ESM. 4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienen el mismo ID que las existentes. 5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como se indica. El contenido del archivo se revisa y se activan o desactivan las opciones apropiadas en función del contenido del archivo seleccionado. Conflictos durante la importación de reglas de correlación Al exportar reglas de correlación, se crea un archivo que contiene los datos de la regla. Sin embargo, no incluye los elementos a los que la regla hace referencia, tales como variables, zonas, listas de control, tipos personalizados y activos, que se podrían emplear. Cuando el archivo exportado se importa a otro ESM, los elementos contenidos en la regla a los que se haga referencia y que no existen en el sistema de importación producirán un conflicto de regla. Por ejemplo, si una regla hace referencia a la variable $abc y no hay ninguna variable definida en el sistema de importación que se denomine $abc, esta situación constituye un conflicto. Los conflictos se registran y la regla se marca con un indicador para dejar patente que está en conflicto. Los conflictos se resuelven mediante la creación de los elementos necesarios a los que se hace referencia (manualmente o a través de la importación, si procede) o la edición de la regla de correlación para cambiar las referencias dentro de la regla. Si hay reglas en conflicto, aparece una página inmediatamente tras el proceso de importación que indica qué reglas hay en conflicto o cuáles han fallado. Las reglas se pueden editar para resolver conflictos desde esa página, o bien se puede cerrar la página. Las reglas en conflicto se marcan con un icono de signo de exclamación que indica su estado. La edición de una regla en conflicto en el editor de reglas se realiza por medio de un botón que, al hacer clic en él, muestra los detalles del conflicto en el caso de esa regla. Importación de variables Es posible importar un archivo de variables y cambiar su tipo. Si existen conflictos, la variable nueva se cambia de nombre automáticamente. Antes de empezar Configure el archivo que desee importar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 351 10 Administración de directivas y reglas Operaciones relacionadas con reglas Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, haga clic en Variable. 2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic en Cargar. Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores para informar de cada problema. 3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas. 4 Haga clic en Aceptar. Exportación de reglas Es posible exportar reglas personalizadas o todas las reglas de una directiva y, después, importarlas a otro ESM. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar. 2 Acceda a una lista de las reglas personalizadas del tipo seleccionado: a En el panel Filtros/etiquetado, asegúrese de que esté seleccionada la ficha Filtro. b Haga clic en la barra Avanzadas en la parte inferior del panel. c En la lista desplegable Origen, seleccione definido por el usuario. d Haga clic en el icono Ejecutar consulta . 3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas. 4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas. 5 En la página Descargar, haga clic en Sí, seleccione la ubicación y, por último, haga clic en Guardar. Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse. Para corregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma. Configuración de reglas para la inclusión automática en la lista negra Es posible marcar las reglas para la inclusión automática en la lista negra. La dirección IP o bien la dirección IP y el puerto del equipo infractor se agregan a la lista negra cuando se cumplen las condiciones establecidas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 352 1 En el panel Tipos de regla del Editor de directivas, amplíe IPS y seleccione el tipo de regla. Por ejemplo, a fin de configurar las reglas de virus para la inclusión automática, seleccione DPI. 2 En la ficha Filtros del panel Filtros/etiquetado, seleccione el filtro. Siguiendo con el ejemplo anterior, seleccione Virus. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Operaciones relacionadas con reglas 3 10 Haga clic en el icono Actualizar. Las reglas filtradas aparecerán en el área de visualización de reglas. 4 5 6 Haga clic en el encabezado de la columna Lista negra o seleccione las reglas en la lista y, después, haga clic en IP o IP y puerto. Despliegue los cambios; para ello, haga clic en el icono Desplegar y, después, cierre el Editor de directivas. de la esquina superior derecha En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS y haga clic en el icono Propiedades . 7 Haga clic en Lista negra y, después, en Configuración. 8 En la página Configuración de lista negra automática, defina la configuración y haga clic en Aceptar. Filtrado de reglas existentes Cuando se selecciona un tipo de regla en el Editor de directivas, aparecen todas las reglas del tipo seleccionado por orden alfabético, de forma predeterminada. Es posible ordenarlas por hora o emplear etiquetas a fin de filtrar las reglas para poder ver solamente las que cumplen los criterios. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar. 2 Asegúrese de seleccionar la ficha Filtro en el panel Filtros/etiquetado. 3 Realice una de las operaciones siguientes: Para... Haga esto... Filtrar con varias etiquetas • Seleccione categorías o etiquetas y haga clic en el icono Ejecutar consulta . Solo se mostrarán las reglas que coincidan con todos los filtros. Ver las reglas que se ajustan a cualquiera de los filtros seleccionados 1 Seleccione más de una categoría o etiqueta. 2 Haga clic en el icono OR y, después, en el icono Ejecutar consulta. Los campos afectados por la herencia (Acción, Gravedad, Lista negra, Agregación y Copiar paquete) no se pueden filtrar mediante el icono OR. Buscar una etiqueta concreta 1 Escriba el nombre de la etiqueta en el campo Escriba aquí para buscar una etiqueta. 2 Seleccione la opción que prefiera en la lista de opciones. Ordenar las reglas por su hora de creación • Haga clic en el icono Ordenar por hora en la barra de herramientas y, después, en el icono Ejecutar consulta. Ordenar las reglas por orden alfabético • McAfee Enterprise Security Manager 9.5.0 Haga clic en el icono Ordenar por nombre en la barra de herramientas y, después, en el icono Ejecutar consulta. Guía del producto 353 10 Administración de directivas y reglas Operaciones relacionadas con reglas Para... Haga esto... Borrar los filtros • Haga clic en el icono del filtro naranja en la barra de título del panel de visualización de reglas . Los filtros se borrarán y todas las reglas aparecerán de nuevo en el panel de visualización de reglas. Borrar las etiquetas de filtrado • Haga clic en el icono Borrar todo Filtrar por ID de firma 1 Haga clic en la barra Avanzadas en la parte inferior del panel Filtro. de la barra de herramientas. Las etiquetas se borrarán, pero la lista de reglas seguirá filtrada. 2 Escriba el ID de firma y haga clic en el icono Ejecutar consulta. Filtrar por nombre o descripción 1 En el panel Avanzadas, escriba el nombre o la descripción. 2 Para obtener resultados independientemente del uso de mayúsculas o minúsculas, haga clic en el icono de no distinción entre unas y otras . Filtrar por tipo de 1 En el panel Avanzadas, haga clic en el icono Filtro . dispositivo, ID normalizado o acción 2 En la página Variables de filtrado, seleccione la variable. Comparar las diferencias en la configuración de directiva de un tipo de regla y su elemento principal inmediato • En el panel Avanzadas, seleccione Ver excepciones y, después, haga clic en el icono Ejecutar consulta. Filtrar por Gravedad, Lista negra, Agregación, Copiar paquete, Origen y Estado de regla • Seleccione el filtro en la lista desplegable de cada uno de esos campos. Ver solo las reglas personalizadas • Seleccione definido por el usuario en el campo Origen del panel Opciones avanzadas y, después, haga clic en el icono Ejecutar consulta. Ver las reglas creadas en un periodo de tiempo concreto 1 Haga clic en el icono del calendario situado junto al campo Hora del panel Avanzadas. 2 En la página Hora personalizada, seleccione las horas de inicio y detención, haga clic en Aceptar y, después, haga clic en el icono Ejecutar consulta. Visualización de la firma de una regla Si accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma de una regla. Esta opción está disponible para reglas de firewall, inspección profunda de paquetes (DPI) y origen de datos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 354 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver. 2 Seleccione una regla en el panel de visualización de reglas. McAfee Enterprise Security Manager 9.5.0 Guía del producto 10 Administración de directivas y reglas Operaciones relacionadas con reglas 3 Haga clic en Operaciones y, después, seleccione Examinar referencia. Se abrirá la pantalla Resumen de vulnerabilidades de NTAC en el navegador. 4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla. Recuperación de actualizaciones de regla El equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo virtual o Nitro IPS a fin de examinar el tráfico de red actualiza constantemente estas firmas, que se pueden descargar mediante el servidor central. Estas actualizaciones de reglas se pueden recuperar de forma automática o manual. Procedimiento Véase Omisión de la acción en las reglas descargadas a fin de configurar las omisiones para las acciones realizadas cuando se recuperan reglas del servidor. Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Configuración . 2 En la línea Actualización de reglas, haga clic en Actualizar. 3 Establezca el ESM para que recupere las actualizaciones de forma automática o compruebe la existencia de actualizaciones inmediatamente. 4 5 Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar aplicarlas. para Para ver las actualizaciones manuales, haga lo siguiente: a En el panel Filtros/etiquetado, haga clic en la barra Avanzadas. b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de reglas actualizadas que desea ver. c Haga clic en el icono Ejecutar consulta . Las reglas actualizadas se mostrarán con el icono del estallido de exclamación si se han agregado o con un signo si se han modificado. Borrado del estado de regla actualizado Esto puede resultar útil cuando se modifican reglas o se agregan reglas al sistema. Las marcas correspondientes se pueden borrar una vez que se han revisado las actualizaciones. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee borrar. 2 Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.5.0 Guía del producto 355 10 Administración de directivas y reglas Operaciones relacionadas con reglas Para... Haga esto... Borrar todas las marcas de estado de regla 1 Haga clic en Operaciones y seleccione Borrar estado de regla actualizado. Borrar las reglas seleccionadas 1 En el panel Filtros/etiquetado, haga clic en la barra Avanzadas. 2 Haga clic en Todo. 2 En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de marca que desea borrar. 3 Haga clic en el icono Ejecutar consulta . Las reglas con las marcas seleccionadas se mostrarán en el panel de visualización de reglas. 4 Seleccione las reglas que desee borrar. 5 Haga clic en Operación | Borrar estado de regla actualizado | Selección. Comparación de archivos de regla Es posible comparar el estado de directiva (aplicada, actual, revertida o preparada) de los archivos de regla de Nitro IPS, Event Receiver, ADM y DEM. Esto resulta útil si es necesario ver qué cambiaría en caso de aplicar la directiva actual a un dispositivo. En este caso, se comparan las reglas actuales y las reglas aplicadas. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 3 En el árbol de navegación del sistema, haga clic en un dispositivo Nitro IPS, Event Receiver, ADM o DEM. Haga clic en el icono del Editor de directivas en la barra de herramientas de acciones y, después, haga clic en Herramientas | Comparar archivos de regla. Haga su selección, vea los resultados y, a continuación, haga clic en Cerrar. Visualización del historial de cambios de reglas Es posible ver las reglas cambiadas, actualizadas o agregadas al sistema, así como la última versión de cada regla. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en Herramientas | Historial de cambios de reglas. 2 En la página Historial de reglas, visualice los cambios realizados en las reglas o haga clic en la ficha Versión de regla para ver la última versión de cada regla. 3 Haga clic en Cerrar. Creación de una nueva lista de vigilancia de reglas Una lista de vigilancia es un conjunto de tipos específicos de información que se pueden utilizar a modo de filtros o como condición de alarma para que se le notifique si aparecen en un evento. Estas listas de control pueden ser globales o específicas de un usuario o grupo del ESM. 356 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Operaciones relacionadas con reglas 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla y, después, seleccione las reglas que desee incluir en la lista de vigilancia. 2 Haga clic en Operaciones y seleccione la opción Crear nueva lista de control. La página Agregar lista de control incluirá las reglas seleccionadas. 3 Escriba un nombre y asegúrese de que esté seleccionado el botón de opción Estática. Véase Adición de una lista de vigilancia para agregar una lista de vigilancia dinámica. 4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuario asignado. Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuario o grupo del sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas de control a sí mismo o a los grupos de los que sea miembro. 5 Existen las formas siguientes de agregar más valores a la lista de vigilancia: • Para importar un archivo de valores separados por líneas, haga clic en Importar y seleccione el archivo. • Para agregar valores individuales, escriba un valor por línea en el cuadro Valores. El número máximo de valores es 1000. 6 Si desea recibir una alarma cuando se genere un evento que contenga cualquiera de los valores de la lista de vigilancia, haga clic en Crear alarma. 7 Haga clic en Aceptar. Adición de reglas a una lista de vigilancia Tras crear una lista de vigilancia, podría ser necesario agregarle valores de regla. La opción Adjuntar a lista de control proporciona una forma de hacerlo. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla. 2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización de reglas. 3 Haga clic en el menú Operaciones y seleccione Adjuntar a lista de control. 4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 357 10 Administración de directivas y reglas Asignación de etiquetas a reglas o activos Asignación de etiquetas a reglas o activos Es posible asignar etiquetas a reglas para indicar sus atributos y, después, filtrar las reglas según sus etiquetas. El ESM dispone de un conjunto predefinido de etiquetas, pero también ofrece la posibilidad de agregar etiquetas y categorías de etiquetas nuevas. La ficha Etiquetas no está disponible para los tipos de reglas Variable, Preprocesador y Normalización. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar. 2 Haga clic en la ficha Etiquetas en el panel Filtros/etiquetado. 3 Realice una de las operaciones siguientes: Para... Haga esto... Agregar una nueva categoría de etiqueta 1 Haga clic en el icono Nueva categoría de etiqueta . 2 Escriba el nombre de la categoría. 3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad de eventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clic en Aceptar. La categoría se agregará junto con una etiqueta de base. Es posible agregar etiquetas nuevas debajo de esta categoría. Agregar una nueva etiqueta 1 Haga clic en la categoría en la que desee agregar la etiqueta y, después, haga clic en el icono Nueva etiqueta . 2 Escriba el nombre de la etiqueta. 3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad de eventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clic en Aceptar. Editar una categoría 1 Haga clic en la categoría o la etiqueta que desee editar y, después, haga o etiqueta existentes clic en el icono Editar etiqueta . 2 Cambie el nombre o la configuración y haga clic en Aceptar. Eliminar una etiqueta personalizada 1 Resalte la etiqueta que desee eliminar y haga clic en el icono Quitar etiqueta . 2 Haga clic en Sí para confirmarlo. Modificación de la configuración de agregación Los eventos agregados son eventos que tienen campos coincidentes. La agregación está activada de forma predeterminada, y es posible elegir el tipo de agregación que se utilizará para todos los eventos generados en un dispositivo mediante la página Agregación de eventos de cada dispositivo. Cabe la posibilidad de modificar la configuración de agregación de las reglas individuales. 358 McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Omisión de la acción en las reglas descargadas 10 Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla. 2 Seleccione la regla cuya configuración de agregación desee modificar. 3 Haga clic en Operaciones en la barra de herramientas y seleccione Modificar configuración de agregación. 4 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados deben ser de tipos distintos para que no se produzca un error. 5 Haga clic en Aceptar para guardar la configuración. 6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntará si desea desplegar los cambios. Haga lo siguiente: a Haga clic en Sí. En la página Despliegue de excepciones de agregación, aparecerá el estado de los dispositivos afectados por el cambio. Se marcarán todos los dispositivos no actualizados. b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios. c Haga clic en Aceptar para desplegar los cambios. La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios. Omisión de la acción en las reglas descargadas Cuando se descargan reglas del servidor central de McAfee, tienen asignada una acción predeterminada. Es posible definir una acción de omisión para las reglas del tipo seleccionado cuando se descargan. Si no se define una acción de omisión, las reglas usan su acción predeterminada. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en Herramientas y después seleccione Nueva configuración de reglas. La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada. 2 Configure las acciones de omisión y haga clic en Cerrar. Ponderaciones de gravedad La gravedad de los eventos se calcula en función de la ponderación de gravedad asignada a los activos, las etiquetas, las reglas y las vulnerabilidades. Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cada una de las cuatro gravedades multiplicadas por sus ponderaciones respectivas. La página Ponderaciones de gravedad muestra las ponderaciones asociadas con los grupos de activos, etiquetas, reglas y vulnerabilidades. La suma de todas ellas debe equivaler a 100. Cuando se cambia un valor, se ven afectados otros valores. A continuación se ofrece una descripción de cada tipo de gravedad: McAfee Enterprise Security Manager 9.5.0 Guía del producto 359 10 Administración de directivas y reglas Visualización del historial de cambios de directiva Tipo de gravedad Descripciones Activo Un activo es una dirección IP, que puede tener una zona asignada o no. La gravedad de activo de un evento se determina como sigue: 1 La dirección IP y la zona de destino del evento se comparan con todos los activos. Si se encuentra alguna coincidencia, la gravedad del activo se emplea como gravedad del evento. 2 Si no se encuentra ninguna coincidencia de dirección IP y zona de destino, se comparan la dirección IP y la zona de origen con todos los activos. Si se encuentra alguna coincidencia de dirección IP y zona de origen, se utiliza la gravedad de ese activo como gravedad para el evento. 3 Si no se encuentra ninguna coincidencia, la gravedad del activo será cero. Etiqueta La gravedad de etiqueta se calcula mediante las etiquetas de McAfee y las definidas por el usuario. A fin de emplear una etiqueta en el cálculo de gravedad, debe definirse tanto para la regla como para el activo del evento. Si la regla o el activo no tienen etiquetas definidas o si no se encuentran coincidencias de activos, la gravedad de etiqueta será cero. Para calcular la gravedad de etiqueta, el número de etiquetas coincidentes de regla y activo se multiplica por 10. La gravedad de etiqueta está limitada a 100. Regla La gravedad de regla es la establecida para el evento cuando se creó. Se basa en la gravedad de regla del evento, que se define en el Editor de directivas, y en los enriquecimientos de datos configurados para el recopilador del evento. Vulnerabilidad Si hay información de gravedad de evaluación de vulnerabilidades para el activo y la regla de un evento, se utiliza la gravedad de evaluación de vulnerabilidades más alta de todas las coincidencias de activos y reglas como gravedad de vulnerabilidad; de lo contrario, se emplea cero. Establecimiento de las ponderaciones de gravedad Las gravedades de activo, etiqueta, regla y vulnerabilidad se ponderan a la hora de calcular la gravedad de los eventos. Es necesario definir estas gravedades. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 2 En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad . Defina la configuración y haga clic en Aceptar. Visualización del historial de cambios de directiva Existe la posibilidad de ver o exportar un registro de los cambios que se han realizado en la directiva. Este registro puede albergar un máximo de 1 GB de datos. Cuando se alcanza el límite, se borran los archivos más antiguos en caso de ser necesario. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva 2 360 . Visualice o exporte el registro y, a continuación, haga clic en Cerrar. McAfee Enterprise Security Manager 9.5.0 Guía del producto Administración de directivas y reglas Aplicación de cambios de directivas 10 Aplicación de cambios de directivas Cuando se realizan cambios en las directivas, es necesario desplegarlos a fin de que se apliquen. Los cambios realizados en el nivel de la directiva predeterminada se aplican a todas las directivas cuando se lleva a cabo el despliegue en todos los dispositivos. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el icono Desplegar 2 Seleccione cómo desea que se produzca el despliegue. 3 Haga clic en Aceptar. . Cuando todos los dispositivos finalicen el despliegue, el estado de la directiva indicará un despliegue correcto. Si el comando de despliegue no tiene un resultado correcto, aparecerá una página con un resumen de los comandos fallidos. Administración del tráfico prioritario Es posible configurar el tráfico para que pase por Nitro IPS sin comprobarlo con respecto a las reglas. Por ejemplo, podría ser necesario configurar el tráfico del protocolo VoIP de forma que cruce el dispositivo Nitro IPS sin que se compruebe. Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En el Editor de directivas, haga clic en el tipo de regla Variable. 2 Amplíe la categoría priority_traffic y haga clic en PRIORITY_TRAFFIC_LIST. 3 Haga clic en Editar y seleccione Modificar. 4 Administre la configuración y haga clic en Aceptar. McAfee Enterprise Security Manager 9.5.0 Guía del producto 361 10 Administración de directivas y reglas Administración del tráfico prioritario 362 McAfee Enterprise Security Manager 9.5.0 Guía del producto Índice A acceder a dispositivo remoto 209 acceder a información detallada en la vista 276 acceso, otorgar a dispositivos 44 acciones agregar a DEM 153 asociación 99 barra de herramientas 28, 31 definir para DEM 152 orígenes de datos 99 ACE agregar un administrador de correlación de riesgos 133 calificación de correlación de riesgos, agregar 133 correlación histórica 133 motor de correlación 131 motor de correlación de riesgos 131 motores de correlación 131 resumen 12, 58 seleccionar tipos de datos que enviar desde el ESM 132 acerca de esta guía 9 activar modo FIPS 20 Active Directory autenticación de inicio de sesión 195 configurar opciones de autenticación 197 recuperar datos 309 activos administrar 306 definir activos antiguos 306 gravedad 359 activos antiguos, definir 306 actualizaciones buscar para reglas 23 recuperar para reglas 355 actualizar estado de dispositivos, ver directiva 349 software en varios dispositivos 53 actualizar dispositivos 57 actualizar licencia de DEM 151 actualizar software de dispositivo 37, 43 actualizar software de ESM 22 acumulación, aumentar índices disponibles 190 acumulación, indización 192 Adiscon, configurar origen de datos 108 McAfee Enterprise Security Manager 9.5.0 ADM configuración 134 eventos 134 resumen 12, 58 ADM, diccionarios 136 administrar 140 configurar 137 ejemplos 139 hacer referencia 141 ADM, mostrar contraseñas en visor de sesión 136 ADM, reglas administrar personalizadas 345 agregar nuevas 340 anomalías de protocolo 149 aplicaciones y protocolos compatibles 331 conceptos clave 331 elementos lógicos 341 elementos lógicos, editar 342 gramática de expresiones regulares 141 literales 141 módulos de protocolo de correo electrónico 148 módulos de protocolo de correo web 148 módulos de protocolo de transferencia de archivos 148 operadores 141 propiedades específicas de protocolos 148 protocolo DNA, anomalías en reglas de ADM 149 protocolo IP, anomalías en reglas de ADM 149 protocolo TCP, anomalías en reglas de ADM 149 referencias métricas 146 sintaxis 141 tipos de términos 144 administración de amenazas 313 administración de casos informes, generar 303 panel, mostrar 29, 194 administración de configuración 306 administración de zonas 310 administrador de activos 313 administrador de correlación de riesgos, agregar 133 administrador de tareas 208, 209 admitidos, orígenes de datos 96 adquisición de datos activar en McAfee Risk Advisor 161 McAfee Risk Advisor 161 Guía del producto 363 Índice agregación administrar excepciones de eventos 48, 250 agregar excepciones 48, 249 configuración en dispositivo 47, 249 definición 47, 248 modificar configuración de reglas 358 modificar configuración en vista 276 agregar una subzona 312 agregar, tipos personalizados de tiempo 296 alarma administrar consultas 208, 209 alarma de correlación incluir eventos de origen 227 alarmas activar 240 administrar destinatarios 242 agregar a regla 228 agregar un evento del monitor de estado 230 alarmas de Threat Intelligence Exchange 162 audio, administrar archivos 242 configurar y administrar 223 confirmar 242 copiar 240 crear 224 crear nueva a partir de evento de vista 276 desactivar 240 eliminar 242 informes, administrar archivos 244 informes, ver y administrar 243 notificación de fallos de alimentación 184, 230 notificaciones 172 notificaciones, agregar destinatarios 173 panel 28 panel, mostrar 29, 194 personalizar resumen 241 plantillas, administrar 241 plantillas, agregar 241 registrar 223 símbolos de gravedad 223 usuario asignado, cambiar 242, 266 ver detalles 242 alarmas activadas confirmar 266 crear un caso 266 editar 266 eliminar 266 filtro 266 ver detalles 266 almacenamiento configurar datos de ESM 189 configurar datos de máquina virtual de ESM 190 almacenamiento de datos configurar ESM 189 configurar máquina virtual de ESM 190 almacenamiento de datos duplicado, agregar para ELM 121 364 McAfee Enterprise Security Manager 9.5.0 almacenamiento de datos externo de ELM 122 almacenamiento de datos, agregar duplicado para ELM 121 almacenamiento de datos, duplicar para ELM 121 almacenamiento de datos, preparativos para almacenar datos en ELM 116 almacenamiento de ELM, estimar necesario 115 almacenamiento, ubicación alternativa para ELM 130 almacenar datos de ELM, preparativos 116 almacenar registros de ELM 118 Altiris, recuperar datos de servidor 309 amenazas activar o desactivar para cálculo de riesgo 314 ver detalles 314 ampliar ESM principal y redundante 209 receptor de disponibilidad alta 66 análisis, ejecutar McAfee Vulnerability Manager 169 analizador de syslog avanzado agregar regla personalizada 328 orígenes de datos 100 reglas 328 analizador de syslog avanzado, origen de datos codificación distinta de UTF-8 104 anomalías de protocolo, TCP 322 API externa administrar consultas 208, 209 aplicar opciones de configuración al DEM 152 aprendizaje automático de orígenes de datos, configurar 94 árbol de navegación del sistema diagrama 31 organizar dispositivos 37 archivado configuración, definir para receptor 69 archivo configurar particiones inactivas 191 archivos de configuración, sincronizar en DEM 152 archivos de copia de seguridad, usar 201 ArcSight, agregar origen de datos 106 asignación de almacenamiento, reducir en ELM 120 asignación de datos, definir límites 191 Asistente de consultas 279 ASN búsqueda desde vista 276 búsqueda, realizar 277 definir configuración de dispositivo 46, 247 audio, administrar archivos para alarmas 242 autenticación de ePO 159 B base de datos administrar 189 administrar configuración de índice 192 estado 171 pistas de auditoría 346 pistas de auditoría, configurar regla e informe 346 Guía del producto Índice base de datos (continuación) servidor, agregar 157 utilización de memoria 193 base de datos de administración duplicada, sustituir para ELM 130 base de datos de administración, restaurar ELM 128 base de datos, reglas agregar nuevas 340 elementos lógicos 341 elementos lógicos, editar 342 buscar campos coincidentes alrededor de eventos 282 buscar ELM 276 búsquedas más rápidas en ELM 129 C CAC agregar usuarios 197 autenticación 195 configuración 196 inicio de sesión, configurar 197 calificación de correlación de riesgos 133 cambios, ver en historial de reglas 356 camuflaje 206 casos agregar 299 agregar eventos a un caso existente 300 cerrar 300 crear a partir de alarma activada 266 crear a partir de alarmas 242 editar 300 enviar caso seleccionado por correo electrónico 302 enviar correo electrónico al agregar o cambiar 302 estado, agregar 301 estado, agregar o editar 302 eventos de origen, ver 302 filtro 302 informes, generar 303 notificación por correo electrónico 302 personalizar resumen 241 ver detalles 301 ver todos 302 categoría agregar nueva etiqueta 358 agregar nueva variable 321 editar 358 certificado frase de contraseña, obtener para McAfee Vulnerability Manager 169 instalar nuevo 181 Check Point, configurar orígenes de datos 112 clave administrar dispositivo 34 dispositivo 35 exportar 35 importar 36 McAfee Enterprise Security Manager 9.5.0 claves de comunicación, exportar y restaurar 207 cliente, orígenes de datos 78 agregar 79 localizar 79 codificación de origen de datos ASP 104 comparar archivos de regla 356 comparar valores en gráficos de distribución 281 compatibilidad con la retransmisión de syslog 108 compilación, ver para software 44 componentes agregar parámetros 342 barra de herramientas 273 ejemplo de regla 343 enlazar 280 exportar 278 opciones de menú 276 personalizar 270 vista 268 vistas 269 compresión, administración en ELM 126 compresión, establecer en ELM 127 comprobación de integridad, ver resultados 127 condición, agregar para informe 256 conexiones cambiar con ESM 46 configurar para McAfee Vulnerability Manager 170 configuración de ELM 115 configuración de filtrado, editar para reenvío de eventos 253 configuración de índice, base de datos 192 configuración de mensajes 172 configuración de red IPMI, configurar puerto 177 configuración del sistema crear copia de seguridad 200 guardar en ESM redundante 202 restaurar 200 configurar estaciones finales para descubrimiento de red 309 configurar opciones avanzadas de DEM 152 configurar ping para descubrimiento de red 309 confirmar alarma activadas 266 conjuntos de filtros administrar 285 consola agregar dispositivo 24, 34 cambiar aspecto 29, 194 diagrama 28 tema de color 29 tiempo de espera 29 consola, preferencias 28 consultar informes en CSV 172 consultas administrar 208, 209 eliminar en ejecución 208, 209 contains, filtro 257 Guía del producto 365 Índice contraseñas cambiar 29, 194 predeterminadas 20 contraseñas en visor de sesión, mostrar 136 control del tráfico de red dispositivos 37 ESM 178 convenciones tipográficas e iconos utilizados en esta guía 9 copia de seguridad, restaurar 201 copiar y pegar reglas 350 correlación de riesgos, calificación 133 correlación histórica, ACE 133 correlación histórica, agregar filtro 134 correlación, orígenes de datos 98 correlación, reglas administrar personalizadas 345 agregar nuevas 340 elementos lógicos 341 elementos lógicos, editar 342 ver detalles configuradas para mostrar detalles 339 correo electrónico configuración 172 notificación de caso 302 crear automáticamente orígenes de datos 75 crear copia de seguridad configuración de ESM 200 configuración del sistema 200 ELM 127 Credenciales de autenticación de ePO 159 credenciales de ePO 159 credenciales, obtención y adición para actualización de reglas 22 DEM (continuación) servidor de base de datos, agregar 157 sincronizar archivos de configuración 152 DEM, configuración específica 150 DEM, reglas administrar personalizadas 345 desactivar comunicación SSH con ESM 46 desactivar dispositivo de duplicación de ELM 122 descargadas, omitir acción en reglas 359 descargar eventos, flujos y registros 46, 246 descubrimiento de red 307 administración de configuración 306 descubrimiento de redestaciones finales intervalo de barrido de ping 309 subredes en las que hacer ping 309 tiempo de espera de ping 309 descubrir endpoints 308 desfragmentador de IP basado en destino 323 DESM, resumen 12, 58 destinatarios administrar alarma 242 agregar 173 detalles de sesión, ver 262 detección de anomalías asistente 165 variables, editar 166 detección de barrido de puertos 323 detener dispositivos 45 detener varios dispositivos 53 DHCP, configurar 179 direcciones IP de destino, mostrar nombre de host en informes 257 Criterios comunes, configuración 19 direcciones IP de origen, mostrar nombre de host en informes D directiva agregar 317 aplicar cambios 361 Árbol de directivas 316 árbol de directivas, iconos 316 cambiar nombre 317 copiar 317 directiva secundaria, agregar 317 eliminar 317 exportar 317 importar 317 localizar 317 ver reglas 317 diseño, agregar para informe 256 disponibilidad alta, receptores 59 dispositivo de almacenamiento SAN, aplicar formato para datos de ELM 123 dispositivo de almacenamiento, agregar en ELM 119 dispositivo de duplicación, desactivar en ELM 122 dispositivo iSCSI, agregar para almacenamiento de ELM 123 dispositivo remoto, acceder 209 257 DAS, asignar para almacenar datos de ELM 124 datos de evaluación de vulnerabilidades, integrar 72 datos de evaluación de vulnerabilidades, recuperar 73 datos de registro, restaurar ELM 128 datos sin procesar, archivar 68 definidos por el usuario, tipos de orígenes de datos 95 DEM actualizar licencia 151 agregar acción 153 configuración avanzada 152 definir acciones 152 editar acción personalizada 153 establecer operación 154 identificación de usuarios 155 máscaras de datos confidenciales 154 opciones de configuración, aplicar 152 referencias de métricas de regla 335 reglas 333 resumen 12, 58 366 McAfee Enterprise Security Manager 9.5.0 Guía del producto Índice dispositivos actualizar 57 actualizar software 37, 43 administrar claves 34 administrar claves de comunicación SSH 36 administrar varios 53 agregar a la consola 24, 34 agregar vínculo de URL 45, 54 ASN, definir configuración 46, 247 cambiar descripción 45 cambiar nombre 45 cambiar pantalla predeterminada 29, 194 campo de tipo de pantalla 31 clave 35 comandos Linux 43 compilación 44 conexión con ESM, cambiar 46 configuración de agregación 47, 249 configurar descargas de eventos, flujos y registros 46, 246 control del tráfico de red 37 datos de estado, descargar 42 desactivar orígenes de datos 29, 194 detener 45 eliminar 31 eliminar nodos 27, 57 estadísticas de dispositivo 42 exportar clave 35 geolocalización, definir configuración 46, 247 ID de equipo 44 importar clave 36 informe de recuento 171 informes de resumen 54 iniciar 45 IPMI, configurar puerto 177 modelo 44 nodo de grupo, eliminar 27, 57 número de serie 44 organizar 25, 37, 51 otorgar acceso 44 registro de mensajes 42 reiniciar 45 servidores NTP 41, 173 sincronizar con ESM 41 sincronizar relojes 181 software, actualizar 37, 43 supervisar tráfico 44 tipo de pantalla 31 ver información general 44 ver registro 54 versión 44 dispositivos ePO consulta en el panel de Real Time for McAfee ePO 165 consultar para enriquecimiento de datos 164 consultas sobre informes o vistas 164 dispositivos simultáneos para descubrimiento de red 309 McAfee Enterprise Security Manager 9.5.0 dispositivos virtuales 49 agregar a dispositivo 51 lista negra 167 modo de solo alertas 348 reglas de selección, administrar 50 reglas internas 327 documentación convenciones tipográficas e iconos 9 destinatarios de esta guía 9 específica de producto, buscar 10 duplicados, eliminar nodos de dispositivo 27, 53 duplicar almacenamiento de datos de ELM 121 E editar alarma activada 266 editor de directivas modo de sobresuscripción, configurar 349 ver estado de actualización de dispositivos 349 Editor de directivas historial de cambios 360 ejecutar ePolicy Orchestrator 276 ePolicy Orchestrator desde ESM 159 elementos lógicos para reglas de correlación, base de datos y ADM 341 elementos lógicos, editar 342 eliminada, agregar o eliminar entrada eliminada en McAfee Network Security Manager 171 eliminar alarma activada 266 eventos o flujos 276 reglas personalizadas 350 ELM acelerar búsquedas 129 agregar almacenamiento de datos duplicado 121 agregar dispositivo de almacenamiento 119 agregar dispositivo iSCSI para almacenamiento 123 almacenamiento de datos duplicado, agregar 121 almacenamiento de datos externo 122 almacenar registros 118 aplicar formato a dispositivo SAN para almacenar datos 123 asignación de almacenamiento, reducir 120 base de datos de administración duplicada, sustituir 130 base de datos de administración, restaurar 128 búsqueda mejorada 265 compresión 126 compresión, establecer 127 comprobación de integridad, ver resultados 127 configurar comunicación 41 crear copia de seguridad 127 datos de registro, restaurar 128 definir ubicación de almacenamiento alternativa 130 desactivar dispositivo de duplicación 122 dispositivo DAS para almacenar datos de ELM 124 duplicar almacenamiento de datos 121 Guía del producto 367 Índice ELM (continuación) grupo de almacenamiento duplicado, reconstruir 122 grupo de almacenamiento, agregar o editar 119 migrar base de datos 129 mover grupo de almacenamiento 120 preparativos para almacenar datos 116 recuperar datos 130 restaurar 127 resumen 12, 58 sincronizar con dispositivo 41 trabajo de búsqueda 130 trabajo de búsqueda, crear 131 trabajo de búsqueda, ver resultados 127 trabajo de comprobación de integridad 130 trabajo de comprobación de integridad, crear 131 uso de almacenamiento, ver 129 vista de búsqueda 265 endpoints, descubrimiento 308 enlazar componentes 280 enmascarar direcciones IP 206 enriquecimiento de datos 212 agregar orígenes 213 consultar dispositivos ePO 164 ePO agregar credenciales de autenticación 160 transmisión de eventos, vista 59 ePolicy Orchestrator adquisición de datos de McAfee Risk Advisor, activar 161 configuración 159 configurar 4.0 106 ejecutar desde ESM 159 etiquetas, asignar a dirección IP 160 ESM actualizar software 22 administrar 204 almacenamiento de datos, configurar 189 ampliar principal y redundante 209 archivos de copia de seguridad 201 control del tráfico de red 178 copia de seguridad de la configuración 200 ESM redundante 200 funciones de seguridad 195 hora no sincronizada con origen de datos 77 IPMI, configurar puerto 177 no sincronizado con origen de datos 77 redundante, funcionamiento 202 registro, configurar 207 reglas 347 restaurar configuración 201 resumen 12, 58 sincronizar con dispositivo 41 sustituir redundante 203 ver información del sistema 171 ESM distribuido agregar filtros 158 368 McAfee Enterprise Security Manager 9.5.0 ESM distribuido (continuación) propiedades 158 ESM principal, ampliar 209 ESM redundante ampliar 209 cómo funciona 202 configurar 200 guardar configuración 202 sustituir 203 estadísticas, ver en dispositivo 42 estado dispositivos, ver actualización de directivas 349 inactivo 55 receptor de disponibilidad alta 66 estado de casos, agregar 301 estado de dispositivo, descargar datos 42 estado de regla actualizado, borrar 355 etiquetar, ePO 159 etiquetas agregar nuevas 358 asignar a reglas o activos 358 asignar de ePolicy Orchestrator a dirección IP 160 categoría, agregar ahora 358 editar existentes 358 eliminar personalizadas 358 gravedad 359 personalizadas, eliminar 358 Event Receiver configurar opciones 59 resumen 12, 58 evento de correlación, ver eventos de origen 69 eventos administrar excepciones de agregación 48, 250 agregar a lista negra 276 agregar a un caso 300 buscar campos coincidentes alrededor 282 comprobar 247 configurar descargas 46, 246 crear caso para rastrear 300 descripción 245 detalles de sesión, ver 262 eliminar 276 establecer umbral de inactividad 246 marcar como revisados 276 ponderaciones de gravedad, configurar 360 recuperar 247, 248 registro, administrar tipos de eventos 205 registros, establecer idioma 24, 207 eventos de correlación histórica, descargar 134 eventos de metadatos 134 eventos de origen incluir en alarma de correlación 227 eventos de origen, ver para evento de correlación 69 eventos de transmisión para receptor, NSM y ePO 59 Guía del producto Índice eventos, flujos y registros limitar tiempo de recopilación 246 examinar referencia desde vista 276 excepciones a la configuración de agregación, agregar 48, 249 excepciones, agregar regla de firewall 325 exportar clave 35 claves de comunicación 207 componente 278 reglas 352 ver 276 exportar e importar archivo .exk 17 archivo .puk 17 exportar zonas 311 extensiones de archivo de archivos de exportación 16 F fecha, cambiar formato 29, 194 filtro contains 257 filtros agregar al ESM distribuido 158 agregar reglas 328 alarma activada 266 barra de herramientas 285 guardar valores actuales como predeterminados 285 opciones, agregar y quitar 285 panel 28 reglas existentes 353 tipos personalizados 290 UCF 286 usar valores predeterminados 285 visibles para el usuario y todos, alternar 285 vistas 284 Windows, ID de evento 286 filtros, reenvío de eventos 253 FIPS, modo dispositivo con clave aplicada, agregar 16 extensiones de archivo 16 terminología 16 firma, ver para reglas 354 flujo de trabajo, rastrear 300 flujos comprobar 247 configurar descargas 46, 246 descripción 245 eliminar 276 establecer umbral de inactividad 246 recuperar 247, 248 vistas 264 formato de evento común, orígenes de datos 107 frase de contraseña y certificado, obtener para McAfee Vulnerability Manager 169 fuentes de Internet crear listas de vigilancia 288 McAfee Enterprise Security Manager 9.5.0 funciones de seguridad 195 G geolocalización, definir configuración del dispositivo 46, 247 Global Threat Intelligence, lista de vigilancia 288 gráfico de distribución, comparar valores 281 gramática de expresiones regulares para reglas de ADM 141 gravedad asociación 99 orígenes de datos 99 ponderaciones 359 ponderaciones, configurar 360 gravedad de riesgoadministración del riesgo administrar 313 vistas, personalizadas y predefinidas 313 grupo de almacenamiento duplicado, reconstruir 122 grupo de almacenamiento, agregar dispositivo de almacenamiento para vincular 119 grupo de almacenamiento, agregar o editar 119 grupo de almacenamiento, mover 120 grupo de almacenamiento, reconstruir duplicado 122 grupo de dispositivos, administrar 26, 52 grupo de nombre/valor, agregar tipo personalizado 297 grupo de registro predeterminado, establecer 42 grupo de reglas 113 Grupo Hogar, desactivar uso compartido de archivos 119 grupos configurar usuarios 199 usuarios 193 grupos de reglas de McAfee 113 GTI, lista de vigilancia 288 H Hadoop PIG 214 hardware 171 historial cambios de directiva 360 ver cambios de reglas 356 historial de ejecución de TIE 276 hora del sistema, sincronizar 180, 181 hora no sincronizada entre el ESM y el origen de datos 77 I IBM ISS, origen de datos SiteProtector 111 icono de dispositivos, agregar 31 icono de obtención de eventos y flujos 31 iconos de inicio rápido 28 ID de cliente 171 ID de equipo, ver para dispositivo 44 ID de firma del monitor de estado 231 identificación de usuarios administrar 155 agregar regla 156 idioma, establecer para registros de eventos 24, 207 Guía del producto 369 Índice imágenes agregar a página de inicio de sesión 21 incluir en PDF e informes 256 importar archivo de normalización de cadenas 290 clave de dispositivo 36 lista de orígenes de datos 79 reglas 350 variable 321 importar configuración de zonas 311 importar hoja de cálculo de orígenes de datos 81 inactivas, configurar archivo para particiones 191 inclusión automática en lista negra para reglas 352 inclusión en lista negra automática, configurar 168 indicadores de estado 31, 55 indicadores, dispositivo o sistema 55 índices de acumulación, aumentar disponibles 190 indización de acumulación, administrar 192 informativos, indicadores 55 informe administrar consultas 208, 209 informe de análisis, generar para IPS 166 informe de hora de evento 171 informes administración de casos, generar 303 agregar 255 agregar condición 256 análisis de IPS, generar 166 cola de alarmas 243 consultar dispositivos ePO 164 definidos por el usuario 255 diseño 256 hora de evento 171 incluir imagen 256 mostrar nombres de host 257 notificaciones, agregar destinatarios 173 predefinidos 255 recuento de tipos de dispositivos 171 resumen de dispositivos 54 trimestrales, establecer mes de inicio 255 iniciar dispositivos 45 iniciar sesión consola, primera vez 20 definir configuración 195 lista de control de acceso 196 seguridad 194 iniciar varios dispositivos 53 intercambiar funciones de receptores de disponibilidad alta 65 interfaz administrar red 38, 175 configuración de red 38, 175 IP dirección, asignar etiquetas de ePolicy Orchestrator 160 IPMI, configurar puerto en ESM o dispositivos 177 IPMI, configurar puerto en la red 177 370 McAfee Enterprise Security Manager 9.5.0 IPS asistente de detección de anomalías 165 configurar opciones 165 inclusión en lista negra automática, configurar 168 informe de análisis, generar 166 lista negra 167 lista negra, administrar 168 modo de solo alertas 348 reglas internas 327 variable de tráfico prioritario 361 variables de detección de anomalías, editar 166 J jerarquía de ESM, enmascarar datos 206 L LDAP autenticación de inicio de sesión 195 servidor, autenticar usuarios 198 licencia, actualizar en DEM 151 límites de asignación de datos, definir 191 límites de retención de datos, configurar 191 límites, configurar para retención de datos 191 Linux comandos 210 comandos disponibles 210 Linux, introducir comandos en dispositivo 43 lista de control de acceso, configurar 196 lista de exclusiones de IP, administrar 308 lista de vigilancia adjuntar eventos 276 administrar consultas 208, 209 agregar 287 agregar reglas 357 crear en vista 276 crear nueva 356 descripción general 287 GTI 288 lista de vigilancia de Threat Intelligence Exchange 162 lista negra a partir de evento en vista 276 administrar para IPS 168 agregar entrada de McAfee Network Security Manager 170 configuración de inclusión automática en la lista negra 168 configurar global 212 dispositivo virtual o IPS 167 entrada, agregar o eliminar eliminada en McAfee Network Security Manager 171 global 211 inclusión automática para reglas 352 lista negra global 211 configurar 212 listas de vigilancia fuentes de Internet 288 Guía del producto Índice literales para reglas de ADM 141 logotipo, agregar a página de inicio de sesión 21 M mantenimiento de archivos, administrar 202 mapa de red 308 máquina virtual, configurar almacenamiento de datos 190 máscaras de datos confidenciales 154 administrar 155 McAfee ePO credenciales, configurar para usuarios 30, 198 McAfee ePO, orígenes de datos 110 McAfee Network Security Manager agregar o eliminar 171 configuración 170 entrada de lista negra eliminada 171 entrada de lista negra, agregar 170 McAfee Risk Advisor adquisición de datos 161 adquisición de datos, activar 161 McAfee ServicePortal, acceso 10 McAfee Vulnerability Manager análisis, desde vista 276 certificado y frase de contraseña, obtener 169 conexiones, configurar 170 configuración 169 ejecutar análisis 169 McAfee, MIB 184 mejorada, búsqueda de ELM 265 memoria, utilización en base de datos 193 MIB de McAfee 184 migrar la base de datos, ELM 129 migrar orígenes de datos a otro receptor 93 modelo, ver para dispositivo 44 modificar reglas 350 modo de sobresuscripción, configurar 349 modo de solo alertas activar 348 directivas 348 modo FIPS activar 14 comprobar integridad 15 comunicar con varios dispositivos ESM 17 copia de seguridad de información 16 funciones disponibles no conformes 14 funciones eliminadas 14 funciones solo disponibles en el modo FIPS 14 restaurar información 16 seleccionar 14 solucionar problemas 19 módulos de protocolo de correo electrónico para reglas de ADM 148 módulos de protocolo de correo web para reglas de ADM 148 módulos de protocolo de transferencia de archivos para reglas de ADM 148 McAfee Enterprise Security Manager 9.5.0 monitor de estado ID de firma 231 motor de correlación de riesgos, ACE 131 motor de correlación, ACE 131 mover grupo de almacenamiento 120 mover orígenes de datos a otro sistema 93 N navegación por el sistema árbol 28 barra 28 NIC de omisión configurar 40, 177 descripción general 39, 176 Nitro IPS resumen 12, 58 nodos de dispositivo duplicados, eliminar 27, 53 nombre/valor, tipos personalizados 296 nombres de host administrar 179 nombres de host, mostrar en informes 257 normalización 347 normalización de cadenas administrar archivos 290 crear archivo que importar 290 normalización de RPC 323 normalización de solicitud web 323 notificación, configurar SNMP 40 NSM herramienta de configuración de NSM-SIEM 109 transmisión de eventos, vista 59 número de serie sistema 171 ver para dispositivo 44 O omitir acción en reglas descargadas 359 opciones de configuración, aplicar al DEM 152 operación, establecer para DEM 154 operadores para reglas de ADM 141 origen de datos no sincronizado con ESM 77 origen de evaluación de vulnerabilidades, agregar 73 orígenes de activos 309 administrar 309 agregar receptor 114 receptor 114 orígenes de datos 70 administrar 71 admitidos 96 agregar 70 agregar para ArcSight 106 agregar secundarios 78 analizador de syslog avanzado 100 Guía del producto 371 Índice orígenes de datos 70 (continuación) aprendizaje automático, configurar 94 asociación de gravedades y acciones 99 ASP, codificación 104 Check Point, configurar 112 cliente 78 cliente, agregar 79 cliente, localizar 79 codificación para ASP 104 compatibilidad con la retransmisión de syslog 108 configuración de Adiscon 108 configurar ePolicy Orchestrator 4.0 106 correlación 98 crear automáticamente 75 formato de evento común 107 hoja de cálculo para importar 81 hora no sincronizada con ESM 77 importar hoja de cálculo 81 importar lista 79 McAfee ePO 110 migrar a otro receptor 93 mostrar desactivados 29, 194 mover a otro sistema 93 registros de seguridad de Windows 97 reglas de creación automática, agregar 76 Security Device Event Exchange (SDEE) 105 SiteProtector de IBM ISS 111 tipos definidos por el usuario 95 ver archivos generados 95 WMI Event Log 97 orígenes de datos secundarios, agregar 78 orígenes de datos, acciones de reglas 330 orígenes, agregar para enriquecimiento de datos 213 P página de inicio de sesión, personalizar 21 panel de casos 28 pantalla personalizada, agregar, editar, eliminar 25, 51 pantalla, seleccionar tipo 25, 52 parámetros, agregar a componente o regla de correlación 342 particiones inactivas, configurar archivo 191 PDF, incluir imagen 256 perfil de comando remoto, configurar 182 perfil de sistema de evaluación de vulnerabilidades, definir 72 perfiles, configurar 182 personalizados filtros de tipos 290 plantillas de alarma agregar 241 copiar 241 editar 241 predeterminado, conjunto 241 plantillas, administrar alarmas 241 plantillas, agregar alarma 241 ponderaciones, configurar para gravedad 360 372 McAfee Enterprise Security Manager 9.5.0 predefinidas, vistas 263 preferencias de la consola 28 propiedades específicas de protocolos para reglas de ADM 148 protocolo eventos de anomalía 134 protocolo DNA, anomalías en reglas de ADM 149 protocolo IP, anomalías en reglas de ADM 149 protocolo TCP, anomalías en reglas de ADM 149 proveedores de evaluación de vulnerabilidades disponibles en ESM 74 puertos receptor de disponibilidad alta, red 62 R RADIUS autenticación de inicio de sesión 195 configuración de autenticación 195 rastrear un evento 300 rastreo de sesiones TCP/UDP 323 Real Time for McAfee ePO consulta en el panel de ePO 165 ejecutar acciones 161 receptor origen de activos, agregar 114 orígenes de datos 70 receptor de disponibilidad alta 59 ampliar 66 comprobar estado 66 configurar dispositivos 63 intercambiar funciones 65 puertos de red 62 reinicializar dispositivo secundario 64 solucionar problemas si falla 68 sustituir receptor 68 receptor de disponibilidad alta secundario, reinicializar 64 receptores archivar datos sin procesar 68 configuración de archivado, definir 69 orígenes de activos 114 transmisión de eventos, vista 59 reconstruir grupo de almacenamiento duplicado 122 recopilador SIEM Collector 71 recuperación de evaluación de vulnerabilidades, solucionar problemas 74 recuperar actualizaciones de reglas 355 red administrar interfaces 38, 175 componente de topología, agregar dispositivos 271 configurar opciones 174 interfaces, configurar en dispositivos 38, 175 puertos de receptor de disponibilidad alta 62 topología, detalles de dispositivos 272 red, descubrir 307 red, mapa 308 Guía del producto Índice reducir asignación de almacenamiento en ELM 120 redundancia de ELM cambiar ELM 125 suspender la comunicación con el ELM en espera desactivar la redundancia 125 ver detalles sobre la sincronización de datos 125 volver a poner el ELM en espera en servicio 125 reensamblado de TCP basado en destino 323 reenvío de eventos activar o desactivar 252 agentes 251 agregar destinos 250 agregar filtros 253 configurar 250 editar configuración de filtrado 253 modificar configuración 253 referencia, diccionario de ADM 141 referencias métricas ADM, reglas 146 DEM, reglas 335 registro activar para flujos 264 configurar ESM 207 establecer grupo predeterminado 42 ver de sistema o dispositivo 54 registro de flujos, activar 264 registro de mensajes, ver en dispositivo 42 registro del sistema, ver 54 registros administrar 205 comprobar 247 configurar descargas 46, 246 descripción 245 establecer idioma 24, 207 tipos generados 206 registros de seguridad de Windows 97 registros, almacenar en ELM 118 regla de rastreo de transacciones, agregar o editar 345 regla de selección para dispositivos virtuales, administrar 50 reglas activar eventos 134 agregar a lista de vigilancia 357 agregar alarma 228 analizador de syslog avanzado 328 borrar estado de regla actualizado 355 buscar actualizaciones 23 comparar archivos 356 copiar y pegar 350 crear personalizadas a partir de evento 276 credenciales de actualización 22 eliminar personalizadas 350 estándar, acceso 167 eventos de Windows 331 exportar 352 filtrar existentes 353 McAfee Enterprise Security Manager 9.5.0 reglas (continuación) firewall, acceso 167 gravedad 359 historial, ver cambios 356 importar 350 inclusión automática en lista negra 352 internas 327 modificar 350 modificar configuración de agregación 358 normalización 347 omitir acción en descargadas 359 origen de datos 330 preprocesador 323, 324 rastreo de transacciones, agregar o editar 345 recuperar actualizaciones 355 tipos y propiedades 319 variables 320 ver firma 354 ver personalizadas 350 reglas de acceso a datos, agregar o editar 344 reglas de ASP establecer orden 329 formatos de hora, agregar 329 reglas de ASP personalizadas, agregar 328 reglas de correlación 339 agregar parámetros 342 conflictos al importar 351 ejemplo 343 reglas de Threat Intelligence Exchange 162 reglas de creación automática de orígenes de datos, agregar 76 reglas de filtrado establecer orden 329 orden de las reglas 327 orden de los datos 327 reglas de firewall 324 acceso 167 agregar excepciones 325 agregar personalizadas 325 crear a partir de evento o flujo 276 tipos 324 reglas de inspección profunda de paquetes (DPI) 326 agregar 326 atributos, agregar 326 reglas de origen de datos 330 aprendizaje automático, administrar 330 reglas de origen de datos de aprendizaje automático, administrar 330 reglas de preprocesador 323, 324 reglas estándar, acceso 167 reglas internas 327 administrar 327 reglas personalizadas ver 350 reinicializar receptor de disponibilidad alta secundario 64 reiniciar dispositivos 45 Guía del producto 373 Índice reiniciar varios dispositivos 53 reloj de dispositivos, sincronizar 181 reloj del sistema 171 Remedy configuración del servidor 172 ID de caso, agregar al registro de evento 278 ID de caso, establecer 276 restaurar claves de comunicación 207 configuración del sistema 200 restaurar archivos de configuración con copia de seguridad 201 restaurar configuración de ESM 201 restaurar ELM mediante copias de seguridad 127 retención de datos, configurar límites 191 riesgo amenazas que incluir en el cálculo 314 rutas estáticas, agregar 39, 176 S SDEE, orígenes de datos 105 secuestro de sesiones, TCP 322 seguridad, claves de comunicación SSH 36 ServicePortal, buscar documentación del producto 10 servidor de correo, conectar 172 servidores NTP establecer para dispositivo 41, 173 ver estado 174 sesión cerrar en la consola 20 sincronización de hora 181 sincronizar dispositivo relojes 181 sincronizar dispositivo con ESM 41 sincronizar hora del sistema 180 SNMP configuración 182 configurar notificaciones 40 MIB 184 notificación de fallos de alimentación 182 software actualizar en varios dispositivos 53 software, actualizar dispositivo 37, 43 software, actualizar ESM 22 solución de problemas fallo de receptor de disponibilidad alta 68 solucionar problemas del modo FIPS 19 soporte técnico, encontrar información de productos 10 SSH claves de comunicación, administrar para dispositivos 36 comunicación, desactivar con ESM 46 regenerar clave 208 subzonas agregar 312 supervisar tráfico de dispositivo 44 sustituir receptor con problemas 68 374 McAfee Enterprise Security Manager 9.5.0 sustituir receptor de disponibilidad alta 68 T TCP anomalías de protocolo 322 secuestro de sesiones 322 tema de color, consola 29 terminal, usar comandos Linux 210 Threat Intelligence Exchange integración con ESM historial de ejecución 162 tiempo de espera, consola 29 tipo de pantalla de dispositivos, seleccionar 25, 52 tipo de pantalla predeterminada, cambiar 29, 194 tipo personalizado agregar grupo de nombre/valor 297 tipos de reglas 319 tipos de términos para reglas de ADM 144 tipos personalizados crear 292 de tiempo, agregar 296 nombre/valor 296 predefinidos 293 trabajo de búsqueda 130 trabajo de búsqueda, crear 131 trabajo de búsqueda, ver resultados 127 trabajo de comprobación de integridad 130 crear 131 tráfico prioritario, administrar 361 trimestrales, establecer mes de inicio de informes 255 U UCF, filtros 286 umbral de inactividad, establecer 246 uso compartido de archivos en el Grupo Hogar, desactivar 119 uso de almacenamiento, ver en ELM 129 usuarios agregar 194 agregar inicio de sesión CAC 197 autenticar mediante servidor LDAP 198 desactivar 198 nombre predeterminado 20 reactivar 198 uso 193 V variables 320 categoría, agregar ahora 321 eliminar personalizadas 321 importar 321 modificar 321 modificar tipo 321 personalizadas, agregar 321 priority_traffic 361 Guía del producto Índice varios dispositivos administrar 53 icono de administración 31 ver administrar consultas 208, 209 ver preferencias de panel 29 versión, ver para software 44 vincular componentes 280 vínculo de URL agregar información de dispositivo 45 vínculos de URL agregar a dispositivo 54 vistas (continuación) predefinidas 263 vistas de fábrica 263 VLAN agregar 40, 176 cambiar 276 volcado de TCP 44 vulnerabilidad administrar orígenes 310 evaluación 310 gravedad 359 visor de sesión, ver contraseñas 136 vista predeterminada, cambiar 283 vistas administrar 282 agregar personalizadas 267 barra de herramientas 28, 262 barra de herramientas de componentes 273 búsqueda de ELM mejorada 265 cambiar predeterminada 283 componentes 268 componentes, descripción 269 componentes, personalizar 270 consultar dispositivos ePO 164 datos de una vista 284 detalles de datos 273 filtrar 284 filtros 284 flujo 264 nombres de host, mostrar en lugar de direcciones IP 267 panel 28 W McAfee Enterprise Security Manager 9.5.0 WHOIS búsqueda desde vista 276 búsqueda, realizar 277 Windows ID de evento, filtros 286 reglas de eventos 331 WMI Event Log 97 Z zipzap 323 zona horaria formato, cambiar 29, 194 zonas administrar 310 agregar 311 agregar una subzona 312 exportar configuración 311 importar configuración de zonas 311 Guía del producto 375 0-02
© Copyright 2025