Download   Report
  1. No category

McAfee Enterprise Security Manager 9.5.1 Notas de la versión

Notas de la versión
McAfee Enterprise Security Manager 9.5.1
Contenido
Acerca de esta versión
Funciones nuevas de la versión 9.5.1
Problemas resueltos
Problemas conocidos
Instrucciones de ampliación
Búsqueda de documentación de productos
Acerca de esta versión
Este documento contiene información importante relativa a la versión actual. Le recomendamos
encarecidamente que lea todo el documento.
No se admite la ampliación automática de versiones preliminares del software. A fin de llevar a cabo la
ampliación a una versión de producción del software, póngase en contacto con el equipo encargado de
las versiones beta de McAfee mediante [email protected] para obtener información sobre el proceso
de ampliación.
®
Funciones nuevas de la versión 9.5.1
®
McAfee Enterprise Security Manager (McAfee ESM) 9.5.1 ofrece una amplia gama de capacidades
actualizadas que ofrecen compatibilidad con la visión de la plataforma Security Connected, datos
1
masivos (Big Data) de seguridad integrados y funciones de primera clase correspondientes a la
solución SIEM.
Desacoplamiento de la base de datos
La base de datos se encuentra ahora desacoplada de la lógica empresarial de la aplicación. Esto
aumenta la solidez y acelera la recuperación en caso de fallos. Anteriormente, los problemas que
requerían un reinicio del dispositivo provocaban una prolongada reconstrucción de la base de datos y
un tiempo de inactividad innecesario. Al separarlas, se reduce la necesidad de reconstruir los datos.
Recopilación de capa 7
Los datos de capa 7 se introducen en la base de datos de McAfee Network Security Manager (NSM)
una vez escrito el evento de NSM en su base de datos. No se insertan en el sistema como parte del
evento. Para extraer la información de capa 7 de NSM, ahora es posible retrasar el momento de
extracción del evento a fin de incluir los datos de capa 7. Puede configurar este retraso al llevar a cabo
tres acciones distintas relacionadas con NSM:
•
Adición de un dispositivo McAfee NSM a la consola
•
Adición de un origen de datos NSM
•
Configuración de un dispositivo NSM
Para obtener más información, consulte Recopilación de capa 7 en un dispositivo NSM en la Ayuda
online o la guía del producto.
Unidades locales virtuales
Ahora es posible detectar un dispositivo de almacenamiento virtual en el ELM virtual y aplicarle
formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos de
almacenamiento.
Para obtener más información, consulte Configuración de una unidad local virtual para almacenar
datos en la Ayuda online o la guía del producto.
Importación de evaluación de vulnerabilidades de Qualys manualmente
Si no tiene acceso directo a un origen Qualys QualysGuard, ahora puede colocar el archivo de
exportación de evaluación de vulnerabilidades en un recurso compartido de archivos o cargarlo
manualmente para su análisis. Véase Administración de orígenes de evaluación de vulnerabilidades en
la Ayuda online o la guía del producto.
1
En la consola de ESM, haga clic en el icono de inicio rápido del Administrador de activos
en la ficha Evaluación de vulnerabilidades.
y, después,
2
Haga clic en Agregar y seleccione Qualys QualysGuard en el campo Tipo de origen de evaluación de
vulnerabilidades.
3
En el campo Método, seleccione una de las opciones de recurso compartido de archivos (SCP, FTP,
NFS o CIFS), o bien Carga manual.
Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB.
4
2
Rellene la información restante y haga clic en Aceptar.
5
Siga uno de los procedimientos siguientes:
•
Si ha seleccionado una de las opciones de recurso compartido de archivos, haga clic en Recuperar
para recopilar los datos.
•
Si ha seleccionado Carga manual, haga clic en Cargar para cargar el archivo.
Visualice los datos recuperados en las vistas Activo, Amenaza y Vulnerabilidad. Para acceder a estas vistas,
véase Vistas predefinidas en la Ayuda online o la guía del producto.
Recopilación de datos de AWS CloudTrail
Es posible recopilar datos de Amazon Web Services (AWS) CloudTrail mediante la adición de un origen
de datos.
1
En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Propiedades
.
2
Haga clic en Orígenes de datos y, después, en Agregar.
3
Seleccione Amazon en el campo Proveedor de origen de datos y, después, seleccione CloudTrail en el campo
Modelo de origen de datos.
4
Rellene los campos generales del origen de datos (haga clic en el icono Ayuda para obtener detalles)
y, después, rellene los campos correspondientes a AWS CloudTrail.
•
Clave de acceso de AWS: el nombre de usuario empleado para la cuenta de AWS.
•
Clave secreta de AWS: contraseña de su cuenta de AWS.
•
URL de SQS: URL proporcionada por AWS que apunta a la cola SQS. Se proporciona en la consola
de administración de SQS cuando se inicia sesión en AWS.
•
Tiempo de espera de visibilidad de SQS: tiempo que un mensaje o registro permanece oculto tras su
solicitud. Si el recopilador no elimina el mensaje o el registro, se restauran tras el tiempo de
espera (el valor predeterminado es 300 segundos).
•
Intervalo de sondeo de SQS: intervalo entre solicitudes de recopilación (el valor predeterminado es
300 segundos).
•
Conectar: permite probar la conexión con AWS. Asegúrese de que la conexión sea correcta antes
de continuar. Si no es así, verifique que la clave de acceso, la clave secreta y la URL de AWS
sean correctas. Los errores correspondientes al recopilador se encuentran en el
archivo /var/log/cloudtrail.log.00. También es posible ejecutar el recopilador manualmente
mediante la ejecución de este comando en el receptor:
/usr/local/bin/cloudtrailcoll.pl -v <vipsid>
Si la configuración del origen de datos es incorrecta, el recopilador de CloudTrail se bloquea.
Para obtener información general sobre los orígenes de datos, consulte Orígenes de datos de receptor
en la Ayuda online o la guía del producto.
Visualización de la hora del evento
Ahora es posible ver la hora exacta a la que se insertó un evento en la base de datos del receptor.
Para obtener más información, consulte Visualización de la hora del evento en la Ayuda online o la
guía del producto.
Actualización automática del Árbol de sistemas
El Árbol de sistemas de la consola de ESM se actualiza automáticamente cada cinco minutos. Durante
la actualización, no es posible seleccionar dispositivos en el árbol. Si existen muchos dispositivos en el
árbol, la actualización puede tardar alrededor de cinco minutos o más. Esto puede interferir con el
3
acceso a la página Propiedades de los dispositivos incluidos en el árbol. Si esto ocurre, ahora es posible
detener la actualización automática. Para obtener más información, consulte Detención de la
actualización automática del Árbol de sistemas de ESM en la Ayuda online o la guía del producto.
Detalles del trabajo Obtener eventos y flujos
Ahora es posible ver más detalles sobre el estado del trabajo Obtener eventos y flujos. Véase Obtención de
eventos y flujos en la Ayuda online o la guía del producto para obtener instrucciones sobre la
visualización de esta información.
Problemas resueltos
Estos problemas se resuelven en esta versión del producto. Para obtener una lista de los problemas
reparados en versiones anteriores, consulte las notas de versión de esa versión en concreto.
El procesamiento de eventos del ESM se bloquea cuando la ocupación del disco
supera el 90 %
El ESM ahora procesa los eventos aunque la ocupación del disco supere el 90 %.
Las reglas de correlación personalizadas aparecen como eventos normales en el
ESM principal
Los eventos generados por reglas de correlación personalizadas ahora aparecen como eventos
correlacionados.
No se puede activar el proxy para orígenes de activos Altiris
Ahora es posible activar el proxy para los orígenes de activos Altiris.
1
Haga clic en el icono de inicio rápido del Administrador de activos y, después, en la ficha Orígenes de
activos.
2
Seleccione un dispositivo y haga clic en Agregar.
3
Seleccione Altiris en el campo Tipo y, después, seleccione Activar proxy.
Las variables de fecha del ELM no están definidas de forma precisa
Anteriormente, existían imprecisiones en las fechas de los grupos de almacenamiento debido al tipo de
datos correspondiente a las variables de fecha. Ahora se ha cambiado el tipo de datos y las constantes
para las fechas de grupos de almacenamiento son ligeramente distintas. Las principales diferencias
son:
4
•
Los años se definen ahora según el calendario gregoriano (un año corresponde a 365,2425 días).
•
Las semanas se definen ahora como siete días en lugar de los días del año divididos entre 52. Esto
significa que, al configurar un grupo con 52 semanas, ya no corresponde a un año. Se mostrará
como 52 semanas. Lo mismo ocurre con los múltiplos de 13 semanas, que ya no coinciden con los
múltiplos de un trimestre.
•
Si tiene grupos definidos en semanas que son múltiplos de trimestres o años, es posible que deba
cambiar el tamaño del grupo para conservar el espacio de tiempo de las semanas. Por ejemplo, si
tiene configurado un grupo de 52 semanas, tras la ampliación se establecerá como un año. Puede
cambiar el tamaño del grupo de un año manualmente para que coincida con 52 semanas.
•
Cuando efectúe la ampliación, el sistema intentará cambiar automáticamente el tamaño de los
grupos para que coincida con el tamaño de las nuevas constantes.
El administrador de base de datos se bloquea al actualizar Java
El administrador de base de datos funciona ahora correctamente con la nueva versión 1.8 de Java.
La copia de seguridad incremental con una tabla de paquetes extensa tarda varios
días
Se ha aumentado la velocidad de las copias de seguridad de las tablas de paquetes. Por ejemplo, una
copia de seguridad que antes tardaba tres horas, ahora tarda entre 15 y 20 minutos.
SNMP no se ejecuta en el receptor secundario de un par de disponibilidad alta
Ahora es posible editar la configuración de SNMP tanto en el dispositivo principal como en el
secundario mediante la selección del botón de opción que se ha agregado a la página Configuración SNMP.
Véase Configuración de las opciones de SNMP en la Ayuda online o la guía del producto.
No se puede guardar el diseño de un informe personalizado
Al hacer clic en Guardar en la página Diseño de informe, ahora el informe se guarda de la forma esperada.
El archivado de la base de datos solo muestra las primeras 255 particiones de
eventos
En la página Particiones inactivas (Propiedades del sistema | Base de datos | Archivado) ahora aparecen todas las
particiones.
Problemas conocidos
Para obtener información sobre los problemas conocidos de esta versión del producto, consulte el
artículo de la base de datos de McAfee KnowledgeBase: KB83418.
Instrucciones de ampliación
A fin de preparar el sistema para la versión 9.5.1 del software, descargue los archivos de ampliación
para los dispositivos ESM, Nitro IPS, ACE, ADM, Database Event Monitor (DEM), receptor, ELMERC,
ELM y la combinación ESM/receptor. A continuación, amplíelos en el orden indicado.
Para obtener información sobre cómo instalar los dispositivos, consulte la Guía de instalación de McAfee
Enterprise Security Manager 9.5.1.
5
Procedimientos
•
Descarga de los archivos de ampliación en la página 10
Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al
sistema local.
•
Ampliación del sistema en la página 11
Debe ampliar el ESM y sus dispositivos, siguiendo un orden concreto, en función de su
modo. Tras la ampliación, vuelva a establecer la configuración de los dispositivos y
despliegue la directiva correspondiente.
•
Ampliación de ESM, ESMREC o ENMELM en la página 13
Una vez que el sistema esté listo, puede ampliar su ESM, ESMREC o ENMELM a la versión
9.5.1.
•
Ampliación de dispositivos en la página 14
Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/
Event Receiver, ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS,
amplíe los dispositivos antes de ampliar el ESM.
Preparativos para la ampliación
Hay varias cosas que se deben hacer antes de proceder a una ampliación.
•
Repase la lista de comprobación de ESM para asegurarse de que el ESM y los dispositivos se
encuentren en buen estado antes de iniciar la ampliación.
•
Asegúrese de que la reconstrucción de la base de datos de ESM a partir de una compilación
anterior (9.3.2 o posterior) haya finalizado y de que sea posible planificar el periodo de interrupción
adecuado para esta ampliación.
•
Cree una copia de seguridad de la base de datos de ESM antes de iniciar la ampliación.
•
Asegúrese de que el subsistema de RAID por software se esté ejecutando con dos unidades
activas. Si está utilizando ESM 4245R, 5205R, 5510R o 5750R, ESMREC 4245R, 5205R o 5510R, o
bien ESMLM 4245R, 5205R o 5510R, emita el comando cat/proc/mdstat de una de estas formas:
•
En la consola de ESM, haga clic en Propiedades del sistema | Administración de ESM | Terminal, haga clic
en Escribir y escriba el comando.
•
Acceda mediante SSH al ESM.
•
Conecte un monitor y un teclado al dispositivo.
Si la salida tiene un aspecto como el del siguiente ejemplo, el RAID funciona correctamente y
puede seguir con la ampliación:
Personalities : [raid1]
md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2][UU]
Unused devices: <none>
El código [UU] identifica las unidades activas. En caso de aparecer [_U] o [U_], una unidad no
forma parte del RAID. Póngase en contacto con el Soporte de McAfee antes de la ampliación.
6
Tipo de
información
Detalles
Tipos de
dispositivos
admitidos
Los dispositivos ESM, ESM/Event Receiver (ESMREC) o ESM/Log Manager
(ENMELM) solo se comunican con los modelos de dispositivos de la versión 9.5.1.
A fin de comprobar el modelo de su dispositivo, emita el comando cat/proc/
cpuinfo. La salida incluye el número de CPU en la línea model name. La CPU
debe ser una de las siguientes:
Eliminación de
dispositivos
• 1275
• 5450
• 2160
• 5645
• 2670
• 6300
• 3220
• 6400
• 5405
• 7500
• 5410
• 7542
• 5440
• 9400
Antes de ampliar el ESM, ESMREC o ENMELM, es necesario eliminar todos los
modelos de dispositivos especificados y las direcciones IP virtuales
correspondientes a los modelos de Nitro IPS especificados. De no hacerlo,
aparecerá un mensaje en la página Inicio de sesión y en el registro de mensajes que
indica que se ha producido este problema y que no se podrá llevar a cabo la
ampliación. El ESM tampoco se ampliará, y se incluirán las entradas
correspondientes en el registro de mensajes del dispositivo.
Para eliminar un IPS virtual, seleccione el dispositivo en el árbol de navegación
del sistema y haga clic en el icono Propiedades. Seleccione Configuración del dispositivo |
Dispositivos virtuales, seleccione los dispositivos virtuales existentes y haga clic en
Quitar. Haga clic en Escribir para indicar la configuración al IPS.
Es necesario desplegar la directiva del dispositivo ESM, ESMREC o ENMELM de la
versión 9.5.1 en el dispositivo IPS o, de lo contrario, el IPS permanecerá en modo
de omisión y no se inspeccionará el tráfico.
Tiempo de
reconstrucción
El tiempo de reconstrucción de la tabla varía para el ESM, el ESMREC y el
ENMELM. Para acelerar la ampliación de la base de datos del ESM:
• Establezca una duración de extracción mayor para la recopilación de eventos,
flujos y registros, lo cual aumenta el tiempo para la reconstrucción. En la
consola de ESM, haga clic enPropiedades del sistema | Eventos, flujos y registros y
establezca el Intervalo de comprobación automática.
• Desactive la recopilación de eventos, flujos y registros hasta que finalice la
reconstrucción. Este paso solo se debe realizar si el número de eventos y flujos
enviados al ESM es reducido. En la consola de ESM, haga clic en Propiedades del
sistema | Eventos, flujos y registros y anule la selección del Intervalo de comprobación
automática.
El tiempo de reconstrucción de los dispositivos es de aproximadamente 45
minutos.
7
Tipo de
información
Detalles
Rutas de
ampliación
Es posible ampliar a la versión 9.5.1 directamente desde la versión 9.3.2 o
posterior. Las versiones anteriores a la 9.3.2 se deben ampliar mediante la ruta
siguiente:
7.x.x > 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.3.2 o posterior >
9.5.1
Ampliación de
dispositivos
receptores de
disponibilidad alta
A fin de ampliar los dispositivos receptores de disponibilidad alta, es necesario
comprobar antes el estado de disponibilidad alta del receptor. Véase
Comprobación del estado de receptores de disponibilidad alta en la Ayuda online
de ESM.
Situaciones de ampliación especiales
En situaciones especiales, es necesario llevar a cabo pasos adicionales antes o después de la
ampliación.
Situación
Acción
Instalación de un
nuevo modelo de
McAfee ESM
Si va a instalar un modelo nuevo de McAfee ESM, tiene treinta días para registrar
el hardware a fin de poder recibir actualizaciones de directivas, analizadores y
reglas como parte del contrato de mantenimiento. Si no se registra, no podrá
recibir ampliaciones. Para obtener su nombre de usuario y contraseña
permanentes, envíe un mensaje de correo electrónico a [email protected]
con la información siguiente: número de concesión de McAfee, nombre de
cuenta, dirección, nombre de contacto y dirección de correo electrónico de
contacto.
Obtención de
actualizaciones de
reglas sin
conexión
1 Diríjase a http://www.mcafee.com/us/downloads/downloads.aspx.
2 En la esquina superior derecha, haga clic en Descargar mis productos y, después,
en Ir.
3 Introduzca su número de concesión, escriba las letras que se muestran y, a
continuación, haga clic en Enviar.
4 Haga clic en MFE Enterprise Security Manager y, después, en MFE Nitro Rules Downloads.
5 Lea el acuerdo de licencia y haga clic en Acepto.
Se mostrarán los archivos de actualización disponibles según la versión del
ESM.
6 Descargue las reglas correspondientes a su versión de ESM.
Resolución de
problemas de
comunicación de
los dispositivos
Si ha ampliado un dispositivo de McAfee (distinto del ESM), podría aparecer el
mensaje Es necesario ampliar el dispositivo a la versión 9.5.1 para realizar esta
operación. Verifique que el ESM sea de la versión correcta.
1 En la consola de ESM, seleccione el dispositivo en el árbol de navegación del
sistema y, después, seleccione el icono Propiedades.
2 Haga clic en Conexión y, después, en Estado.
La versión se actualizará.
3 Vuelva a intentar la operación que provocó el mensaje.
8
Situación
Acción
Ampliación de un
ESM redundante
En primer lugar se debe ampliar el ESM principal y, después, se amplía el ESM
redundante de acuerdo con las instrucciones proporcionadas.
1 En el ESM principal, seleccione el ESM en el árbol de navegación del sistema y
haga clic en el icono Propiedades.
2 Haga clic en Eventos, flujos y registros y anule la selección de la opción Intervalo de
comprobación automática.
3 Tras ampliar el ESM redundante, vuelva a activar la recopilación de eventos,
flujos y registros en el ESM principal.
McAfee ePO con
Policy Auditor
Si el dispositivo de McAfee ePO ya está en el ESM, deberá actualizarlo.
1 Si no tiene un dispositivo de tipo todo en uno, amplíe el receptor al que esté
conectado el dispositivo de McAfee ePO.
2 En la consola de ESM, haga clic en Propiedades de ePO | Administración de dispositivo y,
después, haga clic en Actualizar.
Puede configurar la recuperación automática en la ficha Administración de
dispositivo.
3 Haga clic en Propiedades de receptor y, después, haga clic en la ficha Evaluación de
vulnerabilidades.
4 Haga clic en Escribir.
5 Repita el paso 2 para obtener datos de evaluación de vulnerabilidades en el
ESM.
Al efectuar la actualización, se registra Policy Auditor como origen de
evaluación de vulnerabilidades, lo cual a su vez permite que se escriba Policy
Auditor en vathirdparty.conf.
6 Cierre la sesión en la consola de ESM y vuelva a iniciarla.
Ampliación de los
receptores de
disponibilidad alta
Antes de llevar a cabo la ampliación, establezca el receptor principal preferido
con el valor Sin preferencia, lo cual permite utilizar la opción de Conmutación en caso de
error.
El proceso de ampliación amplía ambos receptores secuencialmente, empezando
por el secundario. Una vez ampliados ambos receptores, se puede volver a
aplicar el receptor principal preferido.
9
Situación
Acción
Reconstrucción de
la base de datos
de administración
de ELM
La indización de la base de datos de administración de ELM podría requerir más
tiempo, en función del modelo de ELM. Por ejemplo, el número de grupos
existentes, la cantidad de datos enviados desde los dispositivos de registro y el
ancho de banda de la red si se emplea el almacenamiento remoto pueden
aumentar el tiempo que se tarda en completar la indización.
No obstante, esta tarea en segundo plano tiene un impacto mínimo en el
rendimiento y, cuando finaliza, mejora las consultas sobre datos históricos.
Para comprobar el estado de la reconstrucción, acceda a Propiedades de ELM |
Información de ELM. Si aparece el mensaje La base de datos se está reconstruyendo
en el campo Estado Activo, NO detenga ni inicie la base de datos de ELM. El
sistema indiza todos los datos nuevos del ELM en el dispositivo origen del envío
antes de enviar dichos datos al ELM.
Si tiene receptores que realizan el registro en el ELM y se encuentran cerca de
su capacidad máxima, póngase en contacto con el servicio de Soporte.
Ampliación de un
ELM redundante
Se debe ampliar el ELM en espera antes de hacer lo propio con el ELM activo.
El proceso de ampliación suspende la redundancia de ELM. Tras ampliar ambos
ELM, deberá reiniciar la redundancia de ELM.
1 Amplíe el ELM en espera.
2 A continuación, amplíe el ELM activo.
3 En el árbol de navegación del sistema, seleccione el ELM en espera y acceda a
Propiedades de ELM | Redundancia de ELM. Haga clic en Volver a poner en servicio.
4 Diríjase a Propiedades de ELM | Información de ELM y haga clic en Actualizar. Tanto el
ELM activo como el ELM en espera deberían tener el estado Correcto.
Si el ELM en espera tiene el estado Incorrecto, haga clic en Actualizar de nuevo.
Tras unos minutos, el estado del ELM en espera debería cambiar a Correcto, rsync
de ELM redundante 100% finalizado. Existe la posibilidad de que tenga que hacer clic
en Actualizar varias veces.
Descarga de los archivos de ampliación
Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local.
Procedimiento
10
1
En el sitio web de McAfee de Descarga de productos, en la dirección http://www.mcafee.com/us/
downloads/downloads.aspx, escriba su número de concesión de cliente en el campo Descargar mis
productos y haga clic en Ir.
2
Seleccione el dispositivo que desee ampliar.
3
Seleccione el vínculo correcto (MFE <nombre dispositivo> v9.5.1), lea el acuerdo de licencia de
usuario final (EULA) de McAfee y haga clic en Acepto.
4
Descargue estos archivos en su sistema local:
Tipo de dispositivo
Nombre del archivo
McAfee Enterprise Security Manager (ESM o ETM)
ESSREC_Update_9.5.1.tgz
McAfee Enterprise Security Manager y Log Manager (ENMELM ESS_Update_9.5.1.tgz
o ESMREC)
McAfee Nitro Intrusion Prevention System (Nitro IPS o NTP)
IPS_Update_9.5.1.tgz
McAfee Event Receiver (ERC o ELMERC)
RECEIVER_Update_9.5.1.tgz
McAfee Database Event Monitor (DEM)
DBM_Update_9.5.1.tgz
McAfee Advanced Correlation Engine (ACE)
RECEIVER_Update_9.5.1.tgz
McAfee Enterprise Log Manager (ELM)
RECEIVER_Update_9.5.1.tgz
McAfee Application Data Monitor (ADM)
APM_Update_9.5.1.tgz
Estos archivos están listos para ampliar el ESM y los dispositivos correspondientes.
Ampliación del sistema
Debe ampliar el ESM y sus dispositivos, siguiendo un orden concreto, en función de su modo. Tras la
ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva
correspondiente.
Antes de empezar
•
Consulte Preparativos para la ampliación y Situaciones de ampliación especiales.
•
Asegúrese de que en el sistema se esté ejecutando la versión 9.3.2 o posterior.
•
Si ha ampliado recientemente a la versión 9.3.2, verifique que la reconstrucción de la
base de datos haya finalizado.
Procedimiento
1
Amplíe los dispositivos en este orden.
Para obtener detalles sobre la ampliación del ESM y los dispositivos, consulte Ampliación de ESM,
ESMREC o ENMELM y Ampliación de dispositivos.
11
Modo
Orden
No FIPS 1 Amplíe el ESM, ESMREC o ENMELM.
2 Espere a que se compile la base de datos.
3 Amplíe el ELM o ELMERC.
4 Amplíe Nitro IPS, Event Receiver, ACE, DEM y ADM.
Si va a ampliar un ESM redundante, véase Ampliación de un ESM redundante en
Situaciones de ampliación especiales.
FIPS
1 Amplíe el ELM o ELMERC.
2 Amplíe los dispositivos Nitro IPS, Event Receiver, ACE, DEM y ADM.
3 Amplíe el ESM, ESMREC o ENMELM. Puede empezar cuando se inicien todas las
ampliaciones de dispositivos.
Si no se amplían los dispositivos antes de ampliar el ESM en el modo FIPS, esto puede
afectar a la recopilación de registros de ELM.
2
Verifique que existe comunicación con los dispositivos.
3
Descargue la actualización de reglas manual al ESM (véase Obtención de actualizaciones de reglas
sin conexión en la sección Situaciones de ampliación especiales de este documento).
4
Aplique las reglas actualizadas.
a
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
.
5
12
b
En la página Información del sistema, haga clic en Actualización de reglas y, después, en Actualización
manual.
c
Navegue hasta el archivo de actualización, haga clic en Cargar y, después, en Aceptar.
Lleve a cabo este proceso para volver a establecer la configuración de los dispositivos a fin de
asegurarse de que se aplique toda la configuración de la versión 9.5.1.
a
En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y,
después, haga clic en el icono Propiedades.
b
Siga estos pasos en cada dispositivo.
Tipo de
dispositivo
Procedimiento
Event Receiver o
combinación ESM/
Event Receiver
• Orígenes de datos: haga clic en Orígenes de datos | Escribir.
ACE
• Correlación de riesgos: haga clic en Administración de correlación de riesgos |
Escribir.
• Orígenes de evaluación de vulnerabilidades: haga clic en Evaluación de
vulnerabilidades | Escribir.
• Correlación histórica: haga clic en Histórica | Activar correlación histórica | Aplicar.
Si esta opción ya estaba seleccionada, anule su selección, selecciónela de
nuevo y haga clic en Aplicar.
• Correlación de reglas: haga clic en Correlación de reglas, seleccione Activar
correlación de reglas y haga clic en Aplicar. Si esta opción ya estaba
seleccionada, anule su selección, selecciónela de nuevo y haga clic en
Aplicar.
Nitro IPS, DEM o
ADM
6
• Dispositivos virtuales (IPS y ADM): Haga clic en Dispositivos virtuales | Escribir.
• Servidores de base de datos: haga clic en Servidores de base de datos | Escribir.
Despliegue la directiva en todos los dispositivos ampliados.
Tras el despliegue de la directiva en un dispositivo Nitro IPS, asegúrese de desactivar en el
dispositivo el modo de omisión mediante Configuración del dispositivo | Interfaces.
7
Si dispone de un ELM o ELMERC que recopilan registros de un dispositivo, sincronice el ELM
(Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM).
Ampliación de ESM, ESMREC o ENMELM
Una vez que el sistema esté listo, puede ampliar su ESM, ESMREC o ENMELM a la versión 9.5.1.
Antes de empezar
Lea este documento en su totalidad. Verifique que todos los dispositivos conectados al ESM
sean compatibles con la versión 9.5.1 (véase Tipos de dispositivos admitidos en
Preparativos para la ampliación).
Procedimiento
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
1
En la consola de ESM, seleccione el dispositivo ESM y haga clic en el icono Propiedades.
2
Seleccione Administración de ESM y haga clic en Actualizar ESM.
3
En la página Seleccionar archivo de actualización de software, desplácese hasta uno de los archivos
siguientes.
Tipo de dispositivo
Archivo
Enterprise Security Manager (ESM) autónomo
ESS_Update_9.5.1.tgz
Enterprise Security Manager con un receptor integrado (ESMREC)
ESSREC_Update_9.5.1.tgz
Enterprise Security Manager con un receptor y un Enterprise Log
Manager (ENMELM) integrados, también conocido como combinación
ENMELM
ESSREC_Update_9.5.1.tgz
13
4
Seleccione el archivo y haga clic en Cargar.
Se le informará de que el ESM se reiniciará y todos los usuarios perderán la conexión.
5
Haga clic en Sí para continuar y, cuando se le pida que cierre el navegador, haga clic en Aceptar.
Se producirá la ampliación, la cual puede tardar varias horas.
6
Cuando termine la ampliación, vuelva a iniciar sesión en la consola mediante una sesión nueva del
navegador.
Ampliación de dispositivos
Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/Event Receiver,
ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS, amplíe los dispositivos antes de
ampliar el ESM.
Antes de empezar
Lea este documento en su totalidad. Verifique que todos los dispositivos conectados al ESM
sean compatibles con la versión 9.5.1 (véase Tipos de dispositivos admitidos en
Preparativos para la ampliación).
Procedimiento
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
1
En la consola de ESM, seleccione el dispositivo que desee ampliar y, después, haga clic en el icono
Propiedades.
2
Haga clic en la opción Administración del dispositivo y, después, en Actualizar dispositivo.
3
En la página Seleccionar archivo de actualización de software, desplácese hasta uno de estos archivos:
Tipo de dispositivo
Archivo
IPS
IPS_Update_9.5.1.tgz
• Event Receiver
Receiver_Update_9.5.1.tgz
• ELM
• Combinación ELM/Event Receiver
• ACE
DEM
DBM_Update_9.5.1.tgz
ADM
APM_Update_9.5.1.tgz
Máquina virtual ESS
Ya no hay ampliaciones disponibles para este dispositivo.
Póngase en contacto con el equipo de ventas de McAfee para
adquirir un nuevo modelo de máquina virtual de ESM.
4
Seleccione el archivo y haga clic en Cargar.
5
En la página Actualizar software del dispositivo, haga clic en Sí para continuar.
El archivo se cargará y el dispositivo se reiniciará.
6
14
Cuando se restablezca la comunicación, compruebe la versión del dispositivo.
Búsqueda de documentación de productos
Una vez que se lanza un producto, la información del producto se introduce en el Centro de
conocimiento online de McAfee.
Procedimiento
1
Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com.
2
En el panel KnowledgeBase, haga clic en un origen de contenido:
•
Documentación del producto para encontrar documentación del producto
•
Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase
3
Seleccione No borrar mis filtros.
4
Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista
con documentos.
Procedimientos
•
Uso de la Ayuda de ESM en la página 16
¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información
contextual, donde podrá encontrar información conceptual, materiales de referencia e
instrucciones paso a paso sobre el uso de ESM.
•
Preguntas más frecuentes en la página 16
A continuación se incluyen las respuestas a las preguntas más frecuentes.
Búsqueda de información localizada
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee
ESM localizadas (traducidas) en los idiomas siguientes:
•
Chino simplificado
•
Japonés
•
Chino tradicional
•
Coreano
•
Inglés
•
Portugués brasileño
•
Francés
•
Español
•
Alemán
Acceso a la Ayuda online localizada
Al cambiar la configuración de idioma en ESM, cambia automáticamente el idioma empleado en la
Ayuda online.
1
Inicie sesión en ESM.
2
En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.
3
Seleccione un idioma y haga clic en Aceptar.
4
Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
15
Búsqueda de documentación del producto localizada en el Centro de conocimiento
1
Visite el Centro de conocimiento.
2
Busque la documentación del producto localizada mediante los parámetros siguientes.
•
Término de búsqueda: guía del producto, guía de instalación o notas de la versión
•
Producto: SIEM Enterprise Security Manager
•
Versión: 9.5.0 o posterior
3
En los resultados de la búsqueda, haga clic en el título del documento relevante.
4
En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5
Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
Uso de la Ayuda de ESM
¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual,
donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso
sobre el uso de ESM.
Antes de empezar
Opcional: Búsqueda de información localizada en la página 15.
Procedimiento
1
2
Para abrir la Ayuda de ESM, realice una de estas acciones:
•
Seleccione la opción de menú Ayuda | Contenido de la Ayuda.
•
Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de
ESM para buscar ayuda contextual específica de cada pantalla.
En la ventana de la Ayuda:
•
Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán
debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el
panel de la derecha.
•
Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la
Ayuda.
•
Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están
organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave
deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.
•
Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono
de la impresora, situado en la parte superior derecha del tema de la Ayuda.
•
Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte
inferior del tema de la Ayuda.
Preguntas más frecuentes
A continuación se incluyen las respuestas a las preguntas más frecuentes.
¿Dónde puedo encontrar información sobre ESM en otros idiomas?
Se localizan las notas de la versión, la Ayuda online, la guía del producto y la guía de instalación
de ESM en los idiomas siguientes:
16
•
Chino simplificado y tradicional
•
Japonés
•
Inglés
•
Coreano
•
Francés
•
Portugués brasileño
•
Alemán
•
Español
Búsqueda de información localizada en la página 15
¿Dónde puedo obtener información sobre McAfee ESM?
•
Uso de la Ayuda de ESM en la página 16
•
Visite el Centro de conocimiento
•
Visite el Centro de expertos
•
Vea los vídeos de McAfee ESM
¿Qué dispositivos de la solución SIEM se admiten?
Visite el sitio web de McAfee ESM
¿Cómo se configuran los orígenes de datos concretos?
Busque las guías de configuración de los orígenes de datos actuales en el Centro de
conocimiento
¿Qué paquetes de contenido hay disponibles?
Lea este artículo de la base de conocimiento en el Centro de conocimiento
Copyright © 2015 McAfee, Inc. www.intelsecurity.com
Intel y el logotipo de Intel son marcas comerciales o marcas comerciales registradas de Intel Corporation. McAfee y el logotipo de
McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. Los demás nombres y marcas pueden ser
reclamados como propiedad de otros.
Cómo TRANSFERIR a tu cuenta UMVA en Senegal?

Cómo TRANSFERIR a tu cuenta UMVA en Senegal?

Cómo enseñar y evaluar probabilidad en EB

Cómo enseñar y evaluar probabilidad en EB

haciendo clic aquí

haciendo clic aquí

1. Para el ingreso a la nueva plataforma Q10, debe hacerlo desde

1. Para el ingreso a la nueva plataforma Q10, debe hacerlo desde

INSTRUCCIONES PARA REALIZAR PAGO 1. http://csa.itesm.mx

INSTRUCCIONES PARA REALIZAR PAGO 1. http://csa.itesm.mx

Convocatoria - Inicio - Instituto Politécnico Nacional

Convocatoria - Inicio - Instituto Politécnico Nacional

EsDocs.com

© Copyright 2024