Notas de la versión McAfee Enterprise Security Manager 9.5.1 Contenido Acerca de esta versión Funciones nuevas de la versión 9.5.1 Problemas resueltos Problemas conocidos Instrucciones de ampliación Búsqueda de documentación de productos Acerca de esta versión Este documento contiene información importante relativa a la versión actual. Le recomendamos encarecidamente que lea todo el documento. No se admite la ampliación automática de versiones preliminares del software. A fin de llevar a cabo la ampliación a una versión de producción del software, póngase en contacto con el equipo encargado de las versiones beta de McAfee mediante [email protected] para obtener información sobre el proceso de ampliación. ® Funciones nuevas de la versión 9.5.1 ® McAfee Enterprise Security Manager (McAfee ESM) 9.5.1 ofrece una amplia gama de capacidades actualizadas que ofrecen compatibilidad con la visión de la plataforma Security Connected, datos 1 masivos (Big Data) de seguridad integrados y funciones de primera clase correspondientes a la solución SIEM. Desacoplamiento de la base de datos La base de datos se encuentra ahora desacoplada de la lógica empresarial de la aplicación. Esto aumenta la solidez y acelera la recuperación en caso de fallos. Anteriormente, los problemas que requerían un reinicio del dispositivo provocaban una prolongada reconstrucción de la base de datos y un tiempo de inactividad innecesario. Al separarlas, se reduce la necesidad de reconstruir los datos. Recopilación de capa 7 Los datos de capa 7 se introducen en la base de datos de McAfee Network Security Manager (NSM) una vez escrito el evento de NSM en su base de datos. No se insertan en el sistema como parte del evento. Para extraer la información de capa 7 de NSM, ahora es posible retrasar el momento de extracción del evento a fin de incluir los datos de capa 7. Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM: • Adición de un dispositivo McAfee NSM a la consola • Adición de un origen de datos NSM • Configuración de un dispositivo NSM Para obtener más información, consulte Recopilación de capa 7 en un dispositivo NSM en la Ayuda online o la guía del producto. Unidades locales virtuales Ahora es posible detectar un dispositivo de almacenamiento virtual en el ELM virtual y aplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos de almacenamiento. Para obtener más información, consulte Configuración de una unidad local virtual para almacenar datos en la Ayuda online o la guía del producto. Importación de evaluación de vulnerabilidades de Qualys manualmente Si no tiene acceso directo a un origen Qualys QualysGuard, ahora puede colocar el archivo de exportación de evaluación de vulnerabilidades en un recurso compartido de archivos o cargarlo manualmente para su análisis. Véase Administración de orígenes de evaluación de vulnerabilidades en la Ayuda online o la guía del producto. 1 En la consola de ESM, haga clic en el icono de inicio rápido del Administrador de activos en la ficha Evaluación de vulnerabilidades. y, después, 2 Haga clic en Agregar y seleccione Qualys QualysGuard en el campo Tipo de origen de evaluación de vulnerabilidades. 3 En el campo Método, seleccione una de las opciones de recurso compartido de archivos (SCP, FTP, NFS o CIFS), o bien Carga manual. Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB. 4 2 Rellene la información restante y haga clic en Aceptar. 5 Siga uno de los procedimientos siguientes: • Si ha seleccionado una de las opciones de recurso compartido de archivos, haga clic en Recuperar para recopilar los datos. • Si ha seleccionado Carga manual, haga clic en Cargar para cargar el archivo. Visualice los datos recuperados en las vistas Activo, Amenaza y Vulnerabilidad. Para acceder a estas vistas, véase Vistas predefinidas en la Ayuda online o la guía del producto. Recopilación de datos de AWS CloudTrail Es posible recopilar datos de Amazon Web Services (AWS) CloudTrail mediante la adición de un origen de datos. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Propiedades . 2 Haga clic en Orígenes de datos y, después, en Agregar. 3 Seleccione Amazon en el campo Proveedor de origen de datos y, después, seleccione CloudTrail en el campo Modelo de origen de datos. 4 Rellene los campos generales del origen de datos (haga clic en el icono Ayuda para obtener detalles) y, después, rellene los campos correspondientes a AWS CloudTrail. • Clave de acceso de AWS: el nombre de usuario empleado para la cuenta de AWS. • Clave secreta de AWS: contraseña de su cuenta de AWS. • URL de SQS: URL proporcionada por AWS que apunta a la cola SQS. Se proporciona en la consola de administración de SQS cuando se inicia sesión en AWS. • Tiempo de espera de visibilidad de SQS: tiempo que un mensaje o registro permanece oculto tras su solicitud. Si el recopilador no elimina el mensaje o el registro, se restauran tras el tiempo de espera (el valor predeterminado es 300 segundos). • Intervalo de sondeo de SQS: intervalo entre solicitudes de recopilación (el valor predeterminado es 300 segundos). • Conectar: permite probar la conexión con AWS. Asegúrese de que la conexión sea correcta antes de continuar. Si no es así, verifique que la clave de acceso, la clave secreta y la URL de AWS sean correctas. Los errores correspondientes al recopilador se encuentran en el archivo /var/log/cloudtrail.log.00. También es posible ejecutar el recopilador manualmente mediante la ejecución de este comando en el receptor: /usr/local/bin/cloudtrailcoll.pl -v <vipsid> Si la configuración del origen de datos es incorrecta, el recopilador de CloudTrail se bloquea. Para obtener información general sobre los orígenes de datos, consulte Orígenes de datos de receptor en la Ayuda online o la guía del producto. Visualización de la hora del evento Ahora es posible ver la hora exacta a la que se insertó un evento en la base de datos del receptor. Para obtener más información, consulte Visualización de la hora del evento en la Ayuda online o la guía del producto. Actualización automática del Árbol de sistemas El Árbol de sistemas de la consola de ESM se actualiza automáticamente cada cinco minutos. Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si existen muchos dispositivos en el árbol, la actualización puede tardar alrededor de cinco minutos o más. Esto puede interferir con el 3 acceso a la página Propiedades de los dispositivos incluidos en el árbol. Si esto ocurre, ahora es posible detener la actualización automática. Para obtener más información, consulte Detención de la actualización automática del Árbol de sistemas de ESM en la Ayuda online o la guía del producto. Detalles del trabajo Obtener eventos y flujos Ahora es posible ver más detalles sobre el estado del trabajo Obtener eventos y flujos. Véase Obtención de eventos y flujos en la Ayuda online o la guía del producto para obtener instrucciones sobre la visualización de esta información. Problemas resueltos Estos problemas se resuelven en esta versión del producto. Para obtener una lista de los problemas reparados en versiones anteriores, consulte las notas de versión de esa versión en concreto. El procesamiento de eventos del ESM se bloquea cuando la ocupación del disco supera el 90 % El ESM ahora procesa los eventos aunque la ocupación del disco supere el 90 %. Las reglas de correlación personalizadas aparecen como eventos normales en el ESM principal Los eventos generados por reglas de correlación personalizadas ahora aparecen como eventos correlacionados. No se puede activar el proxy para orígenes de activos Altiris Ahora es posible activar el proxy para los orígenes de activos Altiris. 1 Haga clic en el icono de inicio rápido del Administrador de activos y, después, en la ficha Orígenes de activos. 2 Seleccione un dispositivo y haga clic en Agregar. 3 Seleccione Altiris en el campo Tipo y, después, seleccione Activar proxy. Las variables de fecha del ELM no están definidas de forma precisa Anteriormente, existían imprecisiones en las fechas de los grupos de almacenamiento debido al tipo de datos correspondiente a las variables de fecha. Ahora se ha cambiado el tipo de datos y las constantes para las fechas de grupos de almacenamiento son ligeramente distintas. Las principales diferencias son: 4 • Los años se definen ahora según el calendario gregoriano (un año corresponde a 365,2425 días). • Las semanas se definen ahora como siete días en lugar de los días del año divididos entre 52. Esto significa que, al configurar un grupo con 52 semanas, ya no corresponde a un año. Se mostrará como 52 semanas. Lo mismo ocurre con los múltiplos de 13 semanas, que ya no coinciden con los múltiplos de un trimestre. • Si tiene grupos definidos en semanas que son múltiplos de trimestres o años, es posible que deba cambiar el tamaño del grupo para conservar el espacio de tiempo de las semanas. Por ejemplo, si tiene configurado un grupo de 52 semanas, tras la ampliación se establecerá como un año. Puede cambiar el tamaño del grupo de un año manualmente para que coincida con 52 semanas. • Cuando efectúe la ampliación, el sistema intentará cambiar automáticamente el tamaño de los grupos para que coincida con el tamaño de las nuevas constantes. El administrador de base de datos se bloquea al actualizar Java El administrador de base de datos funciona ahora correctamente con la nueva versión 1.8 de Java. La copia de seguridad incremental con una tabla de paquetes extensa tarda varios días Se ha aumentado la velocidad de las copias de seguridad de las tablas de paquetes. Por ejemplo, una copia de seguridad que antes tardaba tres horas, ahora tarda entre 15 y 20 minutos. SNMP no se ejecuta en el receptor secundario de un par de disponibilidad alta Ahora es posible editar la configuración de SNMP tanto en el dispositivo principal como en el secundario mediante la selección del botón de opción que se ha agregado a la página Configuración SNMP. Véase Configuración de las opciones de SNMP en la Ayuda online o la guía del producto. No se puede guardar el diseño de un informe personalizado Al hacer clic en Guardar en la página Diseño de informe, ahora el informe se guarda de la forma esperada. El archivado de la base de datos solo muestra las primeras 255 particiones de eventos En la página Particiones inactivas (Propiedades del sistema | Base de datos | Archivado) ahora aparecen todas las particiones. Problemas conocidos Para obtener información sobre los problemas conocidos de esta versión del producto, consulte el artículo de la base de datos de McAfee KnowledgeBase: KB83418. Instrucciones de ampliación A fin de preparar el sistema para la versión 9.5.1 del software, descargue los archivos de ampliación para los dispositivos ESM, Nitro IPS, ACE, ADM, Database Event Monitor (DEM), receptor, ELMERC, ELM y la combinación ESM/receptor. A continuación, amplíelos en el orden indicado. Para obtener información sobre cómo instalar los dispositivos, consulte la Guía de instalación de McAfee Enterprise Security Manager 9.5.1. 5 Procedimientos • Descarga de los archivos de ampliación en la página 10 Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local. • Ampliación del sistema en la página 11 Debe ampliar el ESM y sus dispositivos, siguiendo un orden concreto, en función de su modo. Tras la ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva correspondiente. • Ampliación de ESM, ESMREC o ENMELM en la página 13 Una vez que el sistema esté listo, puede ampliar su ESM, ESMREC o ENMELM a la versión 9.5.1. • Ampliación de dispositivos en la página 14 Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/ Event Receiver, ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS, amplíe los dispositivos antes de ampliar el ESM. Preparativos para la ampliación Hay varias cosas que se deben hacer antes de proceder a una ampliación. • Repase la lista de comprobación de ESM para asegurarse de que el ESM y los dispositivos se encuentren en buen estado antes de iniciar la ampliación. • Asegúrese de que la reconstrucción de la base de datos de ESM a partir de una compilación anterior (9.3.2 o posterior) haya finalizado y de que sea posible planificar el periodo de interrupción adecuado para esta ampliación. • Cree una copia de seguridad de la base de datos de ESM antes de iniciar la ampliación. • Asegúrese de que el subsistema de RAID por software se esté ejecutando con dos unidades activas. Si está utilizando ESM 4245R, 5205R, 5510R o 5750R, ESMREC 4245R, 5205R o 5510R, o bien ESMLM 4245R, 5205R o 5510R, emita el comando cat/proc/mdstat de una de estas formas: • En la consola de ESM, haga clic en Propiedades del sistema | Administración de ESM | Terminal, haga clic en Escribir y escriba el comando. • Acceda mediante SSH al ESM. • Conecte un monitor y un teclado al dispositivo. Si la salida tiene un aspecto como el del siguiente ejemplo, el RAID funciona correctamente y puede seguir con la ampliación: Personalities : [raid1] md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2][UU] Unused devices: <none> El código [UU] identifica las unidades activas. En caso de aparecer [_U] o [U_], una unidad no forma parte del RAID. Póngase en contacto con el Soporte de McAfee antes de la ampliación. 6 Tipo de información Detalles Tipos de dispositivos admitidos Los dispositivos ESM, ESM/Event Receiver (ESMREC) o ESM/Log Manager (ENMELM) solo se comunican con los modelos de dispositivos de la versión 9.5.1. A fin de comprobar el modelo de su dispositivo, emita el comando cat/proc/ cpuinfo. La salida incluye el número de CPU en la línea model name. La CPU debe ser una de las siguientes: Eliminación de dispositivos • 1275 • 5450 • 2160 • 5645 • 2670 • 6300 • 3220 • 6400 • 5405 • 7500 • 5410 • 7542 • 5440 • 9400 Antes de ampliar el ESM, ESMREC o ENMELM, es necesario eliminar todos los modelos de dispositivos especificados y las direcciones IP virtuales correspondientes a los modelos de Nitro IPS especificados. De no hacerlo, aparecerá un mensaje en la página Inicio de sesión y en el registro de mensajes que indica que se ha producido este problema y que no se podrá llevar a cabo la ampliación. El ESM tampoco se ampliará, y se incluirán las entradas correspondientes en el registro de mensajes del dispositivo. Para eliminar un IPS virtual, seleccione el dispositivo en el árbol de navegación del sistema y haga clic en el icono Propiedades. Seleccione Configuración del dispositivo | Dispositivos virtuales, seleccione los dispositivos virtuales existentes y haga clic en Quitar. Haga clic en Escribir para indicar la configuración al IPS. Es necesario desplegar la directiva del dispositivo ESM, ESMREC o ENMELM de la versión 9.5.1 en el dispositivo IPS o, de lo contrario, el IPS permanecerá en modo de omisión y no se inspeccionará el tráfico. Tiempo de reconstrucción El tiempo de reconstrucción de la tabla varía para el ESM, el ESMREC y el ENMELM. Para acelerar la ampliación de la base de datos del ESM: • Establezca una duración de extracción mayor para la recopilación de eventos, flujos y registros, lo cual aumenta el tiempo para la reconstrucción. En la consola de ESM, haga clic enPropiedades del sistema | Eventos, flujos y registros y establezca el Intervalo de comprobación automática. • Desactive la recopilación de eventos, flujos y registros hasta que finalice la reconstrucción. Este paso solo se debe realizar si el número de eventos y flujos enviados al ESM es reducido. En la consola de ESM, haga clic en Propiedades del sistema | Eventos, flujos y registros y anule la selección del Intervalo de comprobación automática. El tiempo de reconstrucción de los dispositivos es de aproximadamente 45 minutos. 7 Tipo de información Detalles Rutas de ampliación Es posible ampliar a la versión 9.5.1 directamente desde la versión 9.3.2 o posterior. Las versiones anteriores a la 9.3.2 se deben ampliar mediante la ruta siguiente: 7.x.x > 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.3.2 o posterior > 9.5.1 Ampliación de dispositivos receptores de disponibilidad alta A fin de ampliar los dispositivos receptores de disponibilidad alta, es necesario comprobar antes el estado de disponibilidad alta del receptor. Véase Comprobación del estado de receptores de disponibilidad alta en la Ayuda online de ESM. Situaciones de ampliación especiales En situaciones especiales, es necesario llevar a cabo pasos adicionales antes o después de la ampliación. Situación Acción Instalación de un nuevo modelo de McAfee ESM Si va a instalar un modelo nuevo de McAfee ESM, tiene treinta días para registrar el hardware a fin de poder recibir actualizaciones de directivas, analizadores y reglas como parte del contrato de mantenimiento. Si no se registra, no podrá recibir ampliaciones. Para obtener su nombre de usuario y contraseña permanentes, envíe un mensaje de correo electrónico a [email protected] con la información siguiente: número de concesión de McAfee, nombre de cuenta, dirección, nombre de contacto y dirección de correo electrónico de contacto. Obtención de actualizaciones de reglas sin conexión 1 Diríjase a http://www.mcafee.com/us/downloads/downloads.aspx. 2 En la esquina superior derecha, haga clic en Descargar mis productos y, después, en Ir. 3 Introduzca su número de concesión, escriba las letras que se muestran y, a continuación, haga clic en Enviar. 4 Haga clic en MFE Enterprise Security Manager y, después, en MFE Nitro Rules Downloads. 5 Lea el acuerdo de licencia y haga clic en Acepto. Se mostrarán los archivos de actualización disponibles según la versión del ESM. 6 Descargue las reglas correspondientes a su versión de ESM. Resolución de problemas de comunicación de los dispositivos Si ha ampliado un dispositivo de McAfee (distinto del ESM), podría aparecer el mensaje Es necesario ampliar el dispositivo a la versión 9.5.1 para realizar esta operación. Verifique que el ESM sea de la versión correcta. 1 En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y, después, seleccione el icono Propiedades. 2 Haga clic en Conexión y, después, en Estado. La versión se actualizará. 3 Vuelva a intentar la operación que provocó el mensaje. 8 Situación Acción Ampliación de un ESM redundante En primer lugar se debe ampliar el ESM principal y, después, se amplía el ESM redundante de acuerdo con las instrucciones proporcionadas. 1 En el ESM principal, seleccione el ESM en el árbol de navegación del sistema y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros y anule la selección de la opción Intervalo de comprobación automática. 3 Tras ampliar el ESM redundante, vuelva a activar la recopilación de eventos, flujos y registros en el ESM principal. McAfee ePO con Policy Auditor Si el dispositivo de McAfee ePO ya está en el ESM, deberá actualizarlo. 1 Si no tiene un dispositivo de tipo todo en uno, amplíe el receptor al que esté conectado el dispositivo de McAfee ePO. 2 En la consola de ESM, haga clic en Propiedades de ePO | Administración de dispositivo y, después, haga clic en Actualizar. Puede configurar la recuperación automática en la ficha Administración de dispositivo. 3 Haga clic en Propiedades de receptor y, después, haga clic en la ficha Evaluación de vulnerabilidades. 4 Haga clic en Escribir. 5 Repita el paso 2 para obtener datos de evaluación de vulnerabilidades en el ESM. Al efectuar la actualización, se registra Policy Auditor como origen de evaluación de vulnerabilidades, lo cual a su vez permite que se escriba Policy Auditor en vathirdparty.conf. 6 Cierre la sesión en la consola de ESM y vuelva a iniciarla. Ampliación de los receptores de disponibilidad alta Antes de llevar a cabo la ampliación, establezca el receptor principal preferido con el valor Sin preferencia, lo cual permite utilizar la opción de Conmutación en caso de error. El proceso de ampliación amplía ambos receptores secuencialmente, empezando por el secundario. Una vez ampliados ambos receptores, se puede volver a aplicar el receptor principal preferido. 9 Situación Acción Reconstrucción de la base de datos de administración de ELM La indización de la base de datos de administración de ELM podría requerir más tiempo, en función del modelo de ELM. Por ejemplo, el número de grupos existentes, la cantidad de datos enviados desde los dispositivos de registro y el ancho de banda de la red si se emplea el almacenamiento remoto pueden aumentar el tiempo que se tarda en completar la indización. No obstante, esta tarea en segundo plano tiene un impacto mínimo en el rendimiento y, cuando finaliza, mejora las consultas sobre datos históricos. Para comprobar el estado de la reconstrucción, acceda a Propiedades de ELM | Información de ELM. Si aparece el mensaje La base de datos se está reconstruyendo en el campo Estado Activo, NO detenga ni inicie la base de datos de ELM. El sistema indiza todos los datos nuevos del ELM en el dispositivo origen del envío antes de enviar dichos datos al ELM. Si tiene receptores que realizan el registro en el ELM y se encuentran cerca de su capacidad máxima, póngase en contacto con el servicio de Soporte. Ampliación de un ELM redundante Se debe ampliar el ELM en espera antes de hacer lo propio con el ELM activo. El proceso de ampliación suspende la redundancia de ELM. Tras ampliar ambos ELM, deberá reiniciar la redundancia de ELM. 1 Amplíe el ELM en espera. 2 A continuación, amplíe el ELM activo. 3 En el árbol de navegación del sistema, seleccione el ELM en espera y acceda a Propiedades de ELM | Redundancia de ELM. Haga clic en Volver a poner en servicio. 4 Diríjase a Propiedades de ELM | Información de ELM y haga clic en Actualizar. Tanto el ELM activo como el ELM en espera deberían tener el estado Correcto. Si el ELM en espera tiene el estado Incorrecto, haga clic en Actualizar de nuevo. Tras unos minutos, el estado del ELM en espera debería cambiar a Correcto, rsync de ELM redundante 100% finalizado. Existe la posibilidad de que tenga que hacer clic en Actualizar varias veces. Descarga de los archivos de ampliación Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local. Procedimiento 10 1 En el sitio web de McAfee de Descarga de productos, en la dirección http://www.mcafee.com/us/ downloads/downloads.aspx, escriba su número de concesión de cliente en el campo Descargar mis productos y haga clic en Ir. 2 Seleccione el dispositivo que desee ampliar. 3 Seleccione el vínculo correcto (MFE <nombre dispositivo> v9.5.1), lea el acuerdo de licencia de usuario final (EULA) de McAfee y haga clic en Acepto. 4 Descargue estos archivos en su sistema local: Tipo de dispositivo Nombre del archivo McAfee Enterprise Security Manager (ESM o ETM) ESSREC_Update_9.5.1.tgz McAfee Enterprise Security Manager y Log Manager (ENMELM ESS_Update_9.5.1.tgz o ESMREC) McAfee Nitro Intrusion Prevention System (Nitro IPS o NTP) IPS_Update_9.5.1.tgz McAfee Event Receiver (ERC o ELMERC) RECEIVER_Update_9.5.1.tgz McAfee Database Event Monitor (DEM) DBM_Update_9.5.1.tgz McAfee Advanced Correlation Engine (ACE) RECEIVER_Update_9.5.1.tgz McAfee Enterprise Log Manager (ELM) RECEIVER_Update_9.5.1.tgz McAfee Application Data Monitor (ADM) APM_Update_9.5.1.tgz Estos archivos están listos para ampliar el ESM y los dispositivos correspondientes. Ampliación del sistema Debe ampliar el ESM y sus dispositivos, siguiendo un orden concreto, en función de su modo. Tras la ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva correspondiente. Antes de empezar • Consulte Preparativos para la ampliación y Situaciones de ampliación especiales. • Asegúrese de que en el sistema se esté ejecutando la versión 9.3.2 o posterior. • Si ha ampliado recientemente a la versión 9.3.2, verifique que la reconstrucción de la base de datos haya finalizado. Procedimiento 1 Amplíe los dispositivos en este orden. Para obtener detalles sobre la ampliación del ESM y los dispositivos, consulte Ampliación de ESM, ESMREC o ENMELM y Ampliación de dispositivos. 11 Modo Orden No FIPS 1 Amplíe el ESM, ESMREC o ENMELM. 2 Espere a que se compile la base de datos. 3 Amplíe el ELM o ELMERC. 4 Amplíe Nitro IPS, Event Receiver, ACE, DEM y ADM. Si va a ampliar un ESM redundante, véase Ampliación de un ESM redundante en Situaciones de ampliación especiales. FIPS 1 Amplíe el ELM o ELMERC. 2 Amplíe los dispositivos Nitro IPS, Event Receiver, ACE, DEM y ADM. 3 Amplíe el ESM, ESMREC o ENMELM. Puede empezar cuando se inicien todas las ampliaciones de dispositivos. Si no se amplían los dispositivos antes de ampliar el ESM en el modo FIPS, esto puede afectar a la recopilación de registros de ELM. 2 Verifique que existe comunicación con los dispositivos. 3 Descargue la actualización de reglas manual al ESM (véase Obtención de actualizaciones de reglas sin conexión en la sección Situaciones de ampliación especiales de este documento). 4 Aplique las reglas actualizadas. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 5 12 b En la página Información del sistema, haga clic en Actualización de reglas y, después, en Actualización manual. c Navegue hasta el archivo de actualización, haga clic en Cargar y, después, en Aceptar. Lleve a cabo este proceso para volver a establecer la configuración de los dispositivos a fin de asegurarse de que se aplique toda la configuración de la versión 9.5.1. a En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y, después, haga clic en el icono Propiedades. b Siga estos pasos en cada dispositivo. Tipo de dispositivo Procedimiento Event Receiver o combinación ESM/ Event Receiver • Orígenes de datos: haga clic en Orígenes de datos | Escribir. ACE • Correlación de riesgos: haga clic en Administración de correlación de riesgos | Escribir. • Orígenes de evaluación de vulnerabilidades: haga clic en Evaluación de vulnerabilidades | Escribir. • Correlación histórica: haga clic en Histórica | Activar correlación histórica | Aplicar. Si esta opción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar. • Correlación de reglas: haga clic en Correlación de reglas, seleccione Activar correlación de reglas y haga clic en Aplicar. Si esta opción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar. Nitro IPS, DEM o ADM 6 • Dispositivos virtuales (IPS y ADM): Haga clic en Dispositivos virtuales | Escribir. • Servidores de base de datos: haga clic en Servidores de base de datos | Escribir. Despliegue la directiva en todos los dispositivos ampliados. Tras el despliegue de la directiva en un dispositivo Nitro IPS, asegúrese de desactivar en el dispositivo el modo de omisión mediante Configuración del dispositivo | Interfaces. 7 Si dispone de un ELM o ELMERC que recopilan registros de un dispositivo, sincronice el ELM (Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM). Ampliación de ESM, ESMREC o ENMELM Una vez que el sistema esté listo, puede ampliar su ESM, ESMREC o ENMELM a la versión 9.5.1. Antes de empezar Lea este documento en su totalidad. Verifique que todos los dispositivos conectados al ESM sean compatibles con la versión 9.5.1 (véase Tipos de dispositivos admitidos en Preparativos para la ampliación). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, seleccione el dispositivo ESM y haga clic en el icono Propiedades. 2 Seleccione Administración de ESM y haga clic en Actualizar ESM. 3 En la página Seleccionar archivo de actualización de software, desplácese hasta uno de los archivos siguientes. Tipo de dispositivo Archivo Enterprise Security Manager (ESM) autónomo ESS_Update_9.5.1.tgz Enterprise Security Manager con un receptor integrado (ESMREC) ESSREC_Update_9.5.1.tgz Enterprise Security Manager con un receptor y un Enterprise Log Manager (ENMELM) integrados, también conocido como combinación ENMELM ESSREC_Update_9.5.1.tgz 13 4 Seleccione el archivo y haga clic en Cargar. Se le informará de que el ESM se reiniciará y todos los usuarios perderán la conexión. 5 Haga clic en Sí para continuar y, cuando se le pida que cierre el navegador, haga clic en Aceptar. Se producirá la ampliación, la cual puede tardar varias horas. 6 Cuando termine la ampliación, vuelva a iniciar sesión en la consola mediante una sesión nueva del navegador. Ampliación de dispositivos Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/Event Receiver, ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS, amplíe los dispositivos antes de ampliar el ESM. Antes de empezar Lea este documento en su totalidad. Verifique que todos los dispositivos conectados al ESM sean compatibles con la versión 9.5.1 (véase Tipos de dispositivos admitidos en Preparativos para la ampliación). Procedimiento Para ver las definiciones de las opciones, haga clic en ? en la interfaz. 1 En la consola de ESM, seleccione el dispositivo que desee ampliar y, después, haga clic en el icono Propiedades. 2 Haga clic en la opción Administración del dispositivo y, después, en Actualizar dispositivo. 3 En la página Seleccionar archivo de actualización de software, desplácese hasta uno de estos archivos: Tipo de dispositivo Archivo IPS IPS_Update_9.5.1.tgz • Event Receiver Receiver_Update_9.5.1.tgz • ELM • Combinación ELM/Event Receiver • ACE DEM DBM_Update_9.5.1.tgz ADM APM_Update_9.5.1.tgz Máquina virtual ESS Ya no hay ampliaciones disponibles para este dispositivo. Póngase en contacto con el equipo de ventas de McAfee para adquirir un nuevo modelo de máquina virtual de ESM. 4 Seleccione el archivo y haga clic en Cargar. 5 En la página Actualizar software del dispositivo, haga clic en Sí para continuar. El archivo se cargará y el dispositivo se reiniciará. 6 14 Cuando se restablezca la comunicación, compruebe la versión del dispositivo. Búsqueda de documentación de productos Una vez que se lanza un producto, la información del producto se introduce en el Centro de conocimiento online de McAfee. Procedimiento 1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com. 2 En el panel KnowledgeBase, haga clic en un origen de contenido: • Documentación del producto para encontrar documentación del producto • Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase 3 Seleccione No borrar mis filtros. 4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista con documentos. Procedimientos • Uso de la Ayuda de ESM en la página 16 ¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual, donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso sobre el uso de ESM. • Preguntas más frecuentes en la página 16 A continuación se incluyen las respuestas a las preguntas más frecuentes. Búsqueda de información localizada Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee ESM localizadas (traducidas) en los idiomas siguientes: • Chino simplificado • Japonés • Chino tradicional • Coreano • Inglés • Portugués brasileño • Francés • Español • Alemán Acceso a la Ayuda online localizada Al cambiar la configuración de idioma en ESM, cambia automáticamente el idioma empleado en la Ayuda online. 1 Inicie sesión en ESM. 2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones. 3 Seleccione un idioma y haga clic en Aceptar. 4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado. Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayuda localizada se instalará mediante una actualización futura. 15 Búsqueda de documentación del producto localizada en el Centro de conocimiento 1 Visite el Centro de conocimiento. 2 Busque la documentación del producto localizada mediante los parámetros siguientes. • Término de búsqueda: guía del producto, guía de instalación o notas de la versión • Producto: SIEM Enterprise Security Manager • Versión: 9.5.0 o posterior 3 En los resultados de la búsqueda, haga clic en el título del documento relevante. 4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la parte derecha. Haga clic en el idioma relevante. 5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto. Uso de la Ayuda de ESM ¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual, donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso sobre el uso de ESM. Antes de empezar Opcional: Búsqueda de información localizada en la página 15. Procedimiento 1 2 Para abrir la Ayuda de ESM, realice una de estas acciones: • Seleccione la opción de menú Ayuda | Contenido de la Ayuda. • Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de ESM para buscar ayuda contextual específica de cada pantalla. En la ventana de la Ayuda: • Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el panel de la derecha. • Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la Ayuda. • Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente. • Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono de la impresora, situado en la parte superior derecha del tema de la Ayuda. • Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte inferior del tema de la Ayuda. Preguntas más frecuentes A continuación se incluyen las respuestas a las preguntas más frecuentes. ¿Dónde puedo encontrar información sobre ESM en otros idiomas? Se localizan las notas de la versión, la Ayuda online, la guía del producto y la guía de instalación de ESM en los idiomas siguientes: 16 • Chino simplificado y tradicional • Japonés • Inglés • Coreano • Francés • Portugués brasileño • Alemán • Español Búsqueda de información localizada en la página 15 ¿Dónde puedo obtener información sobre McAfee ESM? • Uso de la Ayuda de ESM en la página 16 • Visite el Centro de conocimiento • Visite el Centro de expertos • Vea los vídeos de McAfee ESM ¿Qué dispositivos de la solución SIEM se admiten? Visite el sitio web de McAfee ESM ¿Cómo se configuran los orígenes de datos concretos? Busque las guías de configuración de los orígenes de datos actuales en el Centro de conocimiento ¿Qué paquetes de contenido hay disponibles? Lea este artículo de la base de conocimiento en el Centro de conocimiento Copyright © 2015 McAfee, Inc. www.intelsecurity.com Intel y el logotipo de Intel son marcas comerciales o marcas comerciales registradas de Intel Corporation. McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
© Copyright 2024