Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

McAfee Enterprise Security Manager 9.6.0 Guía del producto

Anuncio 
Guía del producto
McAfee Enterprise Security Manager 9.6.0
COPYRIGHT
© 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Contenido
Prefacio
9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . .
10
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1
Introducción
13
Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . .
Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Primeros pasos
19
Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . .
Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . .
Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . .
Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . .
Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . .
Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . .
Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . .
Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . .
Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . .
Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . .
Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . .
Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . .
Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . .
Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . .
3
Configuración del ESM
19
20
21
21
22
24
27
28
29
30
31
32
32
33
34
34
35
35
36
37
38
39
40
41
Administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de información de dispositivo . . . . . . . . . . . . . . . . . . . .
Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . .
Actualización del software en un dispositivo . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.6.0
13
14
15
15
16
41
44
48
54
Guía del producto
3
Contenido
Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 55
Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 68
Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 69
Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 70
Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . .
71
Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . .
73
Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . .
76
Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . .
78
Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 151
Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 177
Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 184
Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . .
201
Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 215
Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 216
Configuración de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 224
Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 232
Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 233
Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 236
Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 236
Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 237
Detención de la actualización automática del Árbol de sistemas de ESM . . . . . . . . 238
Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . .
239
Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 241
Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 243
Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 263
Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 265
Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 279
Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 279
Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 280
Configuración de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 280
Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 281
Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 282
Administración de la configuración de índice de la base de datos . . . . . . . . . . . 283
Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 284
Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 285
Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . .
287
Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 289
Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 290
Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 299
Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 300
Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . .
300
Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 301
Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 307
Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . .
308
Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 309
Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 310
Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 311
Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 312
Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 312
ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
313
4
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Contenido
Configuración de un ESM redundante . . . . . . . . . . . . . . . . . . . . . .
Sustitución de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . .
Desactivación de las consultas compartidas . . . . . . . . . . . . . . . . . . . .
Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . .
Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . .
Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . .
Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . .
Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . .
Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . .
Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . .
Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . .
Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . .
Utilización de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . .
Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . .
Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . .
Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . .
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO . . . .
Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . .
Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . .
Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . .
™
4
Administración de Cyber Threat
341
Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . .
Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . .
Tipos de indicadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . .
Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . .
5
Uso de paquetes de contenido
Flujo de trabajo de alarmas
Uso de los eventos
345
347
Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . .
Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . .
Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . .
Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización y administración de alarmas activadas . . . . . . . . . . . . . . . .
Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . .
Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . .
Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . .
Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . .
Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . .
Creación de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . .
Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . .
Administración de orígenes de datos no sincronizados . . . . . . . . . . . . . . .
7
341
342
343
344
345
Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . .
6
313
315
316
316
319
321
323
323
324
324
325
325
326
327
328
329
329
331
332
336
336
337
338
347
347
353
353
354
354
355
359
360
362
363
364
366
375
378
378
379
380
380
383
Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
McAfee Enterprise Security Manager 9.6.0
Guía del producto
5
Contenido
Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . .
Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . .
Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . .
Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . .
Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . .
Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . .
Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . .
Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . .
Adición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . .
Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . .
Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . .
Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . .
Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . .
Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . .
Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . .
Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . .
Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Búsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . .
Visualización de los detalles de dirección IP de un evento . . . . . . . . . . . . . .
Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . .
Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalización de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . .
Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . .
Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . .
Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . .
Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . .
Búsquedas de McAfee Active Response . . . . . . . . . . . . . . . . . . . . . . . .
Ejecución de una búsqueda de Active Response . . . . . . . . . . . . . . . . . .
Administración de los resultados de las búsquedas de Active Response . . . . . . . . .
Adición de un origen de enriquecimiento de datos de Active Response . . . . . . . . .
Adición de una lista de vigilancia de Active Response . . . . . . . . . . . . . . . .
Visualización de la hora del evento . . . . . . . . . . . . . . . . . . . . . . . . . .
®
8
Administración de casos
469
Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . .
Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . .
Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . .
Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . .
Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . .
6
McAfee Enterprise Security Manager 9.6.0
384
385
386
387
388
390
391
395
404
405
405
408
411
411
413
413
417
417
418
418
419
423
423
435
441
442
443
444
444
450
456
458
460
461
461
462
462
463
463
464
466
466
467
469
470
470
472
473
475
476
476
477
Guía del producto
Contenido
9
Uso de Asset Manager
479
Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . .
Establecimiento de la administración de configuración . . . . . . . . . . . . . . . . . .
Administración de archivos de configuración recuperados . . . . . . . . . . . . . .
Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . .
Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . .
Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . .
Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . .
Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . .
Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . .
Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . .
Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . .
Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . .
Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . .
10
Administración de directivas y reglas
503
Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . .
El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . .
Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . .
Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de inspección profunda de paquetes (DPI) . . . . . . . . . . . . . . . . .
Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . .
Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición de reglas de correlación, base de datos o ADM personalizadas . . . . . . . . .
Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . .
Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . .
Visualización del estado de actualización de directivas de los dispositivos . . . . . . . .
Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de reglas para la inclusión automática en la lista negra . . . . . . . . .
Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.6.0
480
483
483
485
485
485
489
490
490
490
491
492
493
494
495
496
497
497
499
500
501
503
505
505
509
510
514
515
519
521
522
524
530
532
532
534
540
542
554
555
555
556
556
557
558
558
558
560
561
562
562
563
564
Guía del producto
7
Contenido
Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . .
Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . .
Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . .
Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . .
Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . .
Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . .
Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . .
Página Selección de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . .
565
566
566
567
568
568
569
570
Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . .
Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . .
Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
570
571
572
Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . .
Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . .
Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración del tráfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . .
573
574
575
576
Índice
8
McAfee Enterprise Security Manager 9.6.0
577
Guía del producto
Prefacio
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Acerca de esta guía
Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos
utilizados, además de cómo está organizada.
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va
destinada.
La información de esta guía está dirigida principalmente a:
•
Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
•
Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden
acceder a todas o algunas de sus funciones.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Cursiva
Título de un manual, capítulo o tema; un nuevo término; énfasis
Negrita
Texto que se enfatiza
Tipo de letra
monoespacio
Comandos y texto de otra índole que escribe el usuario; un ejemplo de
código; un mensaje que se presenta en pantalla
Tipo de letra estrecho en negrita
Palabras de la interfaz del producto, como opciones, menús, botones y
cuadros de diálogo
Azul hipertexto
Un vínculo a un tema o a un sitio web externo
Nota: Información adicional para enfatizar una cuestión, recordarle algo
al lector o proporcionar un método alternativo
Sugerencia: Información sobre prácticas recomendadas
Precaución: Consejos importantes para proteger su sistema informático,
instalación de software, red, empresa o sus datos
Advertencia: Consejos fundamentales para impedir lesiones personales
al utilizar un producto de hardware
McAfee Enterprise Security Manager 9.6.0
Guía del producto
9
Prefacio
Búsqueda de documentación de productos
Búsqueda de documentación de productos
En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo
documentación de los productos, artículos técnicos, etc.
Procedimiento
1
Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2
En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3
Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
Procedimientos
•
Búsqueda de información localizada en la página 10
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación
de McAfee ESM localizadas (traducidas) en los idiomas siguientes:
•
Preguntas más frecuentes en la página 11
A continuación se incluyen las respuestas a las preguntas más frecuentes.
Búsqueda de información localizada
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee
ESM localizadas (traducidas) en los idiomas siguientes:
•
Chino simplificado
•
Japonés
•
Chino tradicional
•
Coreano
•
Inglés
•
Portugués brasileño
•
Francés
•
Español
•
Alemán
Acceso a la Ayuda online localizada
Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la
Ayuda online.
1
Inicie sesión en ESM.
2
En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.
3
Seleccione un idioma y haga clic en Aceptar.
4
Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
10
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Prefacio
Búsqueda de documentación de productos
Búsqueda de documentación del producto localizada en el Centro de conocimiento
1
Visite el Centro de conocimiento.
2
Busque la documentación del producto localizada mediante los parámetros siguientes.
•
Término de búsqueda: guía del producto, guía de instalación o notas de la versión
•
Producto: SIEM Enterprise Security Manager
•
Versión: 9.6.0
3
En los resultados de la búsqueda, haga clic en el título del documento relevante.
4
En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5
Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
Véase también
Uso de la Ayuda de ESM en la página 15
Preguntas más frecuentes
A continuación se incluyen las respuestas a las preguntas más frecuentes.
¿Dónde puedo encontrar información sobre ESM en otros idiomas?
Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de
ESM. Búsqueda de información localizada en la página 10
¿Dónde puedo obtener más información sobre McAfee ESM?
•
Uso de la Ayuda de ESM en la página 15
•
Visite el Centro de conocimiento
•
Visite el Centro de expertos
•
Vea los vídeos de McAfee ESM
¿Qué dispositivos de la solución SIEM se admiten?
Visite el sitio web de McAfee ESM
¿Cómo se configuran los orígenes de datos concretos?
Busque las guías de configuración de los orígenes de datos actuales en el Centro de
conocimiento
¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los
orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?
•
Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá
notificaciones cuando el artículo sufra modificaciones.
•
Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
11
Prefacio
Búsqueda de documentación de productos
12
McAfee Enterprise Security Manager 9.6.0
Guía del producto
1
Introducción
®
McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la
conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos,
desde una única ubicación.
Contenido
Cómo funciona McAfee Enterprise Security Manager
Los dispositivos y sus funciones
Uso de la Ayuda de ESM
Preguntas más frecuentes
Búsqueda de información localizada
Cómo funciona McAfee Enterprise Security Manager
McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red,
sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación con
información contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona esta
información para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, es
posible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes.
ESM consta de tres capas.
•
Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conoce
como consola de ESM).
•
Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los
servicios necesarios de manipulación de datos, tales como configuración, generación de informes,
visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido
(DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones.
•
Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren
datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver
(receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas
funciones.
Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través
de canales de comunicación seguros.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
13
1
Introducción
Los dispositivos y sus funciones
Los dispositivos y sus funciones
El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de
seguridad, así como interactuar con ellos.
Véase también
Configuración de Event Receiver en la página 78
Configuración de Enterprise Log Manager (ELM) en la página 151
Configuración de Application Data Monitor (ADM) en la página 184
Configuración de Database Event Monitor (DEM) en la página 201
Configuración de Advanced Correlation Engine (ACE) en la página 177
Configuración del ESM distribuido (DESM) en la página 215
Configuración de ePolicy Orchestrator en la página 216
Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 224
14
McAfee Enterprise Security Manager 9.6.0
Guía del producto
1
Introducción
Uso de la Ayuda de ESM
Uso de la Ayuda de ESM
¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual,
donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso
sobre el uso de ESM.
Procedimiento
1
2
Para abrir la Ayuda de ESM, realice una de estas acciones:
•
Seleccione la opción de menú Ayuda | Contenido de la Ayuda.
•
Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de
ESM para buscar ayuda contextual específica de cada pantalla.
En la ventana de la Ayuda:
•
Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán
debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el
panel de la derecha.
•
Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la
Ayuda.
•
Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están
organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave
deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.
•
Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono
de la impresora, situado en la parte superior derecha del tema de la Ayuda.
•
Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte
inferior del tema de la Ayuda.
Véase también
Búsqueda de información localizada en la página 10
Preguntas más frecuentes
A continuación se incluyen las respuestas a las preguntas más frecuentes.
¿Dónde puedo encontrar información sobre ESM en otros idiomas?
Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de
ESM. Búsqueda de información localizada en la página 10
¿Dónde puedo obtener más información sobre McAfee ESM?
•
Uso de la Ayuda de ESM en la página 15
•
Visite el Centro de conocimiento
•
Visite el Centro de expertos
•
Vea los vídeos de McAfee ESM
¿Qué dispositivos de la solución SIEM se admiten?
Visite el sitio web de McAfee ESM
¿Cómo se configuran los orígenes de datos concretos?
Busque las guías de configuración de los orígenes de datos actuales en el Centro de
conocimiento
McAfee Enterprise Security Manager 9.6.0
Guía del producto
15
1
Introducción
Búsqueda de información localizada
¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los
orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?
•
Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá
notificaciones cuando el artículo sufra modificaciones.
•
Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.
Búsqueda de información localizada
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee
ESM localizadas (traducidas) en los idiomas siguientes:
•
Chino simplificado
•
Japonés
•
Chino tradicional
•
Coreano
•
Inglés
•
Portugués brasileño
•
Francés
•
Español
•
Alemán
Acceso a la Ayuda online localizada
Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la
Ayuda online.
1
Inicie sesión en ESM.
2
En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.
3
Seleccione un idioma y haga clic en Aceptar.
4
Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
Búsqueda de documentación del producto localizada en el Centro de conocimiento
16
1
Visite el Centro de conocimiento.
2
Busque la documentación del producto localizada mediante los parámetros siguientes.
•
Término de búsqueda: guía del producto, guía de instalación o notas de la versión
•
Producto: SIEM Enterprise Security Manager
•
Versión: 9.6.0
3
En los resultados de la búsqueda, haga clic en el título del documento relevante.
4
En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5
Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Introducción
Búsqueda de información localizada
1
Véase también
Uso de la Ayuda de ESM en la página 15
McAfee Enterprise Security Manager 9.6.0
Guía del producto
17
1
Introducción
Búsqueda de información localizada
18
McAfee Enterprise Security Manager 9.6.0
Guía del producto
2
Primeros pasos
Verifique que su entorno de ESM esté actualizado y listo para funcionar.
Contenido
Requisitos de hardware y software
Acerca del modo FIPS
Configuración evaluada según los Criterios comunes
Inicio y cierre de sesión
Personalización de la página de inicio de sesión
Actualización del software de ESM
Obtención y adición de credenciales de actualización de reglas
Comprobación de la existencia de actualizaciones de reglas
Cambio de idioma de los registros de eventos
Conexión de los dispositivos
Preferencias de la consola
Requisitos de hardware y software
El sistema debe satisfacer los requisitos mínimos en cuanto a hardware y software.
Requisitos del sistema
•
Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD clase
AM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8)
•
RAM: 1,5 GB
•
Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,
Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1
•
Navegador: Internet Explorer 9 o posterior, Mozilla Firefox 9 o posterior, Google Chrome 33 o
posterior
•
Flash Player: versión 11.2.x.x o posterior
Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive el
bloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.
Requisitos de la máquina virtual
•
Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/
Dual Opteron64 o superior
•
RAM: depende del modelo (4 GB o más)
McAfee Enterprise Security Manager 9.6.0
Guía del producto
19
2
Primeros pasos
Acerca del modo FIPS
•
Espacio en disco: depende del modelo (250 GB o más)
•
ESXi 5.0 o posterior
•
Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para su
servidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente con
más. Consulte las especificaciones correspondientes a su máquina virtual.
La máquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entorno
ESXi comparte los requisitos de CPU/RAM con otras máquinas virtuales, el rendimiento de la máquina
virtual ENMELM se verá afectado. Asegúrese de incluir la capacidad de CPU y RAM necesaria de
acuerdo con los requisitos.
Acerca del modo FIPS
FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento de
la información) son estándares desarrollados y anunciados públicamente por el gobierno de los
Estados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares,
deberá utilizar este sistema en el modo FIPS.
El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible
cambiarlo posteriormente.
Véase también
Información sobre el modo FIPS en la página 21
Contenido
Información sobre el modo FIPS
Selección del modo FIPS
Comprobación de integridad de FIPS
Adición de un dispositivo con clave aplicada en el modo FIPS
Solución de problemas del modo FIPS
20
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Acerca del modo FIPS
2
Información sobre el modo FIPS
Debido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones
disponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estas
funciones se indican a lo largo del presente documento y se enumeran aquí.
Estado de
función
Descripción
Funciones
eliminadas
• Receptores de disponibilidad alta.
• Terminal de interfaz gráfica de usuario.
• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.
• En la consola del dispositivo, el shell raíz se sustituye por un menú de
administración de dispositivos.
Funciones solo
disponibles en el
modo FIPS
• Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario
avanzado, Administrador de auditorías y Administrador de claves y certificados.
• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que
permite verificar si el sistema funciona correctamente en el modo FIPS.
• Si se produce un error de FIPS, se agrega un indicador de estado al árbol de
navegación del sistema para reflejar este fallo.
• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre
la página Token de identidad de FIPS. Esta página muestra un valor que se debe
comparar con el valor mostrado en las secciones del documento mencionadas para
asegurarse de que no hay riesgos en relación con FIPS.
• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye el
privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la
autorización para ejecutar pruebas automáticas de FIPS.
• Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves,
es necesario seleccionar el tipo de clave que se desea importar o exportar.
• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el
puerto 22. El puerto SSH se puede cambiar.
Véase también
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Selección del modo FIPS
La primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en el
modo FIPS o no. Una vez realizada la selección, no es posible cambiarla.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
21
2
Primeros pasos
Acerca del modo FIPS
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
La primera vez que inicie sesión en ESM:
a
En el campo Nombre de usuario, escriba NGCP.
b
En el campo Contraseña, escriba security.4u.
Se le pedirá que cambie su contraseña.
2
Introduzca y confirme la nueva contraseña.
3
En la página Activar FIPS, haga clic en Sí.
La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el
sistema funcione en el modo FIPS de forma permanente.
4
Haga clic en Sí para confirmar su selección.
Véase también
Información sobre el modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Comprobación de integridad de FIPS
Si utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del
software de forma regular. Esta comprobación se debe realizar en el sistema y en todos los
dispositivos.
22
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Acerca del modo FIPS
2
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2
Realice cualquiera de las acciones que se indican a continuación.
En este
campo...
Haga esto...
Estado de
FIPS
Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM.
Prueba o
Prueba
automática
de FIPS
Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmos
utilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de
mensajes.
Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producido
algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.
Ver o
Identidad de
FIPS
Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software.
Compare el valor siguiente con la clave pública que aparece en esta página:
Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en
contacto con el Soporte de McAfee.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
McAfee Enterprise Security Manager 9.6.0
Guía del producto
23
2
Primeros pasos
Acerca del modo FIPS
Adición de un dispositivo con clave aplicada en el modo FIPS
Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM.
Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos.
Terminología
•
Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no
se emplea con fines criptográficos.
•
Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves
autorizadas de un dispositivo.
•
Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en
un ESM a fin de establecer la conexión SSH con un dispositivo.
•
ESM principal: el ESM utilizado originalmente para registrar el dispositivo.
•
ESM secundario: un ESM adicional que se comunica con el dispositivo.
Extensiones de archivo de los distintos archivos de exportación
•
.exk: contiene la clave de dispositivo.
•
.puk: contiene la clave pública.
•
.prk: contiene la clave privada y la clave de dispositivo.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Copia de seguridad y restauración de información de un dispositivo en
modo FIPS
Este método se emplea para crear copias de seguridad de la información de comunicación de un
dispositivo y restaurarlas en el ESM.
Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si la
información de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no se
podrá restablecer. Este método exporta e importa el archivo .prk.
La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con
el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave
pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave
privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada.
24
McAfee Enterprise Security Manager 9.6.0
Guía del producto
2
Primeros pasos
Acerca del modo FIPS
Acción
Pasos
Exportar el
archivo .prk del
ESM principal
1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo
con la información de comunicación de la que desee crear una copia de seguridad
y, después, haga clic en el icono Propiedades.
2 Seleccione Administración de claves y haga clic en Exportar clave.
3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.
4 Escriba y confirme una contraseña; a continuación, establezca la fecha de
caducidad.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha
de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creado
por el ESM y cierre la sesión en el ESM principal.
Agregar un
dispositivo al
ESM secundario
e importar el
archivo .prk
1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el
nodo de nivel de sistema o grupo al que desee agregar el dispositivo.
2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.
3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.
4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en
Siguiente.
5 Introduzca la dirección IP de destino del dispositivo, indique el puerto de
comunicación FIPS y haga clic en Siguiente.
6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar.
Escriba la contraseña especificada al exportar esta clave inicialmente.
7 Cierre la sesión en el ESM secundario.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Activación de la comunicación con varios dispositivos ESM en el modo FIPS
Es posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación
e importación de archivos .puk y .exk.
En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESM
principal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clave
pública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen
con el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal y
se importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
25
2
Primeros pasos
Acerca del modo FIPS
Acción
Pasos
Exportar el
archivo .puk del
ESM secundario
1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de
ESM.
2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el
archivo .puk.
3 Haga clic en Guardar y cierre la sesión.
Importar el
archivo .puk al
ESM principal
1 En el árbol de navegación del sistema del ESM principal, seleccione el
dispositivo que desee configurar.
2 Haga clic en el icono Propiedades y seleccione Administración de claves.
3 Haga clic en Administrar claves SSH.
4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.
5 Haga clic en Aceptar y cierre la sesión en el ESM principal.
Exportar el
archivo .exk del
dispositivo del
ESM principal
1 En el árbol de navegación del sistema del ESM principal, seleccione el
dispositivo que desee configurar.
2 Haga clic en el icono Propiedades y seleccione Administración de claves.
3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia de
seguridad y haga clic en Siguiente.
4 Escriba y confirme una contraseña; a continuación, establezca la fecha de
caducidad.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una
fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar.
6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESM
principal.
Importar el
1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el
archivo .exk en el
nodo de nivel de sistema o grupo al que desee agregar el dispositivo.
ESM secundario
2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.
3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.
4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y haga
clic en Siguiente.
5 Haga clic en Importar clave y busque el archivo .exk.
6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta clave
inicialmente.
7 Cierre la sesión en el ESM secundario.
26
McAfee Enterprise Security Manager 9.6.0
Guía del producto
2
Primeros pasos
Acerca del modo FIPS
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Solución de problemas del modo FIPS en la página 27
Solución de problemas del modo FIPS
Es posible que surjan problemas al utilizar el ESM en el modo FIPS.
Problema
Descripción y solución
No hay
comunicación con
el ESM
• Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si
indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee.
• Busque una situación de error en la interfaz HTTP; para ello, acceda a la
página web Prueba automática de FIPS de ESM mediante un navegador.
- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado
una prueba automática de FIPS, reinicie el dispositivo ESM para intentar
corregir el problema. Si el fallo persiste, póngase en contacto con el servicio
de Soporte para obtener instrucciones adicionales.
- Si aparece únicamente el dígito 1, el problema de comunicación no se debe
a un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtener
instrucciones adicionales.
No hay
comunicación con
el dispositivo
• Si hay una marca de estado junto al dispositivo en el árbol de navegación del
sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto
con el Soporte de McAfee a través del portal de soporte.
• Siga la descripción correspondiente al problema No hay comunicación con el
ESM.
Error El archivo no es
válido al agregar un
dispositivo
No se puede exportar una clave de un dispositivo no FIPS e importarla a un
dispositivo que funcione en el modo FIPS. De igual forma, no se puede exportar
una clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Este
error aparece cuando se intenta cualquiera de estas dos cosas.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
McAfee Enterprise Security Manager 9.6.0
Guía del producto
27
2
Primeros pasos
Configuración evaluada según los Criterios comunes
Configuración evaluada según los Criterios comunes
El dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que exista
conformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a la
hora de configurar el sistema.
Tipo
Requisitos
Físico
El dispositivo de McAfee debe:
• Estar protegido frente a modificaciones físicas no autorizadas.
• Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no
autorizado.
Utilización El dispositivo de McAfee debe:
• Tener acceso a todo el tráfico de red para realizar sus funciones.
• Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo de
evaluación.
• Ser proporcionado con respecto al tráfico de red que supervisa.
Personal
• Deben existir una o varias personas competentes encargadas de la administración del
dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros
de McAfee proporcionan asistencia in situ para la instalación y la configuración, así
como formación sobre el funcionamiento del dispositivo en las instalaciones para todos
los clientes de McAfee.
• Los administradores autorizados no deben ser descuidados, negligentes ni de trato
difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación
correspondiente al dispositivo de McAfee.
• Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee.
• Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios
protejan todas las credenciales de acceso de forma coherente con la seguridad de TI.
Otros
• No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaría
una configuración distinta de la correspondiente a la evaluada según los Criterios
comunes. Póngase en contacto con el Soporte de McAfee para obtener actualizaciones
certificadas.
• En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzar
omisión en la página Configuración de la interfaz de red provoca una configuración distinta de la
evaluada según los Criterios comunes.
• En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta de
supresión provoca una configuración diferente de la evaluada según los Criterios
comunes.
• La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca una
comunicación segura. El entorno de TI proporciona una transmisión segura de datos
entre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUS
puede proporcionar los servicios de autenticación externa.
• El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point no
forma parte del objetivo de evaluación.
• El uso de Snort Barnyard no forma parte del objetivo de evaluación.
• El uso del cliente de MEF no forma parte del objetivo de evaluación.
• El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación.
28
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Inicio y cierre de sesión
2
Inicio y cierre de sesión
Tras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera
vez.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la
interfaz de red.
2
Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la
contraseña predeterminados.
•
Nombre de usuario predeterminado: NGCP
•
Contraseña predeterminada: security.4u
3
Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.
4
Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.
5
Indique si desea activar o no el modo FIPS.
En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie
sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se
produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo.
Para obtener más información, consulte Información sobre el modo FIPS.
6
Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para
acceder a las actualizaciones de reglas.
7
Lleve a cabo la configuración inicial de ESM:
a
Seleccione el idioma que se utilizará para los registros del sistema.
b
Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con
esta cuenta; después, haga clic en Siguiente.
c
Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono
Mostrar Ayuda
de cada página para obtener instrucciones.
8
Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a
las funciones nuevas disponibles en esta versión de ESM.
9
Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:
•
Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema,
situada en la esquina superior derecha de la consola.
•
Si hay alguna página abierta, cierre el navegador.
Véase también
Personalización de la página de inicio de sesión en la página 30
Cambio de idioma de los registros de eventos en la página 33
McAfee Enterprise Security Manager 9.6.0
Guía del producto
29
2
Primeros pasos
Personalización de la página de inicio de sesión
Personalización de la página de inicio de sesión
Es posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo las
políticas de seguridad de la empresa o su logotipo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada.
2
Realice cualquiera de las acciones siguientes:
Para...
Haga esto...
Agregar texto
personalizado
1 Haga clic en el cuadro de texto situado en la parte superior de la página.
2 Escriba el texto que desee agregar a la página Inicio de sesión.
3 Seleccione Incluir texto en pantalla de inicio de sesión.
Agregar una imagen
personalizada
1 Haga clic en Seleccionar imagen.
2 Cargue la imagen que desee utilizar.
3 Seleccione Incluir imagen en pantalla de inicio de sesión.
Si sigue apareciendo el logotipo anterior en la página Inicio de sesión tras
cargar un nuevo logotipo personalizado, borre la caché del navegador.
Eliminar una imagen
personalizada
Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado.
Véase también
Inicio y cierre de sesión en la página 29
Cambio de idioma de los registros de eventos en la página 33
Página Configuración personalizada en la página 30
Página Configuración personalizada
Permite personalizar la configuración de inicio de sesión e impresión, editar los vínculos de dispositivos
personalizados y configurar las opciones de un servidor de correo electrónico Remedy.
Tabla 2-1 Definiciones de opciones
Opción
Definición
Introduzca aquí cualquier texto Agregue texto personalizado a la página de inicio de sesión de la consola y
adicional
la pantalla LCD del dispositivo, como por ejemplo las directivas de
seguridad de la empresa.
30
Seleccione un logotipo
personalizado
Seleccione la imagen que desee que aparezca en la página de inicio de
sesión (véase Personalización de la página de inicio de sesión).
Incluir texto en pantalla de
inicio de sesión
Seleccione si desea que el texto agregado aparezca en la página de inicio
de sesión (véase Inclusión de una imagen en los PDF y los informes).
Incluir imagen en pantalla de
inicio de sesión
Seleccione esta opción si desea que la imagen seleccionada aparezca en la
página de inicio de sesión.
Incluir imagen en PDF
exportado
Seleccione esta opción si desea que la imagen seleccionada aparezca en los
PDF exportados y en los informes impresos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Actualización del software de ESM
2
Tabla 2-1 Definiciones de opciones (continuación)
Opción
Definición
Actualización automática del
Árbol de sistemas
El Árbol de sistemas se actualiza automáticamente cada cinco minutos. Si
no desea que esto ocurra, anule la selección de esta opción (véase
Detención de la actualización automática del Árbol de sistemas de ESM).
Vínculos de dispositivo
Permite realizar cambios en los vínculos de URL de cada uno de los
dispositivos del sistema (véase Administración de vínculos de URL para
todos los dispositivos).
Remedy
Establezca la configuración del Servidor de correo electrónico de Remedy para poder
enviar eventos al sistema Remedy, en caso de disponer de él. Véase
Opciones de configuración del servidor de Remedy.
Especifique qué mes
Defina el mes de inicio del primer trimestre si va a ejecutar informes
trimestrales (véase Establecimiento del mes de inicio para los informes
trimestrales).
Véase también
Personalización de la página de inicio de sesión en la página 30
Actualización del software de ESM
Es posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través de
un ingeniero de seguridad y, después, cargarlas en el ESM.
Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
En la ficha Mantenimiento, haga clic en Actualizar ESM.
3
Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.
El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la
actualización.
Véase también
Obtención y adición de credenciales de actualización de reglas en la página 32
Comprobación de la existencia de actualizaciones de reglas en la página 32
Página Seleccionar archivo de actualización de software en la página 32
McAfee Enterprise Security Manager 9.6.0
Guía del producto
31
2
Primeros pasos
Obtención y adición de credenciales de actualización de reglas
Página Seleccionar archivo de actualización de software
Permite seleccionar el archivo de actualización de software para el ESM.
Tabla 2-2 Definiciones de opciones
Opción
Definición
Tabla de actualizaciones
de software
Haga clic en el archivo y, después, en Aceptar. Se le advertirá de que esto
provoca que el ESM se reinicie y se desconecten todas las sesiones en
curso. Haga clic en Sí para continuar.
Examinar
Permite acceder a un archivo de actualización de software obtenido
mediante un ingeniero de seguridad de McAfee o el servidor de reglas y
actualizaciones de McAfee. Haga clic en Cargar y, después, en Sí en la
página de advertencia.
Véase también
Actualización del software de ESM en la página 31
Obtención y adición de credenciales de actualización de reglas
ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato de
mantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Obtenga las credenciales mediante el envío de un mensaje de correo electrónico a
[email protected] con la siguiente información:
•
Número de concesión de McAfee
•
Nombre de cuenta
•
Dirección
•
Nombre de contacto
•
Dirección de correo electrónico de contacto
2
Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Información
del sistema | Actualización de reglas en el árbol de navegación del sistema.
3
Haga clic en Credenciales y escriba el ID de cliente y la contraseña.
4
Haga clic en Validar.
Véase también
Actualización del software de ESM en la página 31
Comprobación de la existencia de actualizaciones de reglas en la página 32
Comprobación de la existencia de actualizaciones de reglas
El equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráfico
de red actualiza constantemente estas firmas, las cuales están disponibles para su descarga mediante
el servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de forma
automática o manual.
32
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Cambio de idioma de los registros de eventos
2
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la
opción Información del sistema.
2
En el campo Actualización de reglas, compruebe que la licencia no haya caducado.
Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas.
3
Si la licencia es válida, haga clic en Actualización de reglas.
4
Seleccione una de estas opciones:
5
•
Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia
de actualizaciones automáticamente con la frecuencia seleccionada.
•
Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.
•
Actualización manual, para actualizar las reglas desde un archivo local.
Haga clic en Aceptar.
Véase también
Actualización del software de ESM en la página 31
Obtención y adición de credenciales de actualización de reglas en la página 32
Cambio de idioma de los registros de eventos
Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar
eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede
modificar esta configuración de idioma.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.
2
Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en
Aceptar.
Véase también
Inicio y cierre de sesión en la página 29
Personalización de la página de inicio de sesión en la página 30
McAfee Enterprise Security Manager 9.6.0
Guía del producto
33
2
Primeros pasos
Conexión de los dispositivos
Conexión de los dispositivos
Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la
supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la
generación de informes de conformidad en tiempo real.
A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Por
ejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según su
zona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas.
Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin de
continuar con su organización.
Contenido
Adición de dispositivos a la consola de ESM
Selección de un tipo de pantalla
Administración de tipos de pantallas personalizadas
Adición de dispositivos a la consola de ESM
Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM.
Antes de empezar
Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise
Security Manager).
Procedimiento
1
2
En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.
En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo
.
3
Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.
4
En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en
Siguiente.
5
Proporcione la información solicitada.
•
Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar
sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para
la comunicación con la base de datos.
Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de
nombre de usuario y contraseña para el dispositivo.
•
6
34
Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después,
indique un número de puerto SSH de destino válido para su uso con la dirección IP.
Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y,
después, haga clic en Siguiente.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Conexión de los dispositivos
7
2
Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM
o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.
Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la
8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación,
se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la
versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM
de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo,
tales como el privilegio Configurar dispositivos virtuales.
8
Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.
El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.
Véase también
Selección de un tipo de pantalla en la página 35
Administración de tipos de pantallas personalizadas en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Selección de un tipo de pantalla
Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del
sistema.
Antes de empezar
Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase
Administración de tipos de pantallas personalizadas).
Procedimiento
1
En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de
visualización.
2
Seleccione uno de los tipos de pantalla.
La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo
seleccionado para la sesión de trabajo en curso.
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Administración de tipos de pantallas personalizadas en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Administración de tipos de pantallas personalizadas
Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del
sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.
2
Siga uno de estos procedimientos:
McAfee Enterprise Security Manager 9.6.0
Guía del producto
35
2
Primeros pasos
Preferencias de la consola
Para...
Haga esto...
Agregar un tipo de pantalla
personalizada
1 Haga clic en Agregar pantalla.
Editar un tipo de pantalla
personalizada
1
2 Rellene los campos y haga clic en Aceptar.
Haga clic en el icono Editar
que desee editar.
situado junto al tipo de pantalla
2 Realice cambios en la configuración y después haga clic en
Aceptar.
Eliminar un tipo de pantalla
personalizada
Haga clic en el icono Eliminar
desee eliminar.
situado junto al tipo de pantalla que
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Preferencias de la consola
Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color
del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración
predeterminadas. Las credenciales de McAfee ePolicy Orchestrator (McAfee ePO ) se pueden
configurar también.
®
®
™
Véase también
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
36
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Primeros pasos
Preferencias de la consola
2
La consola de ESM
La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así
como acceso rápido a notificaciones de alarmas y casos asignados.
1
Barra de navegación del sistema para las funciones de configuración generales.
2
Iconos para acceder a páginas de uso frecuente.
3
Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar
cada dispositivo.
4
Panel de navegación del sistema para ver los dispositivos del sistema.
5
Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.
6
Panel de vistas para los datos de eventos, flujos y registro.
7
Barra de herramientas de vistas para crear, editar y administrar las vistas.
8
Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.
Véase también
Preferencias de la consola en la página 36
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
McAfee Enterprise Security Manager 9.6.0
Guía del producto
37
2
Primeros pasos
Preferencias de la consola
Uso del tema de color de la consola
Es posible personalizar la consola de ESM mediante la selección de un tema de color existente o el
diseño de uno propio. También es posible editar o eliminar temas de color personalizados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.
2
Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado.
3
Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en
Aceptar.
Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un
tema.
4
Haga clic en Aceptar para guardar la configuración.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
Página Colores en la página 38
Página Seleccionar colores para tema en la página 38
Página Colores
Aquí podrá seleccionar un tema de color existente, diseñar uno propio o bien editar o eliminar un tema
personalizado.
Tabla 2-3 Definiciones de opciones
Opción
Definición
Seleccione un tema Haga clic en la miniatura del tema para seleccionarlo. La consola reflejará la
selección.
Agregar
Permite crear un tema nuevo. Al hacer clic en esta opción, aparece la página
Seleccionar colores para tema.
Editar
Realizar cambios en un tema de color personalizado.
Quitar
Eliminar un tema de color personalizado.
Véase también
Uso del tema de color de la consola en la página 38
Página Seleccionar colores para tema
Permite agregar o editar un tema de color personalizado para la consola de ESM. La consola reflejará
los cambios a medida que los establezca.
Tabla 2-4 Definiciones de opciones
38
Opción
Definición
Nombre del tema
Introduzca un nombre para el tema.
Aplicación
Seleccione el color del fondo y del texto para las partes superior e inferior del
fondo de la consola. La parte superior se fusiona con la inferior.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
2
Primeros pasos
Preferencias de la consola
Tabla 2-4 Definiciones de opciones (continuación)
Opción
Definición
Espacio de trabajo
Seleccione el color del fondo y del texto para el espacio de trabajo de la consola,
así como la transparencia del fondo.
Componentes de vista Seleccione el color del fondo y del texto para los componentes de vista, y
establezca la transparencia del fondo de los componentes.
Cuadros de diálogo
Seleccione el color del fondo y del texto para los cuadros de diálogo, y establezca
la transparencia del fondo de los cuadros.
Restablecer
Permite restaurar los colores predeterminados.
Véase también
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola
Establezca la configuración predeterminada para las vistas de la consola de ESM.
En esta página, puede establecer el sistema para que haga lo siguiente:
•
actualizar los datos automáticamente en una vista abierta;
•
cambiar las vistas que se abren de forma predeterminada al iniciar el sistema;
•
cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.
2
En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Establecimiento del valor de tiempo de espera de la consola en la página 40
Página Vistas en la página 39
Página Vistas
Permite establecer las preferencias para las vistas predeterminadas y actualizar automáticamente los
datos de las vistas abiertas.
Tabla 2-5 Definiciones de opciones
Opción
Definición
Actualizar vistas automáticamente
cada
Seleccione esta opción si desea que los datos de una vista abierta se
actualicen automáticamente y defina la frecuencia.
Vista predeterminada del sistema
La vista que aparece en el panel Vistas de forma predeterminada es
Resumen predeterminado. Para cambiarla, seleccione una vista en la lista
desplegable.
Vista de resumen de eventos o Vista
de resumen de flujos
Si selecciona las opciones Resumir o Resumir según al acceder a
información de detalle sobre una vista (véase Opciones de menú de
componentes), las vistas que seleccione en cada uno de estos
campos serán las predeterminadas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
39
2
Primeros pasos
Preferencias de la consola
Véase también
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola
La sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definir
la cantidad de tiempo de inactividad necesaria para que se cierre la sesión.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión.
2
En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir
de inactividad y, después, haga clic en Aceptar.
Si selecciona cero (0), la consola permanecerá abierta indefinidamente.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
40
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con
varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta
detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el
ciclo de vida de administración de la seguridad de la organización.
Contenido
Administración de dispositivos
Configuración de dispositivos
Configuración de los servicios auxiliares
Administración de la base de datos
Uso de usuarios y grupos
Copia de seguridad y restauración de la configuración del sistema
ESM redundante
Administración de ESM
Uso de una lista negra global
Enriquecimiento de datos
Administración de dispositivos
El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible
llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se
McAfee Enterprise Security Manager 9.6.0
Guía del producto
41
3
Configuración del ESM
Administración de dispositivos
pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas
existentes.
Tabla 3-1 Definiciones de las funciones
Esta función...
Permite...
1 Barra de herramientas de
acciones
Seleccionar una acción para realizarla en los dispositivos del árbol de
navegación del sistema.
Icono de propiedades
Configurar las opciones del sistema o el dispositivo seleccionados en el
árbol de navegación del sistema.
Icono de adición de
Agregar dispositivos al árbol de navegación del sistema.
dispositivos
Marcas de estado
Administración de varios
dispositivos
Iniciar, detener, reiniciar y actualizar varios dispositivos de forma
individual.
Obtener eventos y flujos
Recuperar eventos y flujos de los dispositivos seleccionados.
Eliminar un dispositivo
Eliminar el dispositivo seleccionado.
Actualizar
42
Ver alertas de estado de dispositivo.
Actualizar los datos de todos los dispositivos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Tabla 3-1 Definiciones de las funciones (continuación)
Esta función...
Permite...
2 Tipo de pantalla
Seleccionar la forma en que se desea organizar los dispositivos del
árbol. El ESM incluye tres tipos predefinidos.
• Pantalla física: se muestran los dispositivos de forma jerárquica. El
primer nivel corresponde a nodos del sistema (pantalla física, ESM
local y dispositivo de base del ESM local). El segundo nivel
corresponde a los dispositivos individuales, mientras que el resto de
niveles son los orígenes que se agregan a los dispositivos (origen de
datos, dispositivo virtual, etc.). Los dispositivos de base se agregan
automáticamente bajo los nodos de ESM local, origen de datos,
dispositivo virtual y servidor de base de datos. Cuentan con un icono
atenuado y se muestran entre paréntesis.
• Pantalla de tipos de dispositivo: los dispositivos se agrupan por
tipo de dispositivo (Nitro IPS, ADM, DEM, etc.).
• Pantalla de zonas: los dispositivos se organizan según la zona, la
cual se define mediante la función Administración de zonas.
También es posible agregar tipos de pantallas personalizados (véase
Organización de los dispositivos).
3 Búsqueda rápida
Llevar a cabo una búsqueda rápida de un dispositivo en el árbol de
navegación del sistema.
4 Árbol de navegación del
sistema
Ver los dispositivos del sistema.
Véase también
Página Administración de cada dispositivo en la página 43
Página Administración de cada dispositivo
La página Administración de cada dispositivo permite acceder a varias opciones de administración
avanzadas. Las opciones disponibles se basan en el dispositivo seleccionado.
Tabla 3-2 Definiciones de opciones
Opción
Definición
Conectar
Permitir acceso al sistema.
Conexiones
Permite ver las conexiones activas con el DEM.
Datos de dispositivo
Descargar un archivo .tgz con información sobre el estado del dispositivo.
Este archivo puede incluir la contraseña cifrada y otros detalles de configuración del
origen de datos de carácter confidencial.
Consultar agentes
Descargar la información de estado del DEM y el agente.
Transmisión
Ver una transmisión de los eventos generados por el dispositivo seleccionado.
Volcado de TCP
Supervisar el tráfico que fluye por el dispositivo.
Terminal
Introducir comandos Linux en el dispositivo.
Diferencia de tiempo
Ver, editar o exportar una lista de los orígenes de datos que tienen un desfase de
sincronización con el ESM superior al intervalo de tiempo establecido.
Transporte
Permite crear un archivo para importar en un receptor que incluye los orígenes de
datos con la opción Exportar a formato de NitroFile.
Actualizar dispositivo Cargar una nueva versión del software.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
43
3
Configuración del ESM
Administración de dispositivos
Tabla 3-2 Definiciones de opciones (continuación)
Opción
Definición
Ver manager.log
Ver la información del archivo de registro del servicio de supervisión de base de
datos para revisar los eventos de comunicación entre el DEM y el agente.
Ver estadísticas
Ver las estadísticas sobre el rendimiento del dispositivo.
Véase también
Administración de dispositivos en la página 41
Visualización de información de dispositivo
Es posible ver información general sobre un dispositivo. Abra la página Información del dispositivo para
ver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Vea la información disponible y, a continuación, haga clic en Aceptar.
Procedimientos
•
Adición de vínculos de URL en la página 46
Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar
el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez
agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos
de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo
parte inferior de los componentes de la vista.
, situado en la
•
Visualización de estadísticas de dispositivo en la página 46
Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.
•
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento
del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.
•
Cambio del nombre del dispositivo en la página 48
Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece
en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden
cambiar.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Página Información del dispositivo en la página 45
Página Nombre y descripción en la página 45
44
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Página Información del dispositivo
Permite ver información general sobre un dispositivo. Las opciones disponibles varían en función del
dispositivo seleccionado.
Tabla 3-3 Definiciones de opciones
Opción
Definición
ID de equipo
Número de identificación del dispositivo. Si es necesario reactivar su equipo, el
Soporte de McAfee le pedirá este número para enviarle el archivo correcto.
Número de serie
Número de serie del dispositivo.
Modelo
Número de modelo del dispositivo.
Versión
Versión de software que se ejecuta en el dispositivo.
Compilación
Número de compilación de la versión del software.
Reloj (GMT)
Fecha y hora en que se abrió o actualizó el dispositivo por última vez.
Sincronizar reloj del
dispositivo
Sincronizar el reloj de este dispositivo con el reloj de ESM.
Asistente de detección
de anomalías
En un IPS o dispositivo virtual, indica todas las variables disponibles en el
dispositivo seleccionado. Lleva a cabo muchos cálculos complicados a fin de
ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa,
así como para presentar un análisis visual de los patrones del tráfico de la red.
Zona
Zona a la que se ha asignado el dispositivo, en caso de haberlo hecho. Si hace
clic en Zona, se abre el Administrador de directivas de zona (véase Adición de zonas).
Directiva
Estado actual de la directiva en el dispositivo. Si hace clic en Directiva, se abre el
Editor de directivas (véase Editor de directivas).
Estado
El estado de los procesos del dispositivo, así como el estado de FIPS tras la
ejecución de una prueba automática de FIPS (si el dispositivo se ejecuta en el
modo FIPS).
Modo
En un IPS, indica si el dispositivo está en modo IPS o IDS. El modo IPS puede
eliminar de forma activa el tráfico malicioso entrante o saliente. El modo IDS solo
alerta sobre el tráfico malicioso, pero no realiza ninguna acción.
Omisión
En un IPS, indica si el dispositivo está en modo de omisión o no. En el modo de
omisión, se permite que pase todo el tráfico, incluido el malicioso.
Iniciar
Inicia el dispositivo. Si el dispositivo ya está activo, no ocurre nada.
Detener
Detiene el dispositivo. Se le advertirá que se detendrá la recopilación de todos
los datos.
Reiniciar
Reinicia el dispositivo. Se le advertirá que se detendrá la recopilación de datos
durante el periodo de tiempo que tarde el sistema en reiniciarse.
Actualizar
Actualiza la información de la página.
Véase también
Visualización de información de dispositivo en la página 44
Página Nombre y descripción
Permite ver y realizar cambios en el ID de dispositivo, el nombre del sistema y el dispositivo, la
dirección URL y la descripción.
Tabla 3-4 Definiciones de opciones
Opción
Definición
ID de dispositivo
Número de identificación asignado al dispositivo. Este número no se puede cambiar.
Nombre
Nombre asignado al dispositivo al agregarlo al sistema.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
45
3
Configuración del ESM
Administración de dispositivos
Tabla 3-4 Definiciones de opciones (continuación)
Opción
Definición
Nombre del sistema Nombre que aparece en la pantalla LCD o SSH. Debe comenzar por un carácter
alfabético y solo puede incluir caracteres alfanuméricos y guiones.
URL
Dirección donde se pueden ver detalles sobre eventos o flujos. Permite un máximo
de 512 caracteres. Si la dirección URL incluye la dirección de una aplicación de
terceros y es necesario adjuntar variables para representar los datos presentes en
los eventos o flujos, haga clic en el icono de variables y selecciónelas.
Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior
de un componente de tabla para una vista de eventos o flujos. Esto le llevará a la
aplicación de terceros y los datos de eventos o flujos asociados se pasarán a través
de la URL.
Descripción
Descripción del dispositivo.
Véase también
Visualización de información de dispositivo en la página 44
Adición de vínculos de URL
Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo
correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible
acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello,
haga clic en el icono Ejecutar URL de dispositivo
vista.
, situado en la parte inferior de los componentes de la
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Nombre y descripción y escriba la URL.
3
Haga clic en Aceptar para guardar los cambios.
Véase también
Visualización de información de dispositivo en la página 44
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Visualización de estadísticas de dispositivo
Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.
Antes de empezar
Verifique que dispone del permiso Administración de dispositivo.
46
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono
Propiedades
2
.
Haga clic en la opción Administración del dispositivo y, después, en Ver estadísticas.
Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez
minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de
métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada.
Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica
correspondiente.
Véase también
Adición de vínculos de URL en la página 46
Visualización de información de dispositivo en la página 44
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Ficha Monitor de rendimiento para las estadísticas de dispositivo en la página 47
Ficha Monitor de rendimiento para las estadísticas de dispositivo
Permite ver diversas estadísticas sobre el ESM o el dispositivo seleccionados.
Tabla 3-5 Definiciones de opciones
Opción
Definición
Intervalo de fechas
Seleccione el momento sobre el que desee ver las estadísticas.
Métricas
Seleccione los tipos de métricas que desee ver.
Actualizar
Haga clic en esta opción para rellenar el gráfico y la tabla con las
estadísticas correspondientes a las métricas seleccionadas.
Gráfico
Permite ver las estadísticas seleccionadas en forma de gráfico.
Tabla
Permite ver las estadísticas seleccionadas en forma de tabla.
Columna Grupo
Indica el tipo del grupo de métricas.
Columna Métrica
Indica las métricas, que son subcategorías del grupo de métricas.
Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puede
seleccionar las métricas o anular su selección para que los cambios se
reflejen en el gráfico.
Columna Escala
Indica la escala de la métrica correspondiente.
Columna Color
Indica el color de la línea del gráfico que representa cada métrica.
Véase también
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo
Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del
dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
47
3
Configuración del ESM
Administración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones:
Opción
Descripción
Ver registro
Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el
archivo para descargar los datos a un archivo.
Ver estadísticas
Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz
Ethernet, ifconfig y el filtro iptables.
Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Le
resultará útil si colabora con el Soporte de McAfee para solucionar un problema
del sistema.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de información de dispositivo en la página 44
Cambio del nombre del dispositivo en la página 48
Cambio del nombre del dispositivo
Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho
árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la
descripción, o bien visualice el número de ID de dispositivo.
3
Haga clic en Aceptar.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Visualización de información de dispositivo en la página 44
Acerca de las claves de dispositivo
Para que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clave
de comunicación creada al aplicar la clave a dicho dispositivo.
Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña.
Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso de
que se produzca una emergencia, o bien para exportar una clave a otro dispositivo.
48
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves
que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está
comunicando correctamente con ese dispositivo.
Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de
dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se
da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el
martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del
dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico
codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la
comunicación con el dispositivo.
Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa
para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de
disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un
segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la
administración de directivas, el registro y la administración de ELM, y la configuración de origen de
datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del
dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos
conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro
ESM.
Aplicación de la clave a un dispositivo
Tras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación.
La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentes
externas de comunicación.
Los caracteres siguientes no se pueden usar en el nombre de un dispositivo: ! @ # $ % ^ & * ) ( ] [ }
{:;"'><>,/?`~+=\|
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Administración de claves | Aplicar clave a dispositivo.
Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el
Asistente para aplicar clave a dispositivo.
3
Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.
4
Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si desea realizar la
exportación posteriormente.
Véase también
Exportación de una clave en la página 50
Importación de una clave en la página 52
Administración de claves SSH en la página 53
Asistente para aplicar clave a dispositivo en la página 50
Página Administración de claves en la página 50
McAfee Enterprise Security Manager 9.6.0
Guía del producto
49
3
Configuración del ESM
Administración de dispositivos
Asistente para aplicar clave a dispositivo
Permite aplicar una clave al dispositivo para que se pueda comunicar.
Tabla 3-6 Definiciones de opciones
Opción
Definición
Introduzca la nueva
contraseña
Escriba y confirme una contraseña nueva para el dispositivo.
Siguiente
Haga clic aquí tras escribir y confirmar la contraseña. Se le notificará
cuando se haya aplicado la clave al dispositivo correctamente.
Exportar clave
Permite exportar una copia de la clave. Esto es muy recomendable, ya que
la necesitará en caso de tener que volver a agregar el dispositivo.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Página Administración de claves
La página Administración de claves permite aplicar una clave a un dispositivo, importar una clave, exportar
una clave y administrar las claves SSH.
Tabla 3-7 Definiciones de opciones
Opción
Definición
Aplicar clave a dispositivo Aplicar la clave al dispositivo para que el ESM se pueda comunicar con él y
resulte más seguro.
Importar clave
Importar una clave a fin de restaurar una configuración anterior del ESM, o
bien para utilizarla en otro ESM o consola heredada.
Exportar clave
Exportar la clave y guardarla en un archivo distinto para poder utilizarla en el
futuro.
Administrar claves SSH
Ver o eliminar las claves de comunicación SSH en este dispositivo.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Exportación de una clave
Tras aplicar la clave a un dispositivo, expórtela a un archivo.
Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con
clave aplicada en el modo FIPS para conocer el proceso correcto.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
50
Haga clic en Administración de claves | Exportar clave.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
3
Defina la configuración en la página Exportar clave y haga clic en Aceptar.
El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla.
4
Haga clic en Sí y seleccione dónde quiere guardar el archivo.
Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada
como No caduca nunca que incluya todos los privilegios.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Importación de una clave en la página 52
Administración de claves SSH en la página 53
Página Exportar clave en la página 51
Página Exportar clave
Permite exportar la clave de un dispositivo para que esté disponible en caso de tener que volver a
agregar el dispositivo.
Tabla 3-8 Definiciones de opciones para secciones
Opción
Definición
Contraseña de exportación Escriba y confirme una contraseña. La necesitará cuando desee importar la
de archivo
clave en el futuro.
Configuración de fecha de
caducidad
Establezca la fecha de caducidad, que es la cantidad de tiempo que se puede
usar la clave si se ha importado a otro ESM o consola heredada. Seleccione No
caduca nunca si no desea fijar una fecha.
Se recomienda exportar una copia de seguridad personal de la clave del
dispositivo configurada como No caduca nunca que incluya todos los privilegios.
Restricciones de clave
Seleccione Activar clave de dispositivo solo en ESM especificado si desea que solo se
active la clave en un ESM específico; después, introduzca el ID del sistema.
Esto aporta seguridad adicional a la clave.
Configuración de
privilegios
Seleccione los privilegios que desee asignar a la clave. Los privilegios
disponibles son distintos para cada tipo de dispositivo. Todos ellos se
describen más abajo.
Si la clave se va a importar a otro ESM, seleccione estos privilegios con
cautela. Asegúrese de que los privilegios otorgados al otro ESM no le permitan
realizar funciones no deseadas.
Tabla 3-9 Definiciones de opciones para privilegios
Opción
Definición
Aplicar reglas
Aplicar nuevas reglas de directiva al dispositivo.
Configurar archivado de datos
Cambiar la configuración de archivado de datos en el receptor.
Configurar orígenes de datos
Cambiar la configuración de origen de datos en el receptor.
Configurar servidores de base de datos Cambiar la configuración del servidor de base de datos en los
dispositivos DEM.
Configurar administradores
Cambiar la configuración correspondiente a los administradores de
correlación de riesgos.
Configurar interfaces de red
Cambiar la configuración de interfaz de red en el dispositivo.
Configurar SNMP
Cambiar la configuración de SNMP en el dispositivo.
Configurar dispositivos virtuales
Cambiar la configuración de dispositivo virtual en el dispositivo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
51
3
Configuración del ESM
Administración de dispositivos
Tabla 3-9 Definiciones de opciones para privilegios (continuación)
Opción
Definición
Administración de DEM
Llevar a cabo funciones necesarias para administrar los dispositivos
DEM.
Administración de archivado de ELM
Administrar los archivos de registros de ELM.
Exportar
Volver a exportar la clave.
Reiniciar dispositivo
Apagar el dispositivo y volver a encenderlo.
Volver a aplicar clave
Cambiar el token de McAfee.
Establecer agregación
Establecer y cambiar la configuración de agregación para eventos y
flujos.
Iniciar dispositivo
Iniciar la supervisión del tráfico.
Detener dispositivo
Detener la supervisión del tráfico.
Sincronizar reloj
Sincronizar la configuración del reloj en el dispositivo.
Terminal
Acceder a la funcionalidad de terminal.
Actualizar software
Actualizar la versión de software del dispositivo.
Escribir reglas estándar
Agregar las reglas estándar a la directiva.
Escribir en firewall
Agregar las reglas de firewall a la directiva.
Véase también
Exportación de una clave en la página 50
Importación de una clave
Es posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarla
en otro ESM o consola heredada.
Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la
versión 8.5 o posterior.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Administración de claves | Importar clave.
3
Ubique y seleccione el archivo de clave guardado.
4
Haga clic en Cargar y escriba la contraseña establecida al exportar la clave.
Una vez que la clave se importa correctamente, aparece una página con el estado.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Exportación de una clave en la página 50
Administración de claves SSH en la página 53
Opción Importar clave en la página 53
52
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Opción Importar clave
Importe una clave para restaurar la configuración anterior del ESM.
Tabla 3-10 Definiciones de opciones
Opción
Definición
Carga de archivo Localice el archivo de clave de dispositivo que desee cargar en el ESM.
Haga clic en esta opción para cargar el archivo en el ESM y, después, escriba la
contraseña establecida durante la exportación de la clave.
Cargar
Véase también
Importación de una clave en la página 52
Administración de claves SSH
Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que
necesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se
elimina la clave.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Administración de claves y, después, en Administrar claves SSH.
La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el
dispositivo.
3
Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los
sistemas de la lista.
4
Confirme la eliminación y haga clic en Aceptar.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Exportación de una clave en la página 50
Importación de una clave en la página 52
Página Administrar claves SSH en la página 53
Página Administrar claves SSH
Permite ver o eliminar las claves de comunicación SSH con las que se puede comunicar este
dispositivo.
Tabla 3-11 Definiciones de opciones
Opción
Definición
Tabla Claves
autorizadas
Permite ver los equipos para los cuales tiene claves de comunicación SSH este
dispositivo. Si está activado SSH, los equipos de la lista se podrán comunicar.
Hosts conocidos
En el caso de los dispositivos, permite administrar las claves de cualquier
dispositivo compatible con SSH con el que se haya comunicado el dispositivo en
cuestión (por ejemplo, el receptor de un origen de datos SCP). En el caso del
ESM, permite ver las claves de todos los dispositivos del árbol de sistemas con
el que se comunica el ESM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
53
3
Configuración del ESM
Administración de dispositivos
Tabla 3-11 Definiciones de opciones (continuación)
Opción
Definición
Tabla Hosts conocidos
Permite ver la dirección IP, el nombre de dispositivo y la huella digital ya
introducidos de acuerdo con los datos del host disponibles en el archivo de
hosts conocidos (root/.ssh/known_hosts).
Huella digital del
dispositivo
Permite ver la huella digital de este dispositivo, que se genera a partir de la
clave SSH pública del dispositivo.
Eliminar
Eliminar el elemento seleccionado en el ESM.
Ver clave
Ver la clave del elemento seleccionado.
Véase también
Administración de claves SSH en la página 53
Actualización del software en un dispositivo
Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un
archivo en el ESM o su equipo local.
Antes de empezar
Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales
permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de
credenciales de actualización de reglas).
Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM
de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una
actualización certificada.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
En el dispositivo, haga clic en Administración | Actualizar dispositivo.
3
Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local.
El dispositivo se reiniciará con la versión de software actualizada.
Véase también
Página Seleccionar archivo de actualización de software en la página 55
54
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Página Seleccionar archivo de actualización de software
Permite seleccionar el archivo para actualizar el software en uno o varios dispositivos.
Tabla 3-12 Definiciones de opciones
Opción
Definición
Nombre de archivo Seleccione una de las actualizaciones disponibles.
Examinar
Permite acceder a un archivo obtenido mediante un ingeniero de seguridad de
McAfee o el servidor de reglas y actualizaciones de McAfee.
Aceptar
Si actualiza un dispositivo mediante la opción de administración Actualizar dispositivo, se
iniciará el proceso de actualización. Si actualiza varios dispositivos mediante la
opción Administración de varios dispositivos, volverá a aparecer la página Administración de
varios dispositivos.
Véase también
Actualización del software en un dispositivo en la página 54
Organización de los dispositivos
El árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puede
seleccionar la forma de visualizarlos mediante la función de tipo de pantalla.
A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera
lógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en varias
ubicaciones, podría ser mejor mostrar los dispositivos según su zona.
Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de
cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la
organización de los dispositivos.
Configuración del control de tráfico de la red en un dispositivo
Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS,
ADM y DEM.
Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la
cantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb),
megabits (Mb) y gigabits (Gb) por segundo.
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el
icono Propiedades
2
.
Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último,
haga clic en la ficha Tráfico.
La tabla presenta una lista de los controles existentes.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
55
3
Configuración del ESM
Administración de dispositivos
3
A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
4
Haga clic en Aplicar.
Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.
Tabla 3-13 Definiciones de las opciones
Opción
Definición
Columna Red
Permite ver las direcciones de las redes en las que el sistema controla el
tráfico saliente en función de lo que se haya definido.
Columna Máscara
(Opcional) Ver las máscaras para las direcciones de red.
Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red.
Agregar, Editar, Eliminar
Administrar las direcciones de red que se desea controlar.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Página Agregar tasa de rendimiento
Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de
envío de tráfico saliente.
Tabla 3-14 Definiciones de las opciones
Opción Definición
Red
Escriba la dirección de la red en la que desee controlar el tráfico saliente.
Máscara
(Opcional) Seleccione una máscara para la dirección de red.
Tasa
Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por
segundo para el envío de tráfico.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Configuración de notificaciones SNMP
Para configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturas
se deben enviar, así como sus destinos.
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesario
establecer uno para la dirección IP compartida.
56
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | SNMP.
3
Defina la configuración y haga clic en Aceptar.
Sincronización del dispositivo con ESM
Si tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar la
configuración. Si no dispone de una copia de seguridad de la base de datos actualizada, también
deberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base de
datos con ESM para que puedan reanudar la extracción de eventos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | Sincronizar dispositivo.
3
Una vez completada la sincronización, haga clic en Aceptar.
Configuración de la comunicación con ELM
Si pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y Sincronizar
ELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizar
el ELM con el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en la opción Configuración y realice una de las acciones siguientes:
Haga clic en... Para...
IP de ELM
Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberá
hacer esto si cambia la dirección IP del ELM o la interfaz de administración de
ELM a través de la cual este dispositivo se comunica con el ELM.
Sincronizar ELM
Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar
esta función, la comunicación SSH entre ambos dispositivos se restablece por
medio de la clave del nuevo dispositivo y la configuración anterior.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
57
3
Configuración del ESM
Administración de dispositivos
Establecimiento del grupo de registro predeterminado
Si tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos de
eventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registro
predeterminado.
El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | Registro.
3
Realice las selecciones adecuadas en las páginas que se abrirán.
Se le informará cuando se active el registro de datos de este dispositivo en el ELM.
Véase también
Orígenes de datos de receptor en la página 93
Página Registro en la página 58
Página Registro
Permite configurar el grupo de registro predeterminado para que los eventos generados por este
dispositivo se puedan enviar a un dispositivo ELM. Se abrirán páginas distintas en función de la
configuración actual de registro del sistema.
Tabla 3-15 Definiciones de opciones
Opción
Definición
Página Configuración de registro
Seleccione Registro para activarlo.
Vínculo Registro
Haga clic para acceder a la página Opciones de registro de ELM.
Página Opciones de registro de ELM
Seleccione el grupo de almacenamiento donde se registrarán los
datos en el ELM.
Página Asociación dispositivo - ELM
Si no ha seleccionado el ELM donde desea registrar los datos,
confirme que desea hacerlo. Una vez realizada la asociación, no es
posible cambiarla.
Página Seleccionar ELM para registro Si dispone de más de un ELM en el sistema, seleccione el que desee
que registre los datos.
Página Seleccionar dirección IP de
ELM
Seleccione la dirección IP que desee usar para la comunicación del
dispositivo con el ELM.
Página No hay grupos de ELM
Si no tiene grupos de almacenamiento en el ELM, acceda aPropiedades
de ELM | Grupos de almacenamiento para agregarlos.
Véase también
Establecimiento del grupo de registro predeterminado en la página 58
58
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Introducción de comandos Linux en un dispositivo
Utilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función está
destinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte de
McAfee en caso de emergencia.
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
En el dispositivo, haga clic en Administración | Terminal.
3
Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.
4
Introduzca los comandos Linux, exporte el archivo o transfiera archivos.
5
Haga clic en Cerrar.
Otorgar acceso al sistema
Cuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero
de soporte técnico para que vea su sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
En el dispositivo, haga clic en Administración | Conectar.
El botón cambiará a Desconectar y se le proporcionará la dirección IP.
3
Informe de la dirección IP al ingeniero de soporte técnico.
Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña.
4
Haga clic en Desconectar para finalizar la conexión.
Supervisión del tráfico
Si necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado de
TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
59
3
Configuración del ESM
Administración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
En el dispositivo, haga clic en Administración.
3
En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la
instancia.
Véase también
Sección Volcado de TCP en la página 60
Sección Volcado de TCP
Utilice Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo.
Tabla 3-16 Definiciones de opciones
Opción
Definición
Argumentos de línea de
comandos
Escriba los argumentos que se pasarán al comando de volcado de TCP.
Por ejemplo, para ver todo el tráfico de la primera interfaz de red del
dispositivo, podría escribir -nni eth0
Iniciar
Permite iniciar el volcado en el dispositivo.
Detener
Haga clic aquí cuando el tráfico deseado haya pasado por el dispositivo.
Exportar
Permite exportar los resultados a un archivo.
Véase también
Supervisión del tráfico en la página 59
Inicio, detención, reinicio o actualización de un dispositivo
Es posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después,
haga clic en Iniciar, Detener, Reiniciar o Actualizar.
Cambio de la conexión con el ESM
Cuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe la
posibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar el
estado de la conexión.
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
ESM se comunica con el dispositivo.
60
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Conexión y realice los cambios.
3
Haga clic en Aplicar.
Véase también
Cambio de la conexión con el ESM en la página 60
Página Conexión de McAfee ePO en la página 61
Cambio de la conexión con el ESM en la página 60
Página Conexión
Permite configurar la conexión entre el dispositivo y ESM.
Tabla 3-17 Definiciones de opciones
Opción
Definición
Nombre/Dirección IP de destino
Escriba la dirección IP o el nombre de host que utiliza ESM para
comunicarse con el dispositivo.
Puerto de destino
Seleccione el puerto utilizado para intentar la comunicación (el puerto
predeterminado es el 22).
ID de dispositivo
Ver el número de identificación del dispositivo.
Marcar este dispositivo como
desactivado
Permite detener la comunicación SSH con ESM. El icono
correspondiente a este dispositivo en el árbol de navegación del
sistema indicará que está desactivado.
Estado
(Opcional) Haga clic para comprobar la conexión.
Página Conexión de McAfee ePO
Esta página incluye la información introducida al agregar el dispositivo de McAfee ePO a la consola. El
cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
dispositivo se comunica con el ESM.
Tabla 3-18 Definiciones de opciones
Opción
Definición
Receptor asociado
Seleccione el receptor asociado con el dispositivo. Puede seleccionar
en vínculo para abrir la página Propiedades del receptor.
Parámetros de inicio de sesión de base
de datos
Cambiar los parámetros de inicio de sesión de la base de datos para
poder extraer eventos.
Credenciales de interfaz de usuario de
sitio web
Cambiar la configuración para acceder a la interfaz de usuario web.
Solicitar autenticación de usuario
Seleccione esta opción para obligar a todos los usuarios a
autenticarse con un nombre de usuario y una contraseña antes de
acceder al dispositivo.
Conectar
Permite probar la conexión con la base de datos o con la Web.
Véase también
Cambio de la conexión con el ESM en la página 60
McAfee Enterprise Security Manager 9.6.0
Guía del producto
61
3
Configuración del ESM
Administración de dispositivos
Dispositivos virtuales
Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de
supervisar el tráfico, comparar patrones de tráfico y generar informes.
Finalidad y ventajas
Los dispositivos virtuales se pueden usar para diversos propósitos:
•
Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web
con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con
tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas.
•
Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.
•
Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible
disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de
acuerdo con directivas distintas.
Número máximo de dispositivos por modelo
El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo:
Máximo de dispositivo
Modelo
2
APM-1225
NTP-1225
APM-1250
NTP-1250
4
APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8
NTP-2250
NTP-4245
NTP-5400
0
APM-VM
NTP-VM
Utilización de las reglas de selección
Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará un
dispositivo virtual.
Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado
definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una
única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en
cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS
lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los
dispositivos virtuales.
62
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:
•
Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete
de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer
dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer
dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual
situado antes en la lista.
•
Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo
virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido
con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo
virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que
parece que deberían haber ido a un dispositivo virtual.
El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete
coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su
procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es
el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás
filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la
eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.
Orden de los dispositivos virtuales
El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes que
llegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivo
virtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega a
las reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de
selección del primero.
•
Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de
ADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto.
•
Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales
(Propiedades de IPS | Dispositivos virtuales).
Dispositivos ADM virtuales
Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtros
de interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual
ADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista de
filtros disponibles hasta que se elimina de ese dispositivo.
Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que
busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de
origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el
tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían
haber ido a un dispositivo ADM virtual.
Véase también
Adición de un dispositivo virtual en la página 65
Administración de reglas de selección en la página 64
McAfee Enterprise Security Manager 9.6.0
Guía del producto
63
3
Configuración del ESM
Administración de dispositivos
Administración de reglas de selección
Las reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivo
virtual. Es posible agregar, editar y eliminar reglas de selección.
El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete
coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su
procesamiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades
.
Haga clic en Dispositivos virtuales y, después, en Agregar.
Se abrirá la ventana Agregar dispositivo virtual.
3
Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden.
Véase también
Dispositivos virtuales en la página 62
Página Agregar regla de selección en la página 64
Página Agregar regla de selección
La adición de reglas de selección al dispositivo virtual permite establecer qué paquetes procesará el
dispositivo.
Tabla 3-19 Definiciones de opciones
Opción
Definición
Página Agregar
regla de selección
del ADM
Seleccione uno de los filtros de interfaz y haga clic en Aceptar.
Página Agregar
regla de selección
de IPS
Introduzca un valor en uno de los campos como mínimo:
Pueden existir hasta cuatro filtros de interfaz de ADM. Cada uno de los filtros solo se
puede aplicar a un dispositivo virtual ADM de forma simultánea.
• IP/máscara de origen e IP/máscara de destino: escriba una única dirección IP con el formato
IPv4. Se aceptan las máscaras para estas direcciones IP.
• Protocolo: escriba una cadena (por ejemplo, tcp). También se puede indicar el
equivalente numérico de todos los protocolos (por ejemplo, 6 para tcp).
• Puerto de origen y Puerto de destino: escriba un valor de puerto único, un intervalo de
puertos separados por el carácter de dos puntos o un intervalo inclusivo de
puertos, ya sea con un carácter de dos puntos al principio o al final.
• VLAN: escriba o seleccione un valor entre 0 y 4095, donde 0 significa que no se
realiza filtrado alguno en la VLAN para esta regla de selección.
• Interfaz: seleccione la parte pública o la parte privada de una única interfaz para
realizar el filtrado.
Véase también
Administración de reglas de selección en la página 64
64
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Adición de un dispositivo virtual
Es posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas de
selección que determinan qué paquetes procesará cada dispositivo.
Antes de empezar
Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado
(véase Acerca de los dispositivos virtuales).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono
Propiedades
.
2
Haga clic en Dispositivos virtuales | Agregar.
3
Introduzca la información solicitada y, a continuación, haga clic en Aceptar.
4
Haga clic en Escribir para agregar la configuración al dispositivo.
Véase también
Dispositivos virtuales en la página 62
Página Dispositivos virtuales en la página 65
Página Agregar dispositivo virtual en la página 66
Página Dispositivos virtuales
La página Dispositivos virtuales es el punto de inicio para establecer la configuración de las opciones de
todos los dispositivos virtuales correspondientes al ADM o IPS. Es posible agregar, editar y eliminar
dispositivos y reglas de selección, lo cual determina qué paquetes procesa cada dispositivo virtual.
Tabla 3-20 Definiciones de opciones
Opción
Definición
Tabla Dispositivos virtuales
Indica los dispositivos virtuales que existen en la actualidad en el IPS o
ADM.
Registro
Activa o desactiva el registro en todos los dispositivos virtuales.
Icono Establecer un grupo de
almacenamiento...
Abre la página Opciones de registro de ELM para poder agregar un grupo de
almacenamiento a los dispositivos virtuales seleccionados.
Agregar
Abre la página Agregar dispositivo virtual.
Editar
Abre la página Editar dispositivo virtual, donde se puede cambiar la
configuración del dispositivo virtual seleccionado.
Quitar
Elimina el dispositivo seleccionado de la tabla.
Flechas Subir y Bajar
Permiten mover el dispositivo virtual seleccionado hacia arriba o hacia
abajo en la lista de dispositivos del sistema. El orden es importante
porque los paquetes se procesan empezando por el primer dispositivo
virtual de la lista y desde ahí hacia abajo.
Escribir
Permite escribir los cambios realizados en los dispositivos virtuales al IPS
o ADM.
Véase también
Adición de un dispositivo virtual en la página 65
McAfee Enterprise Security Manager 9.6.0
Guía del producto
65
3
Configuración del ESM
Administración de dispositivos
Página Agregar dispositivo virtual
Permite agregar un dispositivo virtual a un IPS o ADM.
Tabla 3-21 Definiciones de opciones
Opción
Definición
Nombre
Introduzca un nombre para el dispositivo virtual.
URL
Introduzca la dirección URL para ver la información de este dispositivo virtual,
en caso de tener una configurada. Haga clic en el icono Variables
agregar una variable a la dirección.
Activado
si necesita
Seleccione esta opción si desea activar el dispositivo.
Grupo de almacenamiento Si dispone de un ELM en el sistema y desea que los datos recibidos por este
dispositivo se registren en el ELM, haga clic en este vínculo y seleccione el
grupo de almacenamiento.
IPv4 o IPv6
En el caso de un dispositivo virtual IPS, indique si analizará el tráfico IPv4 o
IPv6.
Zona
Si ha definido zonas en el sistema (véase Administración de zonas), seleccione
la zona a la que se debe asignar este dispositivo virtual.
Descripción
Agregue aquí notas o información importante sobre el dispositivo.
Agregar
Haga clic aquí para agregar reglas de selección al dispositivo a fin de
determinar qué paquetes se procesarán.
Editar
Permite cambiar la configuración de Regla de selección.
Quitar
Haga clic aquí para eliminar la regla seleccionada.
Flechas Subir y Bajar
Permiten cambiar el orden de las reglas.
Véase también
Adición de un dispositivo virtual en la página 65
Administración de tipos de pantallas personalizadas
Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del
sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
66
1
En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.
2
Siga uno de estos procedimientos:
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
Para...
Haga esto...
Agregar un tipo de pantalla
personalizada
1 Haga clic en Agregar pantalla.
Editar un tipo de pantalla
personalizada
1
3
2 Rellene los campos y haga clic en Aceptar.
Haga clic en el icono Editar
que desee editar.
situado junto al tipo de pantalla
2 Realice cambios en la configuración y después haga clic en
Aceptar.
Eliminar un tipo de pantalla
personalizada
Haga clic en el icono Eliminar
desee eliminar.
situado junto al tipo de pantalla que
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Administración de un grupo en un tipo de pantalla personalizada
Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en
agrupaciones lógicas.
Antes de empezar
Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas
personalizadas).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
2
Seleccione la pantalla personalizada y haga una de estas cosas:
Para...
Haga esto...
Agregar un
nuevo grupo
1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el
icono Agregar grupo
de la barra de herramientas de acciones.
2 Rellene los campos y haga clic en Aceptar.
3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo.
Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de
dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de
sistemas.
Editar un
grupo
Eliminar un
grupo
Seleccione el grupo, haga clic en el icono Propiedades
página Propiedades de grupo.
y realice cambios en la
Seleccione el grupo y haga clic en el icono Eliminar grupo
. El grupo y los
dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los
dispositivos no se eliminarán del sistema.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
67
3
Configuración del ESM
Administración de dispositivos
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de tipos de pantallas personalizadas en la página 35
Eliminación de dispositivos duplicados en el árbol de navegación del
sistema
Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando
se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos
configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
2
Seleccione el icono Editar
3
Anule la selección de los dispositivos duplicados y haga clic en Aceptar.
situado junto a la pantalla que incluye los dispositivos duplicados.
Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.
Administración de varios dispositivos
La opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez,
así como actualizar el software en ellos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
3
En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar.
Haga clic en el icono Administración de varios dispositivos
de la barra de herramientas de acciones.
Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a
continuación, haga clic en Iniciar.
Véase también
Página Administración de varios dispositivos en la página 69
68
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Página Administración de varios dispositivos
Permite iniciar, detener, reiniciar o actualizar el software en varios dispositivos al mismo tiempo.
Tabla 3-22 Definiciones de opciones
Opción
Definición
Operación
Seleccione la operación que desee realizar.
• Iniciar: inicia los dispositivos seleccionados.
• Detener: detiene los dispositivos seleccionados.
• Reiniciar: detiene y reinicia los dispositivos seleccionados.
• Actualizar: actualiza los dispositivos seleccionados con el software elegido en la
página Seleccionar archivo de actualización de software.
Nombre de dispositivo Ver una lista de los dispositivos que se pueden administrar.
Columna Incluir
Seleccione los dispositivos.
Seleccionar todo
Haga clic en esta opción para seleccionar todos los dispositivos.
No seleccionar nada
Haga clic en esta opción para anular la selección de todos los dispositivos.
Iniciar
Haga clic para iniciar la operación.
Columna Estado
Permite ver el estado de la operación en cada dispositivo.
Cerrar
Haga clic en esta opción para cerrar la página Administración de varios dispositivos. La
operación continuará hasta que finalice.
Véase también
Administración de varios dispositivos en la página 68
Administración de vínculos de URL para todos los dispositivos
Es posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos en
una dirección URL.
Antes de empezar
Configure el sitio de la dirección URL para el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Configuración personalizada | Vínculos de dispositivo.
2
Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL.
El campo de URL tiene un límite de 512 caracteres.
3
Haga clic en Aceptar.
Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo
Análisis de eventos y Análisis de flujos de cada dispositivo.
en la parte inferior de las vistas
Véase también
Página Vínculos de dispositivo predeterminados en la página 70
McAfee Enterprise Security Manager 9.6.0
Guía del producto
69
3
Configuración del ESM
Administración de dispositivos
Página Vínculos de dispositivo predeterminados
Permite configurar o eliminar un vínculo de URL para un dispositivo.
Tabla 3-23 Definiciones de opciones
Opción
Definición
Columna Nombre de dispositivo
Indica todos los dispositivos del ESM.
Columna URL
Muestra las direcciones URL ya configuradas para cada dispositivo.
Editar
Abre la página Editar URL, donde se puede escribir la dirección URL.
Quitar URL
Permite eliminar la dirección URL del dispositivo seleccionado.
Véase también
Administración de vínculos de URL para todos los dispositivos en la página 69
Página Editar URL
Permite agregar la dirección URL del dispositivo seleccionado.
Tabla 3-24 Definiciones de opciones
Opción
Definición
URL
Escriba la dirección del sitio URL correspondiente al dispositivo.
Icono Variable Si la dirección URL introducida incluye la dirección de una aplicación de terceros y
necesita adjuntar alguna variable a la dirección URL que representa los datos presentes
en eventos y flujos, haga clic en la ubicación dentro de la dirección URL donde insertar
la variable, haga clic en el icono de variable y seleccione la variable.
Visualización de informes de resumen de dispositivos
Los informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, así
como la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar con
formato de valores separados por comas (CSV).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Ver informes.
2
Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento.
3
Haga clic en Aceptar.
Véase también
Página Informes de resumen de dispositivos en la página 71
70
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Página Informes de resumen de dispositivos
Permite ver y exportar informes sobre todos los dispositivos del sistema.
Tabla 3-25 Definiciones de opciones
Opción
Definición
Recuento de tipos de dispositivos Ver una lista de los tipos de dispositivos y cuántos de cada tipo hay en el
ESM.
Hora del evento
Ver la última vez que se recibió un evento en cada dispositivo del ESM.
Exportar a CSV
Exportar un informe en formato CSV con esta información a la ubicación
especificada.
Véase también
Visualización de informes de resumen de dispositivos en la página 70
Visualización de un registro de sistema o dispositivo
Los registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos.
Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y el
último evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registro
del sistema o Registro de dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Visualización de un resumen de datos de eventos:
•
Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema.
•
Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo.
A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver.
Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el
intervalo de tiempo especificado.
Véase
Página
Página
Página
Página
también
Registro del sistema en la página 71
de resumen Registro del sistema en la página 72
de vista previa Registro de dispositivo en la página 72
Registro de dispositivo en la página 73
Página Registro del sistema
Permite ver una lista detallada de los eventos y los cambios de la configuración de seguridad del ESM
durante el intervalo de tiempo especificado.
Tabla 3-26 Definiciones de opciones
Opción
Definición
Hora de inicio, Hora de fin
Cambie el intervalo de tiempo de la lista de eventos y haga clic en
Actualizar.
Exportar
Permite exportar porciones de todo el registro a un archivo de texto sin
formato. Es posible exportar un máximo de 50 000 registros de una
vez.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
71
3
Configuración del ESM
Administración de dispositivos
Tabla 3-26 Definiciones de opciones (continuación)
Opción
Definición
Icono de filtro de la primera
columna (Estado)
Seleccione este icono si desea ver todos los eventos, solo los
relacionados con el estado o solo los no relacionados con el estado. Los
eventos de registro relacionados con el estado se generan en los
dispositivos individuales y se recuperan cuando se extraen eventos,
flujos y registros del dispositivo.
Icono de filtro de las
columnas Categoría, Nombre y
Nombre de dispositivo
Haga clic en él para filtrar los eventos por categoría, nombre de
usuario o dispositivo.
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Página de resumen Registro del sistema
Permite ver un resumen de los eventos generados y de todos los cambios de la configuración de
seguridad realizados en el ESM.
Tabla 3-27 Definiciones de opciones
Opción
Definición
Recuento de eventos
Ver el número de eventos generados en el sistema.
Primer evento
Ver la hora en que se generó el primer evento.
Último evento
Ver la hora en que se generó el último evento.
Hora de inicio, Hora de fin Para ver una lista detallada de los eventos, seleccione el intervalo de tiempo
que desee ver.
Ver
Haga clic aquí para abrir el Registro del sistema.
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Página de vista previa Registro de dispositivo
Permite ver un resumen de todos los cambios realizados en el dispositivo desde ESM.
Tabla 3-28 Definiciones de opciones
Opción
Definición
Recuento de eventos
Número total de eventos registrados en el dispositivo.
Primer evento
Fecha y hora en que tuvo lugar el primer evento del registro.
Último evento
Fecha y hora en que tuvo lugar el último evento del registro.
Hora de inicio, Hora de fin Si desea ver los eventos de un intervalo de tiempo concreto, introduzca las
horas de inicio y fin en estos campos.
Ver
Permite ver los eventos del intervalo de tiempo especificado.
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
72
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de dispositivos
3
Página Registro de dispositivo
Permite ver detalles sobre los eventos que han tenido lugar en un dispositivo en el espacio de tiempo
especificado.
Tabla 3-29 Definiciones de opciones
Opción
Definición
Hora de inicio, Hora de fin
Defina el intervalo de tiempo para los eventos que desee ver.
Actualizar
Haga clic para actualizar los datos de la tabla.
Exportar
Permite exportar los eventos que aparecen en el registro a un
archivo de texto sin formato.
Iconos de filtrado
del
encabezado de la tabla
Haga clic en ellos para filtrar los datos incluidos en el registro.
Cada filtro proporciona las opciones de filtrado correspondientes.
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Informes de estado de mantenimiento de los dispositivos
Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco
junto a los nodos de
(informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico)
sistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la página
McAfee Enterprise Security Manager 9.6.0
Guía del producto
73
3
Configuración del ESM
Administración de dispositivos
Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier
problema.
Una marca
en este tipo
de nodo...
Abre...
Sistema o
grupo
La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de
estado correspondientes a los dispositivos asociados con el sistema o el grupo. Puede
mostrar las siguientes alertas de estado:
• Partición eliminada: una tabla de base de datos que contiene los datos de eventos,
flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a fin
de agregar espacio para los registros nuevos. Los datos de eventos, flujos y registro
se pueden exportar para evitar su pérdida permanente.
• Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto
podría incluir el disco duro del ESM, el ESM redundante o el punto de montaje
remoto.
• Crítico: el dispositivo no funciona bien y se debe arreglar.
• Advertencia: algo no funciona en el dispositivo como debería.
• Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado.
• Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de
base de datos del ESM no está sincronizada con el dispositivo.
• Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que
se ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo los
antiguos.
• Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijado
como umbral de inactividad.
• Desconocido: el ESM no ha podido conectar con el dispositivo.
Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrar
marcando las casillas de verificación situadas junto a los indicativos y haciendo clic en
Borrar selección o Borrar todo.
Dispositivo
La página Alertas de estado de dispositivo, que contiene botones para acceder a las
ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes
botones:
• Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo
muestran un resumen de todas las acciones que han tenido lugar en el sistema o el
dispositivo.
• Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de
base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual
permite comprobar la existencia de problemas.
• Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los
dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento
en el intervalo de tiempo especificado.
Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia
o crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo.
74
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de dispositivos
Estado
Descripción e instrucciones
Modo de omisión
La interfaz de red (NIC) está en el modo de omisión. Entre las causas
posibles están el fallo de un proceso de sistema crítico, el
establecimiento manual del dispositivo en el modo de omisión o un
fallo de otro tipo. Si desea sacar el dispositivo del modo de omisión,
acceda en el dispositivo a Propiedades | Configuración | Interfaces.
No se está ejecutando la
inspección profunda de
paquetes (DPI)
Se ha producido un fallo de inspección profunda de paquetes (DPI).
Podría recuperarse sin necesidad de intervención. Si no es así, reinicie
el dispositivo.
El programa de alerta de
Se ha producido un fallo de funcionamiento del agregador de alertas
firewall (ngulogd) no se está de firewall (FAA). Podría recuperarse sin necesidad de intervención. Si
ejecutando
no es así, reinicie el dispositivo.
La base de datos no se está
ejecutando
Se ha producido un fallo de funcionamiento en el servidor de McAfee
Extreme Database (EDB). Puede que el problema se resuelva
reiniciando el dispositivo, pero cabe la posibilidad de que la base de
datos necesite reconstrucción.
Modo de sobresuscripción
Si la red supervisada tiene un tráfico superior al que Nitro IPS puede
gestionar, los paquetes de red podrían no inspeccionarse. El monitor
de estado genera una alerta que indica que existe sobresuscripción en
el dispositivo Nitro IPS. De forma predeterminada, el valor del modo
de sobresuscripción está configurado para la supresión. Si desea
cambiar este valor, acceda a Editor de directivas, haga clic en Variable en el
panel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredar
para la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso y
Supresión para esta variable.
El canal de control no
funciona
El proceso que proporciona el canal de comunicación con el ESM ha
fallado. El problema se podría solucionar reiniciando el dispositivo.
Los programas RDEP o
Syslog no se están
ejecutando
Si existe un fallo de funcionamiento en el subsistema que gestiona los
orígenes de datos de terceros (como Syslog o SNMP), se genera una
alerta crítica. Se genera una alerta de nivel de advertencia si el
recopilador no ha recibido datos del origen de datos de tercero durante
una cantidad de tiempo concreta. Esto indica que el origen de datos
podría no estar funcionando o no estar enviando datos al receptor
como se esperaba.
El monitor de estado no se
puede comunicar con el
programa controlador de
inspección profunda de
paquetes (DPI)
El monitor de estado no es capaz de comunicarse con la inspección
profunda de paquetes (DPI) para recuperar su estado. Esto podría
indicar que el programa de control no se está ejecutando y que el
tráfico de red podría no estar pasando por Nitro IPS. Es posible que el
problema se solucione volviendo a aplicar la directiva.
El registrador del sistema no El registrador del sistema no responde. El problema se podría
se está ejecutando
solucionar con el reinicio del dispositivo.
Queda poco espacio libre en
la partición del disco duro
La cantidad de espacio libre es crítica.
Alerta de velocidad de
ventilador
El ventilador gira muy lentamente o no se mueve en absoluto. Hasta
que se pueda reemplazar el ventilador, mantenga el dispositivo en una
sala con aire acondicionado a fin de evitar daños.
Alerta de temperatura
La temperatura de los componentes críticos supera un cierto umbral.
Mantenga el dispositivo en una habitación con aire acondicionado para
evitar daños permanentes. Compruebe si hay algo bloqueando el flujo
de aire en el dispositivo.
Errores de red
Existen errores en la red o un exceso de colisiones en ella. La causa
podría ser un dominio con mucha colisión o fallos en los cables de red.
Problema en un punto de
montaje remoto
Existe un problema en un punto de montaje remoto.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
75
3
Configuración del ESM
Configuración de dispositivos
Estado
Descripción e instrucciones
Poco espacio de disco libre
Queda poco espacio libre en el disco del punto de montaje remoto.
en punto de montaje remoto
Todos los recopiladores de
origen de datos que no han
recibido comunicación de un
origen de datos durante al
menos diez minutos
El receptor no ha recibido comunicación alguna de un origen de datos
durante un mínimo de diez minutos.
El recopilador de orígenes de Existe un fallo de funcionamiento en el subsistema que controla los
datos no funciona
orígenes de datos de terceros (como Syslog o SNMP). El recopilador no
ha recibido ningún dato del origen de datos de terceros en una
cantidad de tiempo concreta. Puede que el origen de datos no esté
funcionando o no esté enviando datos al receptor como se esperaba.
El monitor de estado no
puede obtener un estado
válido de un subsistema
El monitor de estado no ha podido obtener un estado válido para un
subsistema.
Recuperación de un
subsistema de un estado de
advertencia o crítico
Cuando se inicia y se detiene el monitor de estado, se genera una
alerta informativa. Si el monitor de estado tiene problemas de
comunicación con otros subsistemas del dispositivo, también se genera
una alerta. Es posible que el registro de eventos proporcione detalles
sobre las causas de las alertas de advertencia y críticas.
Eliminación de un grupo o dispositivo
Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol
de navegación del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga
clic en el icono Eliminar de la barra de acciones.
2
Cuando se le solicite confirmación, haga clic en Aceptar.
Actualización de dispositivos
Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la
del ESM.
•
En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos
.
Configuración de dispositivos
Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la
supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la
generación de informes de conformidad en tiempo real.
Véase también
Página Configuración del dispositivo en la página 77
Contenido
Página Configuración del dispositivo
Configuración de Event Receiver
76
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
Configuración
Configuración
Configuración
Configuración
Configuración
Configuración
Configuración
Configuración
Configuración
3
de Enterprise Log Manager (ELM)
de Advanced Correlation Engine (ACE)
de Application Data Monitor (ADM)
de Database Event Monitor (DEM)
del ESM distribuido (DESM)
de ePolicy Orchestrator
de Nitro Intrusion Prevention System (Nitro IPS)
de McAfee Vulnerability Manager
de McAfee Network Security Manager
Página Configuración del dispositivo
Permite configurar y aplicar las opciones del dispositivo. Las opciones de configuración disponibles
varían en función del tipo de dispositivo.
Tabla 3-30 Definiciones de opciones
Opción
Definición
Configuración de la ACL
Configure las opciones de control de acceso para restringir el acceso al
dispositivo.
Configurar opciones
avanzadas de DEM
Definir la configuración de los registros de DEM.
Aplicar
Haga clic aquí para escribir las opciones de configuración en el DEM.
Compresión
Establecer el nivel de compresión que se debe aplicar a todos los datos que
entran en el ELM.
Datos
Seleccionar el tipo de datos que se enviarán del ESM al dispositivo.
Archivado de datos
Configurar el receptor para reenviar una copia de seguridad de los datos sin
procesar al dispositivo de almacenamiento para su almacenamiento a largo
plazo.
IP de ELM
Si ha elegido enviar los datos de este dispositivo al ELM, puede actualizar la
dirección IP del ELM al que está vinculado el dispositivo.
Flujo
Activar o desactivar el registro de datos de flujo.
Interfaz
Configurar las interfaces de red del dispositivo con el ESM.
Licencia
Ver y actualizar la información de licencias del DEM.
Registro
Si dispone de un dispositivo ELM en el sistema, establezca el grupo de registro
predeterminado para el dispositivo en caso de que desee que los datos
recibidos se envíen al ELM.
Migrar base de datos
En un dispositivo ELM, permite configurar una ubicación alternativa para
almacenar los registros generados.
Configuración NTP
Sincronizar la hora del dispositivo con un servidor NTP.
Contraseñas
Si la regla correspondiente al evento cuyos datos de sesión está visualizando
está relacionada con las contraseñas, seleccione esta opción en caso de que
desee que la contraseña asociada al evento aparezca en el Visor de sesión.
Restaurar configuración
Restaurar el archivo de configuración del dispositivo, guardado durante el
proceso de copia de seguridad de ESM. Esta copia de seguridad incluye
archivos .conf para SSH, red, SNMP, etc.
Capturas SNMP
Configurar las capturas SNMP generadas por el dispositivo.
Sincronizar dispositivo
Sincronizar la configuración del origen de datos del dispositivo o del
dispositivo virtual con la de ESM. Si va a sincronizar un receptor, los
dispositivos dependientes del receptor también se agregarán como
dispositivos a McAfee ESM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
77
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-30 Definiciones de opciones (continuación)
Opción
Definición
Sincronizar ELM
Si ha elegido enviar los datos de este dispositivo al ELM, sincronice el ELM con
el dispositivo.
Sincronizar archivos
Haga clic aquí para sincronizar todos los archivos de configuración del DEM.
Zona horaria
Configurar el ADM para ajustarlo a su zona horaria.
Véase también
Configuración de dispositivos en la página 76
Configuración de Event Receiver
Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes
de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS,
NetFlow, sFlow, etc.
Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución única
que se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores,
tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos en
dispositivos Nitro IPS y enrutadores que envían datos al receptor.
Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como
copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor
principal (A), y los cambios de configuración o de información de directiva se envían a ambos
dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen
de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá
actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A
como principal.
Véase también
Visualización de eventos de transmisión en la página 78
Receptores de disponibilidad alta en la página 79
Archivado de datos de receptor sin procesar en la página 90
Visualización de eventos de transmisión
®
El Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee Network
Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente
seleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic
en el icono Ver eventos de transmisión
en la barra de herramientas de acciones.
2
Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.
3
Seleccione cualquiera de las acciones disponibles en el visor.
4
Haga clic en Cerrar.
Véase también
Configuración de Event Receiver en la página 78
Página Visor de transmisiones en la página 79
78
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Página Visor de transmisiones
®
Permite ver un flujo de los eventos generados por McAfee ePO, McAfee Network Security Manager, el
receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados.
Tabla 3-31 Definiciones de opciones
Opción
Definición
Inicio
Iniciar la transmisión.
Detener
Detener la transmisión.
Tabla
Permite ver los eventos a medida que entran en el dispositivo.
Sección Paquete
Permite ver los detalles del evento seleccionado.
Icono Filtros
A fin de filtrar los eventos a medida que se generan, haga clic aquí e introduzca la
información que desee filtrar. Solo se muestran los eventos que coinciden con los
filtros.
Icono Columnas
Cambiar las columnas que aparecen en la tabla de transmisión.
Icono Borrar todo
Borrar la lista actual de eventos.
Icono Ejecutar vista Ver el evento seleccionado en una vista. Para verla, cierre el visor. El evento
aparecerá en la sección de vistas de la consola.
Véase también
Visualización de eventos de transmisión en la página 78
Receptores de disponibilidad alta
Los receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que el
receptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla.
Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece un
único receptor.
La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a
las normativas de FIPS, no utilice esta función.
Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que
actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el
secundario determina que el principal ha fallado, lo detiene y asume su función.
Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se
determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de
disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta.
Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta:
•
ERC-1225-HA
•
ERC-1250-HA
•
ERC-2230-HA
•
ERC-1260-HA
•
ERC-2250-HA
•
ERC-2600-HA
•
ERC-4245-HA
•
ERC-4600-HA
•
ERC-4500-HA
Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4
NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los
receptores de disponibilidad alta).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
79
3
Configuración del ESM
Configuración de dispositivos
Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones
IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se
conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante
un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación
con el ESM, así como una NIC de origen de datos para recopilar datos.
Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo
siguiente:
•
Los receptores se comunican constantemente a través de la NIC de latido y la NIC de
administración dedicadas.
•
Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.
•
Todos los orígenes de datos utilizan la NIC de origen de datos.
•
Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado
internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.
•
El ESM se comunica con los receptores periódicamente para determinar su estado.
•
La información de configuración nueva se envía a los dos receptores, el principal y el secundario.
•
El ESM también envía la directiva a los dos receptores.
•
Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado.
En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta
experimenta problemas.
Fallo del receptor principal
El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe
determinar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce la
conmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivo
principal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y la
tasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrar
cuidadosamente para optimizar la disponibilidad de los datos.
Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de
alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync
reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor
secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal.
El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los
recopiladores.
Fallo del receptor secundario
El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la
comunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptor
secundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración y
latido.
Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario
como fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo.
Problema de estado del dispositivo principal
El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una base
de datos que no responde, una interfaz de origen de datos que no responde y un número excesivo de
errores de disco.
80
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones,
pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La
terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor
secundario.
Problema de estado del dispositivo secundario
Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente:
•
El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los
procesos de Corosync y Pacemaker.
•
Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja
de estar disponible en caso de fallo del receptor principal.
•
El problema de estado se analiza y se intenta repararlo.
•
Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal
mediante el procedimiento Nueva puesta en servicio.
•
Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido.
Nueva puesta en servicio
Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo de
alimentación, reparación del hardware o reparación de la red), ocurre lo siguiente:
•
Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el
inicio. Permanecen en modo secundario hasta que se establecen como principal.
•
El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origen
de datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el
dispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y a
recopilar datos.
Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido.
Ampliación de receptor de disponibilidad alta
El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente,
empezando por el secundario. Ocurre de la siguiente forma:
1
El archivo de ampliación se carga al ESM y se aplica al receptor secundario.
2
Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio
de funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el
principal y el que no se ha ampliado aún sea el secundario.
3
El archivo de ampliación se aplica al nuevo receptor secundario.
4
Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el
proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptores
asuman de nuevo sus funciones originales.
A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte
Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor
cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de
dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido.
Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado
un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración
de receptor principal preferido de nuevo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
81
3
Configuración del ESM
Configuración de dispositivos
Véase también
Configuración de Event Receiver en la página 78
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Puertos de red de los receptores de disponibilidad alta
Estos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta.
Creación de una conexión entre receptores de disponibilidad alta 1U
82
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Creación de una conexión entre receptores de disponibilidad alta 2U
Configuración de dispositivos receptores de disponibilidad alta
Defina la configuración de los dispositivos receptores de disponibilidad alta.
Antes de empezar
Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la
consola de ESM). Debe disponer de tres o más NIC.
La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a
adecuarse a las normativas de FIPS, no utilice esta función.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad
alta principal y haga clic en el icono Propiedades
2
.
Haga clic en Configuración del receptor y, después, en Interfaz.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
83
3
Configuración del ESM
Configuración de dispositivos
3
Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.
4
Rellene la información solicitada y, después, haga clic en Aceptar.
Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica
globals.conf y sincroniza ambos receptores.
Véase también
Receptores de disponibilidad alta en la página 79
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Reinicialización del dispositivo secundario
Si se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de
volver a instalarlo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al
receptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta.
2
Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria.
3
Haga clic en Reinicializar secundario.
El ESM llevará a cabo los pasos necesarios para reinicializar el receptor.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Configuración del receptor de disponibilidad alta con IPv6
Aplique este procedimiento para configurar la disponibilidad alta con IPv6, ya que no se puede
establecer manualmente la dirección IPv6 a través de la pantalla LCD.
Antes de empezar
84
•
Asegúrese de que el ESM utilice IPv6, ya sea de forma manual o automática (Propiedades
del sistema | Configuración de red).
•
Averigüe la dirección IP compartida, creada por el administrador de la red.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En los dos los receptores del par de disponibilidad alta:
a
Encienda el receptor y active IPv6 mediante la pantalla LCD.
b
Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección
IP de administración. Esto podría tardar algún tiempo debido a la latencia de la red.
Agregue uno de estos receptores al ESM (véase Adición de dispositivos a la consola de ESM).
•
Nombre: nombre del par de disponibilidad alta.
•
Dirección IP o URL de destino: dirección IPv6 de administración de este receptor de disponibilidad alta,
previamente anotada.
3
Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga
clic en Propiedades de receptor | Configuración del receptor | Interfaz.
4
En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).
5
Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en el
campo IPv6 y haga clic en Aceptar.
Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta.
Si no se hace esto, la disponibilidad alta no ofrece una conmutación en caso de error correcta.
6
En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/
Dirección IP de destino y haga clic en Aceptar.
7
Continúe con el proceso de configuración de la disponibilidad alta que se incluye en Configuración
de dispositivos receptores de disponibilidad alta.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Restablecimiento de dispositivos de disponibilidad alta
Si necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antes
de configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con los
receptores, en el menú de la pantalla LCD.
•
Siga uno de estos procedimientos:
McAfee Enterprise Security Manager 9.6.0
Guía del producto
85
3
Configuración del ESM
Configuración de dispositivos
Para...
Haga esto...
Restablecer un
receptor en la
consola de ESM
1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y,
después, haga clic en Configuración del receptor | Interfaz.
2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar.
3 Haga clic en Sí en la página de advertencia y, después, en Cerrar.
Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco
minutos a fin de devolver las direcciones MAC a sus valores originales.
Restablecer el
1 En el menú LCD del receptor, pulse X.
receptor principal o
2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar
secundario en el
menú de la pantalla
disponibilidad alta).
LCD
3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary
(Desactivar principal) en la pantalla LCD.
4 Para restablecer el receptor principal, pulse la marca de verificación.
5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una
vez y, después, la marca de verificación.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Intercambio de funciones de receptores de disponibilidad alta
Este proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los
receptores principal y secundario.
Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para
devolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la
cantidad de datos perdidos.
Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor
de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá
comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos
asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede
tardar desde unos minutos a varios días, en función de la configuración de la red.
86
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y
haga clic en el icono Propiedades
2
.
Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente:
•
El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida y
recopile datos.
•
El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de
intercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores.
•
El ESM extrae todos los datos de alertas y flujos del receptor principal.
•
El ESM marca el receptor secundario como principal y el principal como secundario.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Ampliación de los receptores de disponibilidad alta
El proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente,
empezando por el secundario.
Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de
receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad
alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los
dispositivos y producirse un periodo de inactividad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y
haga clic en el icono Propiedades
2
.
Amplíe el receptor secundario:
a
Haga clic en Administración del receptor y seleccione Secundario.
b
Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga
clic en Aceptar.
El receptor se reiniciará y se actualizará la versión del software.
c
En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.
d
Seleccione el receptor secundario y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
87
3
Configuración del ESM
Configuración de dispositivos
3
Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso de
error.
4
Amplíe el receptor secundario, para lo cual deberá repetir el paso 2.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Comprobación del estado de receptores de disponibilidad alta
Es posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabo
una ampliación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta
principal y haga clic en el icono Propiedades
.
2
En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta
del dispositivo: online.
3
Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información
resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el
otro. Tiene un aspecto similar a este:
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
88
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
4
Compruebe lo siguiente en la información anterior:
•
La primera línea de la respuesta es OK.
•
El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos
menos el número de modelo del receptor.
•
El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este
receptor; de lo contrario, el modo será secondary.
•
Las siguientes dos líneas muestran los nombres de host de los receptores del par de
disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos
es online.
•
La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que
debería ser running.
•
El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o de
otro.
Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit.
Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto
con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal
configurada.
5
Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ifconfig en la interfaz de línea de comandos de ambos.
6
Compruebe lo siguiente en los datos generados:
•
Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores.
•
El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tiene
dirección IP en eth1.
Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee
antes de realizar la ampliación a fin de corregir esta opción mal configurada.
Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones
IP, lo que implica que los dispositivos se pueden ampliar.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Sustitución de un receptor con problemas
Si un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesario
sustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos en
la Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cables
conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
89
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al
receptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz.
2
Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar
alta disponibilidad.
3
Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.
El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Solución de problemas en un receptor fallido en la página 90
Solución de problemas en un receptor fallido
Si un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla la
escritura de orígenes de datos, opciones de configuración global, opciones de configuración de
agregación, etc., y aparece un error de SSH.
De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un error
cuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no se
despliega. En esta situación, existen las siguientes opciones:
•
Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.
•
Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de
inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Archivado de datos de receptor sin procesar
Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin
procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo.
Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common Internet
File System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan,
en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados al
90
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP,
SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada
cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo
de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de
la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de
almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno
de ellos para el archivado de datos.
Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.
Véase también
Configuración de Event Receiver en la página 78
Definición de la configuración de archivado en la página 91
Definición de la configuración de archivado
A fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar las
opciones empleadas por el receptor para el archivado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Configuración del receptor | Archivado de datos.
2
Seleccione el tipo de recurso compartido e introduzca la información solicitada.
Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión
de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el
recurso compartido SMB para el establecimiento de una conexión SMB.
3
Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar.
Véase también
Archivado de datos de receptor sin procesar en la página 90
Página Configuración de archivado de datos en la página 91
Página Configuración de archivado de datos
Permite configurar las opciones empleadas por el receptor para el archivado.
Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS
Opción
Definición
Tipo de recurso compartido
Seleccione el tipo de recurso compartido SMB o CIFS.
Dirección IP
Escriba la dirección IP del recurso compartido.
Nombre de recurso compartido
Escriba el nombre del recurso compartido.
Ruta
Escriba el subdirectorio del recurso compartido donde se deben almacenar
los datos archivados (por ejemplo, TMP/Almacenamiento). Si el
almacenamiento se produce en el directorio raíz del recurso compartido,
no se requiere la ruta de acceso.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
91
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS (continuación)
Opción
Definición
Nombre de usuario y
Contraseña
Escriba un nombre de usuario válido para conectar con el recurso
compartido y, después, la contraseña correspondiente a la cuenta de
usuario utilizada durante la conexión con el recurso compartido.
No utilice comas en la contraseña a la hora de conectar con un recurso
compartido SMB/CIFS.
Permite probar la conexión.
Conectar
Tabla 3-33 Definiciones de opciones de recurso compartido NFS
Opción
Definición
Dirección IP
Escriba la dirección IP del punto de montaje y, después, su nombre.
Punto de montaje Escriba el nombre del punto de montaje.
Ruta
Escriba el subdirectorio del recurso compartido donde se deben almacenar los datos
archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en
el directorio raíz del recurso compartido, no se requiere la ruta.
Conectar
Permite probar la conexión.
Tabla 3-34 Definiciones de opciones de recurso compartido de reenvío de syslog
Opción
Definición
Dirección IPv4 o Dirección IPv6 Escriba la dirección IP del servidor de syslog al que se debe reenviar el
flujo de datos.
Ruta IPv4 o Ruta IPv6
Escriba el puerto del servidor de syslog al que se debe reenviar el flujo de
datos.
Véase también
Definición de la configuración de archivado en la página 91
Visualización de los eventos de origen de los eventos de correlación
Es posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos.
Antes de empezar
Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de
correlación y Adición de un origen de datos).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.
2
En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos.
3
En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de
correlación.
Solo aparecerá el signo más si el evento de correlación tiene eventos de origen.
Los eventos de origen aparecen debajo del evento de correlación.
92
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Visualización de estadísticas de rendimiento del receptor
Es posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y
salida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24
horas.
Antes de empezar
Verifique que dispone del privilegio Administración de dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de
propiedades
.
2
Haga clic en Administración del receptor | Ver estadísticas | Rendimiento.
3
Vea las estadísticas del receptor.
Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica
(en las últimas 24 horas) o como advertencia (en la última hora).
4
Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.
5
Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por
número de registros.
6
Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación
Actualizar automáticamente.
7
Para ordenar los datos, haga clic en el título de columna relevante.
Orígenes de datos de receptor
McAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red
mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN),
enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar qué
datos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenes
de datos y definir su configuración de manera que recopilen los datos requeridos.
La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo
receptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de
importarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios y
cliente.
Véase también
Adición de un origen de datos en la página 94
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Establecimiento del grupo de registro predeterminado en la página 58
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Visualización de los archivos generados por los orígenes de datos en la página 132
McAfee Enterprise Security Manager 9.6.0
Guía del producto
93
3
Configuración del ESM
Configuración de dispositivos
Adición de un origen de datos
Es necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar al
receptor a fin de recopilar datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de
datos y haga clic en el icono Propiedades
.
2
En Propiedades de receptor, haga clic en Orígenes de datos | Agregar.
3
Seleccione el proveedor y el modelo.
Los campos que hay que rellenar dependen de las selecciones realizadas.
4
Rellene la información solicitada y, después, haga clic en Aceptar.
El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de
navegación del sistema, debajo del receptor seleccionado.
Véase también
Orígenes de datos de receptor en la página 93
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Agregar origen de datos en la página 96
Página Orígenes de datos en la página 95
Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario en la página
97
94
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Orígenes de datos
Permite configurar las opciones de todos los orígenes de datos del receptor.
Tabla 3-35 Definiciones de opciones
Opción
Definición
Tabla de
orígenes de
datos
Permite ver los orígenes de datos del sistema, si tienen clientes y el tipo de origen
de datos del que se trata. Además, indica si el receptor procesa o no los datos del
origen de datos, así como la forma de procesarlos. Las opciones son las siguientes:
• Análisis: los datos recopilados se analizan e insertan en la base de datos.
• Registro: los datos se envían al ELM. Solo está disponible si existe un dispositivo
ELM en el sistema.
• Captura SNMP: el origen de datos acepta capturas SNMP estándar de cualquier
dispositivo de red que se pueda administrar y que tenga la capacidad de enviar
capturas SNMP. Las capturas estándar son: Fallo de autenticación, Inicio en frío,
Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo e Inicio en caliente.
Una vez que se reciben estas capturas, se genera un evento para el origen de
datos.
Si necesita enviar o recibir capturas SNMP a través de IPv6, tendrá que formular
la dirección IPv6 como una dirección de conversión IPv4. Por ejemplo, la
conversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B:
654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
Es posible cambiar estas opciones de configuración en la tabla mediante su
selección o la anulación de su selección. Además, es posible agregar un grupo de
almacenamiento o un perfil SNMP mediante los iconos Registro
o SNMP
.
Agregar
Permite agregar un origen de datos nuevo al receptor.
Agregar elemento
secundario
Permite agregar orígenes de datos secundarios a un origen de datos existente.
Esto facilita la organización de los orígenes de datos.
Clientes
Permite agregar orígenes de datos cliente, lo cual amplía el número de orígenes de
datos permitidos en un receptor.
Editar
Realizar cambios en la configuración del origen de datos seleccionado.
Quitar
Eliminar el origen de datos seleccionado.
Importar
Importar una lista de orígenes de datos con formato .csv (véase Importación de
una lista de orígenes de datos).
Exportar
Exportar una lista de los orígenes de datos que hay actualmente en el sistema.
Migrar
Reasignar o redistribuir los orígenes de datos entre los receptores.
Avanzadas
Cargar o ver una definición de origen de datos personalizado.
Aprendizaje
automático
Permite configurar el receptor para el aprendizaje automático de direcciones IP
desconocidas.
Cambiar nombre
Modificar los nombres de las entradas de orígenes de datos definidos por el
usuario.
Cargar
Cargar un archivo para el origen de datos seleccionado. Esto solo se aplica a
syslog.
Escribir
Escribir los cambios realizados en la configuración del origen de datos en el
receptor.
Véase también
Adición de un origen de datos en la página 94
McAfee Enterprise Security Manager 9.6.0
Guía del producto
95
3
Configuración del ESM
Configuración de dispositivos
Página Agregar origen de datos
Los orígenes de datos se emplean para controlar cómo recopila el receptor los datos de registro y de
eventos. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen
los datos requeridos.
Tabla 3-36 Definiciones de opciones
Opción
Definición
Usar perfiles del
sistema
Seleccione esta opción para utilizar un perfil a fin de configurar este origen de
datos. Solo es posible aplicar previamente la configuración de un perfil a los
dispositivos que emplean los protocolos SNMP y syslog.
Proveedor de origen
de datos, Modelo de
origen de datos
Seleccione el proveedor y el modelo del origen de datos.
Formato de datos
Seleccione el método de análisis.
Recuperación de
datos
Seleccione el método de recopilación de datos. Cuando se emplea SCP, la variable
de entorno LANG se debe establecer como lang=C.
Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) que
genere datos con una codificación distinta de UTF-8, seleccione Genérico como
proveedor y Analizador de syslog avanzado como modelo.
Si se selecciona Origen de archivo SCP, no se admiten las rutas de acceso relativas. Es
necesario definir la ubicación completa exacta.
Cuando se selecciona Origen de archivo CIFS u Origen de archivo NFS, es necesario
seleccionar el método de recopilación. Véase Selección del método de recopilación
de orígenes de datos Leer final de archivo(s) para obtener detalles sobre estos
campos.
Activado
Seleccione cómo debe procesar los datos el receptor.
• Si selecciona Registro, se le solicitarán detalles al respecto (véase Establecimiento
del grupo de registro predeterminado).
• Si selecciona Captura SNMP, (véase Procesamiento de un origen de datos mediante
una captura SNMP), seleccione el perfil que desee utilizar en la página Perfiles de
orígenes de datos SNMP. Si el perfil que necesita no está en la lista desplegable, haga
clic en el vínculo Perfiles del sistema y agregue un perfil (véase Configuración de
perfiles).
Nombre
Escriba un nombre para el origen de datos.
Dirección IP, Nombre Introduzca solamente una dirección IP o un nombre de host. Haga clic en Búsqueda
de host, Búsqueda
para agregar el nombre de host si ha introducido una dirección IP, o bien para
agregar la dirección IP si ha introducido un nombre de host. Ahora es posible
configurar un origen de datos WMI con un nombre de host y sin dirección IP.
Resto de campos Rellene los campos restantes, que variarán en función del proveedor, el modelo de
dispositivo, el método de recuperación de datos y el protocolo del modelo de
dispositivo seleccionado.
Interfaz
Configure cualquiera de las opciones del receptor principal (véase Configuración
de interfaces). Asegúrese de que los puertos utilizados para la recopilación de
datos estén abiertos en la ficha Comunicación. Estos puertos están cerrados de
forma predeterminada, así que es necesario configurarlos.
Avanzadas
Agregue una URL, configure el reenvío de CEF, defina este origen de datos como
recopilador acreditado para la información de administración de identidades o
establezca este origen de datos para la exportación a otro receptor.
Véase también
Adición de un origen de datos en la página 94
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
96
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario
Permite cambiar los nombres de las entradas de orígenes de datos definidos por el usuario para
hacerlos más descriptivos.
Tabla 3-37 Definiciones de opciones
Opción
Definición
Tabla
Incluye las reglas definidas por el usuario.
Editar
Haga clic en esta opción para cambiar el nombre del origen de datos seleccionado.
Véase también
Adición de un origen de datos en la página 94
Procesamiento de un origen de datos mediante una captura SNMP
La funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar de
cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas
SNMP.
Las capturas estándar son:
•
Error de autenticación
•
Vínculo inactivo
•
Inicio en frío
•
Vínculo activo e Inicio en caliente
•
Pérdida de vecino de EGP
A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección
de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:
2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
Si selecciona Captura SNMP, existen tres opciones:
•
Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes de
datos SNMP, donde podrá seleccionar el perfil que desee utilizar.
•
Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para
cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un
nuevo perfil.
•
Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro
de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de
origen de datos.
Véase también
Página Perfiles de orígenes de datos SNMP en la página 97
Página Perfiles de orígenes de datos SNMP
Permite seleccionar un perfil SNMP existente para utilizarlo con el origen de datos, o bien agregar un
perfil SNMP nuevo.
Tabla 3-38 Definiciones de opciones
Opción
Definición
Perfiles del sistema
Seleccione un perfil de la lista de perfiles existentes o haga clic en el
vínculo y agregue un perfil nuevo que, después, podrá seleccionar.
Sobrescribir asignación de perfil
existente
Seleccione esta opción si desea eliminar cualquier asignación de perfil
SNMP existente y utilizar en su lugar este perfil.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
97
3
Configuración del ESM
Configuración de dispositivos
Véase también
Procesamiento de un origen de datos mediante una captura SNMP en la página 97
Administración de orígenes de datos
Es posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregar
orígenes de datos secundarios y cliente en la página Orígenes de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2
Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones
disponibles a fin de administrarlos.
3
Haga clic en Aplicar o en Aceptar.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
SIEM Collector
SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión
cifrada.
Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un
agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para
que no se pueda usar WMI.
El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de
eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales
como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros.
Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de
McAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de
McAfee existentes.
Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros
sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.
Otras funciones disponibles son:
98
•
Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con
SQL Server y Oracle).
•
Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.
•
Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Integración de datos de evaluación de vulnerabilidades
La evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos que
se pueden recuperar de diversos proveedores de evaluación de vulnerabilidades.
Estos datos se pueden usar de varias formas.
•
Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho
evento.
•
Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema
operativo y servicios detectados).
•
Crear y manipular la pertenencia a los grupos de activos definidos por el usuario.
•
Acceder a información detallada y de resumen sobre los activos de la red.
•
Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se
descubre un activo que ejecuta MySQL.
Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante
vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son:
•
Vistas de panel | Panel de vulnerabilidad de activos
•
Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red
•
Vistas ejecutivas | Vulner. críticas en activos regulados
Para crear una vista personalizada, véase Adición de una vista personalizada.
Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría
ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence
Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de
evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo).
El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma
de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure
(CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores
informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se
incluyen en esta versión.
Definición de un perfil de sistema de evaluación de vulnerabilidades
Cuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece la
opción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesario
definir antes el perfil.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades
.
2
Haga clic en Evaluación de vulnerabilidades | Agregar.
3
En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM.
4
Haga clic en Usar perfil del sistema.
5
Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
99
3
Configuración del ESM
Configuración de dispositivos
6
En el campo Agente de perfil, seleccione la versión SNMP de este perfil.
Los campos de la página se activan según la versión seleccionada.
7
Rellene la información solicitada y haga clic en Aceptar.
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Ficha o página Evaluación de vulnerabilidades
Los orígenes de evaluación de vulnerabilidades de ESM permiten la comunicación con proveedores de
evaluación de vulnerabilidades y la recuperación de sus datos. Aquí puede administrar estos orígenes.
Tabla 3-39 Definiciones de opciones
Opción Definición
Tabla
Ver los receptores y los DEM del sistema, así como sus orígenes de evaluación de
vulnerabilidades.
Agregar
Agregar un origen.
Editar
Cambiar el origen seleccionado.
Quitar
Eliminar el origen de evaluación de vulnerabilidades seleccionado.
Recuperar Recuperar los datos de evaluación de vulnerabilidades para el origen seleccionado.
Escribir
Escribir los cambios realizados en el dispositivo.
Cargar
(Qualys) Si ha seleccionado Carga manual en el campo Método al agregar un origen de
evaluación de vulnerabilidades, haga clic en esta opción para cargar el archivo.
La carga de un archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB.
Véase también
Definición de un perfil de sistema de evaluación de vulnerabilidades en la página 99
Adición de un origen de evaluación de vulnerabilidades en la página 100
Adición de un origen de evaluación de vulnerabilidades
A fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cada
origen al sistema, configurar los parámetros de comunicación correspondientes al proveedor de
evaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación de
datos y modificar los cálculos de gravedad de eventos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades
.
2
Haga clic en Evaluación de vulnerabilidades.
3
Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los
cambios realizados en el dispositivo.
4
Haga clic en Aplicar o en Aceptar.
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Página Agregar origen de evaluación de vulnerabilidades en la página 101
100
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Agregar origen de evaluación de vulnerabilidades
Permite agregar un origen de evaluación de vulnerabilidades al ESM. Los campos que se deben
rellenar dependen del tipo de origen de evaluación de vulnerabilidades seleccionado. Esta lista
contiene todos los campos posibles.
Tabla 3-40 Definiciones de opciones
Opción
Definición
ID de cliente
Escriba el número de ID de cliente de Frontline. Este campo es necesario para
Digital Defense Frontline.
Nombre de la empresa
En FusionVM, el nombre de la empresa que se debe analizar. Si este campo se
deja en blanco, se analizarán todas las empresas a las que pertenezca el
usuario. Si introduce más de una empresa, separe los nombres con una coma.
Recuperación de datos
(Qualys QualysGuard) Seleccione el método de recuperación de los datos de
evaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Las
otras opciones son SCP, FTP, NFS, CIFS y Carga manual.
Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite
de tamaño de 2 GB.
Dominio
Escriba el dominio del equipo Windows (opcional, a menos que el controlador
de dominio o el servidor estén dentro de un dominio).
Directorio de archivo de
análisis exportado
El directorio donde se encuentran los archivos de análisis exportados.
Formato de archivo de
análisis exportado
El formato del archivo de análisis exportado (XML o NBE).
Directorio de instalación
La ubicación donde se instaló Saint en el servidor. El directorio de instalación
para un appliance analizador Saint es /usr/local/sm/.
Dirección IP
• Para eEye REM: la dirección IP del servidor eEye que envía información sobre
capturas.
• Para eEye Retina: la dirección IP del cliente que alberga los archivos de
análisis exportados (.rtd).
• Para McAfee Vulnerability Manager: la dirección IP del servidor donde se
encuentra la instalación.
®
• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP del
cliente que alberga los archivos de análisis exportados.
• Para NGS: la dirección IP del sistema que almacena los informes de Squirrel.
• Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidor
correspondiente.
Directorio de montaje
Si selecciona NFS en el campo Método, se agregan los campos de Directorio de
montaje. Indique el directorio de montaje establecido al configurar NFS.
Método
El método empleado para recuperar los archivos de análisis exportados
(montaje de SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
101
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-40 Definiciones de opciones (continuación)
Opción
Definición
Contraseña
• Para McAfee Vulnerability Manager: si emplea el modo de autenticación de
Windows para SQL Server, la contraseña del equipo Windows. De lo contrario,
la contraseña correspondiente a SQL Server.
• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseña de
SCP o FTP (véase Nombre de usuario).
• Para NGS: la contraseña de los métodos SCP y FTP.
• Para Qualys y FusionVM: la contraseña correspondiente al nombre de usuario
de Qualys Front Office o FusionVM (véase Nombre de usuario).
• Para Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que se debe
usar al conectar con el servidor web (véase Nombre de usuario).
• Para Digital Defense Frontline: la contraseña de la interfaz web.
Puerto
El puerto de escucha de Rapid7 Nexpose, Lumension, nCircle, McAfee
Vulnerability Manager o el servidor web de Saint. El valor predeterminado para
Rapid7 Nexpose es 3780, en el caso de Lumension es 205, para nCircle es 443,
para McAfee Vulnerability Manager es 1433 y para Saint es 22.
Nombre de proyecto/
espacio de trabajo
Nombre de un proyecto o espacio de trabajo concretos; deje el campo en
blanco para incluir todos los proyectos o espacios de trabajo.
Dirección IP de proxy
La dirección IP del proxy de HTTP.
Contraseña del proxy
La contraseña correspondiente al nombre de usuario del proxy.
Puerto del proxy
El puerto de escucha del proxy HTTP.
Nombre de usuario del
proxy
Un nombre de usuario para el proxy.
URL del servidor Qualys
o FusionVM
La URL del servidor Qualys o FusionVM al que enviar la consulta.
®
Ruta remota y nombre de Para el método Nessus de CIFS, OpenVAS, eEye Retina, Metasploit Pro,
recurso compartido
LanGuard y NGS.
Es posible usar barras diagonales o barras diagonales invertidas en la ruta (por
ejemplo, Archivos de programa\CIFS\va o /Archivos de programa/CIFS/va).
Programar recuperación
de datos del receptor o
Programar recuperación
de datos de DEM
Indique la frecuencia con la que desea que los datos de evaluación de
vulnerabilidades se recuperen del receptor o el DEM.
• Cada día: seleccione la hora a la que desee que se recuperen los datos cada
día.
• Cada semana: seleccione el día de la semana y la hora del día en que desee que
se recuperen los datos.
• Cada mes: seleccione el día del mes y la hora del día en que desee que se
recuperen los datos.
Si no desea que se recuperen los datos, seleccione Desactivado.
eEye REM no admite la recuperación de datos desde el origen, por lo que los
datos se deben recuperar desde el receptor o el DEM.
102
Programar recuperación
de datos de evaluación
de vulnerabilidades
Indique la frecuencia con la que desea que los datos de evaluación de
vulnerabilidades se recuperen del origen de evaluación de vulnerabilidades.
Véase Programar recuperación de datos del receptor o Programar recuperación
de datos de DEM para obtener detalles.
Sesión
Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones,
indique Todo.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-40 Definiciones de opciones (continuación)
Opción
Definición
Contraseña de
autenticación SNMP
Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo
estará activo. Escriba la contraseña para el protocolo de autenticación
seleccionado en el campo Protocolo de autenticación SNMP.
Protocolo de
autenticación SNMP
Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo
estará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1
(SHA1 y SHA hacen referencia al mismo tipo de protocolo). Asegúrese de que
la configuración de REM Events Server coincida con su selección.
Comunidad SNMP
La comunidad SNMP establecida al configurar REM Events Server.
Contraseña de privacidad Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará
SNMP
activo. Escriba la contraseña para el protocolo de privacidad DES o AES. En el
modo FIPS, la única opción disponible es AES.
Protocolo de privacidad
SNMP
Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo
y podrá seleccionar DES o AES. En el modo FIPS, la única opción disponible es
AES.
Nivel de seguridad SNMP El nivel de seguridad que desee establecer para este origen.
• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad
• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad
• authPriv: con protocolo de autenticación y protocolo de privacidad
Los campos de autenticación y privacidad correspondientes a SNMP se
activarán en función del nivel de seguridad seleccionado. Asegúrese de que la
configuración de REM Events Server coincida con su selección.
Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server.
Versión de SNMP
La versión de SNMP correspondiente al origen. Los campos de SNMP se activan
según la versión seleccionada.
ID de motor SNMPv3
(Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso de
emplear un perfil SNMPv3.
Contraseña sudo
(Opcional) Escriba la contraseña necesaria para acceder al directorio de
instalación de Saint (véase Usar sudo).
Tiempo de espera
Este campo permite usar el valor predeterminado de tiempo de espera para un
origen o proporcionar un valor de tiempo de espera concreto. Esto resulta útil si
existe una gran cantidad de datos de evaluación de vulnerabilidades de un
proveedor y la configuración de tiempo de espera predeterminada no permite
recuperar todos los datos o ninguno. Es posible aumentar el valor de tiempo de
espera a fin de que exista más tiempo para la recuperación de datos de
evaluación de vulnerabilidades. Si proporciona un valor, se utilizará para todas
las comunicaciones.
Token
(Opcional) Token de autenticación que se puede establecer en la configuración
global de Metasploit.
URL
Escriba la URL del servidor de Digital Defense Frontline.
Utilizar proxy HTTP
Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto
del proxy, Nombre de usuario del proxy y Contraseña del proxy.
Usar modo pasivo
Si selecciona FTP en el campo Método, este campo se activará. A continuación,
deberá indicar cuándo usar el modo pasivo.
Usar sudo
Seleccione esta opción si dispone de acceso al directorio de instalación de Saint
y desea utilizar este acceso (véase Contraseña sudo).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
103
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-40 Definiciones de opciones (continuación)
Opción
Definición
Usar perfil del sistema
(eEye REM)
Indique si desea utilizar un perfil previamente definido. Si selecciona esta
opción, se desactivarán todos los campos de SNMP. Al seleccionar uno de los
perfiles de sistema existentes, los campos se rellenan con la información del
perfil elegido. Para definir un perfil, véase Definición de un perfil de sistema de
evaluación de vulnerabilidades.
Nombre de usuario
Escriba el nombre de usuario de McAfee Vulnerability Manager. Si utiliza el
modo de autenticación de Windows para SQL Server, introduzca el nombre de
usuario del equipo Windows. De lo contrario, se trata del nombre de usuario de
SQL Server.
®
• Para Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuario
correspondiente a SCP o FTP.
• Para NGS: el nombre de usuario para los métodos SCP y FTP.
• Para Qualys o FusionVM: el nombre de usuario de Front Office o FusionVM
destinado a la autenticación.
• Para Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuario que
se debe usar al conectar con el servidor web.
• Para Digital Defense Frontline: el nombre de usuario de la interfaz web.
Nombre de origen de
evaluación de
vulnerabilidades
Escriba el nombre de este origen.
Expresión comodín
Una expresión comodín utilizada para describir el nombre de los archivos de
análisis exportados. La expresión comodín puede incluir un asterisco (*) o un
signo de interrogación (?) con la definición estándar de "carácter comodín" en
un nombre de archivo.
Si tiene archivos tanto NBE como XML, deberá especificar si desea archivos NBE
o XML en este campo (por ejemplo, *.NBE o *.XML). Si solo emplea un
asterisco (*), se producirá un error.
Véase también
Adición de un origen de evaluación de vulnerabilidades en la página 100
Recuperación de datos de evaluación de vulnerabilidades
Una vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existen
dos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de forma
planificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenes
de evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
104
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic
en Evaluación de vulnerabilidades.
2
Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
Para...
Haga esto...
Recuperar
inmediatamente
• Haga clic en Recuperar.
Planificar
recuperación
1 Haga clic en Editar.
3
El trabajo se ejecutará en segundo plano y se le informará si la recuperación ha
sido correcta (véase Solución de problemas de recuperación de evaluación de
vulnerabilidades en caso contrario).
2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccione
la frecuencia.
3 Haga clic en Aceptar.
4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir los
cambios en el dispositivo.
3
4
Haga clic en Aceptar.
Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager
Evaluación de vulnerabilidades.
y seleccione la ficha
Solución de problemas de recuperación de evaluación de vulnerabilidades
Cuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirse
algún error. A continuación se enumeran algunas de las razones que producen errores de
recuperación.
Este recurso...
Provoca...
Nessus, OpenVAS y
Rapid7 Metasploit
Pro
• Directorio vacío.
• Error de configuración.
• Los datos del directorio ya se recuperaron, por lo que no están actualizados.
Qualys, FusionVM y
Rapid7 Nexpose
Los datos del directorio ya se recuperaron, por lo que no están actualizados.
Nessus
Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de
Nessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la
recuperación de evaluación de vulnerabilidades, no se devuelven datos porque
se perciben como datos antiguos. Para evitar esta situación, elimine el archivo
de Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice un
nombre distinto para el archivo que cargue.
Proveedores de evaluación de vulnerabilidades disponibles
El ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades.
Proveedor de evaluación de vulnerabilidades
Versión
Digital Defense Frontline
5.1.1.4
eEye REM (servidor de eventos de REM)
3.7.9.1721
McAfee Enterprise Security Manager 9.6.0
Guía del producto
105
3
Configuración del ESM
Configuración de dispositivos
Proveedor de evaluación de vulnerabilidades
Versión
eEye Retina
5.13.0, auditorías: 2400
El origen de evaluación de vulnerabilidades eEye Retina es
similar al origen de datos Nessus. Puede elegir entre usar
archivos scp, ftp, nfs o cifs para obtener los archivos .rtd.
Es necesario copiar manualmente los archivos .rtd en un
recurso compartido scp, ftp o nfs antes de extraerlos. Los
archivos .rtd suelen estar ubicados en el directorio Scans
de Retina.
McAfee Vulnerability Manager
6.8, 7.0
Critical Watch FusionVM
4-2011.6.1.48
LanGuard
10.2
Lumension
Compatible con PatchLink Security
Management Console 6.4.5 o posterior
nCircle
6.8.1.6
Nessus
Compatible con Tenable Nessus
versiones 3.2.1.1 y 4.2, así como los
formatos de archivo NBE, .nessus
(XMLv2) y .nessus (XMLv1); también el
formato XML de OpenNessus 3.2.1
NGS
OpenVAS
3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro
4.1.4 Update 1, formato de archivo
XML
Se puede reducir la gravedad de un exploit de Metasploit
que empieza por el nombre Nexpose mediante la adición
de un origen de evaluación de vulnerabilidades Rapid7 al
mismo receptor. Si no se puede deducir, la gravedad
predeterminada es 100.
Saint
Creación automática de orígenes de datos
Es posible configurar el receptor para la creación automática de orígenes de datos mediante las cinco
reglas estándar incluidas en el receptor o las reglas que se creen.
Antes de empezar
Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo
Eventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el
de la barra de herramientas de acciones a fin de extraer
icono Obtener eventos y flujos
eventos, flujos o ambas cosas.
106
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.
2
En la ventana Aprendizaje automático, haga clic en Configurar.
3
En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar
creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que
desee que emplee el receptor para crear los orígenes de datos de forma automática.
4
Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático
existentes y, después, haga clic en Cerrar.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Adición de nuevas reglas de creación automática en la página 107
Adición de nuevas reglas de creación automática
Es posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes de
datos de forma automática.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar.
2
En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la
regla y haga clic en Aceptar.
La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de
reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando
los datos de aprendizaje automático cumplan los criterios definidos en la regla.
Véase también
Creación automática de orígenes de datos en la página 106
Administración del aprendizaje automático de orígenes de datos en la página 108
Página Editor de reglas de adición automática en la página 107
Página Configurar regla de agregación automática en la página 108
Página Editor de reglas de adición automática
Permite ver, seleccionar y aplicar reglas de adición automática a fin de crear orígenes de datos a partir
de los datos de aprendizaje automático.
Tabla 3-41 Definiciones de opciones
Opción
Definición
Activar creación
automática
Crear orígenes de datos automáticamente a partir de los datos de aprendizaje
automático. La creación automática se produce siempre que se extraen alertas del
receptor, ya sea manualmente o de forma automática a través del ESM.
Tabla
Ver las reglas de agregación automática que existen actualmente en el receptor y
si están o no activadas. Es posible activar o desactivar las reglas de esta lista.
Agregar
Agregar una nueva regla de agregación automática.
Editar
Realizar cambios en la regla de agregación automática seleccionada.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
107
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-41 Definiciones de opciones (continuación)
Opción
Definición
Quitar
Eliminar la regla de agregación automática seleccionada.
Ejecutar ahora
Aplicar las reglas activadas a la lista actual de datos de aprendizaje automático.
Botones de flecha Mover la regla de adición automática seleccionada hacia arriba o hacia abajo en la
lista para cambiar su orden. Esto es importante porque los datos de aprendizaje
automático se comparan con las reglas en el orden en que aparecen en la lista, y
se crea un origen de datos en función de la primera regla coincidente.
Véase también
Adición de nuevas reglas de creación automática en la página 107
Página Configurar regla de agregación automática
Defina los criterios para una regla que crea orígenes de datos de forma automática.
Tabla 3-42 Definiciones de opciones
Opción
Definición
Descripción
Escriba un nombre que describa la regla.
Tipo
Seleccione el tipo de regla en la lista desplegable.
Activar
Seleccione esta opción si desea activar esta regla.
Columna Criterios de Defina los criterios con los que deben coincidir los datos recibidos para su adición
coincidencia en
como origen de datos o cliente.
aprendizaje automático
Columna Parámetros Defina la configuración para el origen de datos que se creará si los datos
de creación de cliente/ coinciden con los criterios.
origen de datos
• Escriba el nombre para el origen de datos. Este campo admite variables para
representar la dirección IP, el modelo y el nombre de host. Por ejemplo, podría
escribir Data source - {MODEL}_{HOST}_{IP}.
• Seleccione entre origen de datos y cliente.
• Si se trata de un cliente, seleccione el elemento principal contenedor y,
después, seleccione el tipo de cliente.
• Seleccione el proveedor, el modelo, la zona horaria y la zona.
• Si desea que los datos generados por el origen de datos (no aplicable a
clientes) se almacenen en el ELM, haga clic en Grupo de almacenamiento y
seleccione el grupo de almacenamiento.
Véase también
Adición de nuevas reglas de creación automática en la página 107
Administración del aprendizaje automático de orígenes de datos
Es posible configurar el ESM para el aprendizaje automático de direcciones IP.
Antes de empezar
Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase
Configuración de interfaces).
108
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una
serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de
orígenes de datos.
Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página
Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado
ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras
ella a fin de recopilar los resultados de nuevo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Orígenes de datos | Aprendizaje automático.
2
Defina la configuración según proceda y haga clic en Cerrar.
Véase también
Creación automática de orígenes de datos en la página 106
Adición de nuevas reglas de creación automática en la página 107
Página Aprendizaje automático en la página 110
Página Orígenes con aprendizaje automático en la página 112
Página Editar clientes de orígenes de datos en la página 113
McAfee Enterprise Security Manager 9.6.0
Guía del producto
109
3
Configuración del ESM
Configuración de dispositivos
Página Aprendizaje automático
Permite configurar el receptor para el aprendizaje automático de orígenes de datos.
Tabla 3-43 Definiciones de opciones
Opción
Definición
Activar o
Desactivar
Activar o desactivar el aprendizaje automático.
Los puertos del receptor deben coincidir con los orígenes que envían datos para que se
produzca el aprendizaje automático.
• Seleccione la cantidad de tiempo que desea que se produzca el aprendizaje
automático en el campo horas apropiado (el máximo es 24 horas; 0 corresponde a
continuamente) y haga clic en Activar. El aprendizaje automático dará comienzo y el
texto del botón pasará a ser Desactivar. Cuando el tiempo se acabe, la función de
aprendizaje automático se desactivará y la tabla se rellenará con las direcciones IP
encontradas.
Cuando se utiliza el aprendizaje automático para MEF, no es posible agregar orígenes
de datos de aprendizaje automático mediante un ID de host.
• A fin de detener el proceso antes de que termine la recopilación, haga clic en
Desactivar. La recopilación de datos se detendrá, pero se procesarán los datos
recopilados hasta ese momento.
• Si espera hasta que el proceso finalice, se recopilarán datos durante el periodo de
tiempo indicado. Los datos se procesarán y agregarán a la tabla.
Toda la información recuperada se almacena en el ESM hasta que se activa de nuevo
el aprendizaje automático.
Es posible abandonar la página Aprendizaje automático sin que el aprendizaje automático
deje de funcionar durante el periodo de tiempo seleccionado. Los campos de Estado actual
mostrarán lo que ocurre a lo largo del proceso de aprendizaje automático.
• Aprendizaje automático detenido: no está funcionando actualmente. Esto puede indicar que
el aprendizaje automático no se ha solicitado, o bien que el aprendizaje y el
procesamiento solicitados ya han finalizado.
• Recopilando datos: el aprendizaje automático se ha activado y está recopilando los datos
actualmente. Esto se prolongará durante el periodo de tiempo especificado.
• Procesando datos de aprendizaje automático: el sistema está procesando los datos recopilados.
Esto ocurre después de que se hayan recopilado datos durante el tiempo especificado.
• Se ha producido un error: se ha producido un error mientras se recopilaban o procesaban
los datos.
110
Configurar
Configure reglas para que las direcciones IP recopiladas se puedan agregar a modo de
orígenes de datos de forma automática si cumplen los criterios definidos en la regla.
Tabla
Permite ver las direcciones IP de los orígenes de datos de aprendizaje automático. Cada
uno recibe un nombre formado por la dirección IP y Aprendido automáticamente, e
indica el formato de los registros. El sistema también hace el intento de detectar el tipo
de origen de datos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Tabla 3-43 Definiciones de opciones (continuación)
Opción
Definición
Agregar
Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes de
datos.
1 Seleccione una o varias direcciones IP del mismo tipo en la tabla y haga clic en
Agregar.
2 En la página Orígenes con aprendizaje automático, seleccione una de las opciones.
3 Haga clic en Aceptar. Ocurrirá una de estas cosas:
• Si las direcciones IP seleccionadas no tienen un nombre asociado, se le preguntará
si desea agregar un prefijo a las direcciones seleccionadas.
– Si hace clic en No, las direcciones IP se utilizan como nombres de los orígenes de
datos.
– Si hace clic en Sí, se abre la página Prefijo de nombre. Escriba un nombre y haga clic
en Aceptar. Los nombres de estos orígenes de datos constarán del nombre agregado
y la dirección IP.
• Si las direcciones IP seleccionadas tienen nombres, los orígenes de datos se
agregarán a la lista de la página Orígenes de datos.
Editar nombre
Permite editar el nombre predeterminado del elemento seleccionado. El campo de
nombre tiene un límite de 50 caracteres. Cada nombre debe ser exclusivo.
Quitar
Permite eliminar las direcciones IP seleccionadas de la lista. La lista no se guarda hasta
que se cierra Aprendizaje automático.
Cambiar tipo
Permite cambiar el tipo de la dirección IP seleccionada. Esto puede ser útil si el tipo
sugerido por el sistema no es correcto. La visualización del paquete puede darle la
información necesaria para determinar el tipo correcto.
Actualizar
Permite volver a cargar los datos de la página para ver los cambios en los datos de
aprendizaje automático y el estado del aprendizaje automático de syslog, MEF o
Netflow.
Mostrar
paquete
Permite ver el paquete correspondiente al origen de datos seleccionado.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
McAfee Enterprise Security Manager 9.6.0
Guía del producto
111
3
Configuración del ESM
Configuración de dispositivos
Página Orígenes con aprendizaje automático
Cuando se agregan orígenes mediante el aprendizaje automático como orígenes de datos del receptor,
permite seleccionar las opciones para los orígenes agregados.
Tabla 3-44 Definiciones de opciones
Opción
Definición
Crear orígenes de datos
para los elementos de
aprendizaje automático
seleccionados
Crea nuevos orígenes de datos por cada uno de los orígenes de aprendizaje
automático seleccionados. Si se requiere más información para alguno de los
orígenes, se abre la página Agregar origen de datos para que pueda agregar la
información.
Crear clientes para orígenes Existen las siguientes opciones disponibles:
de datos existentes o crear
• Coincidencia de cliente en tipo: si existe un origen de datos que coincida con la IP
nuevos orígenes de datos
seleccionada, los elementos se agregan a él a modo de orígenes de datos
con clientes
cliente de coincidencia por tipo. Si no existe ningún origen de datos que
coincida con la IP seleccionada, se crea uno. Los elementos restantes se
agregan a él a modo de orígenes de datos cliente de coincidencia por tipo.
• Coincidencia de cliente en IP: esta opción permite seleccionar el origen de datos
al que agregar esta dirección IP a modo de cliente. Cuando se selecciona
esta opción, la lista desplegable se activa. Si existen uno o más orígenes de
datos que coincidan con esta dirección IP, aparecerán aquí. Si no existe
ninguno, la única opción disponible es Ninguno: crear nuevo origen de datos.
Seleccione el origen de datos al que desee agregar esta dirección IP a
modo de cliente y, después, haga clic en Aceptar.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Establecimiento del formato de fecha para los orígenes de datos
Seleccione el formato de las fechas incluidas en los orígenes de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de
datos
2
3
112
.
Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:
•
Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día).
Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el
formato de fecha del origen de datos principal.
•
Mes antes del día: el mes aparece antes que el día (04/23/2014).
•
Día antes del mes: el día aparece antes que el mes (23/04/2014).
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Adición de un origen de datos secundario
Es posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes de
datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2
En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno
secundario.
3
Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de
datos principal.
4
Haga clic en Aceptar.
El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en
la tabla y en el árbol de navegación del sistema.
Página Editar clientes de orígenes de datos
Permite cambiar el tipo, el proveedor, el modelo y la zona horaria de un origen de datos de
aprendizaje automático.
Tabla 3-45 Definiciones de opciones
Opción
Definición
Proveedor de origen de datos Seleccione el proveedor del cliente o el origen de datos de aprendizaje
automático.
Modelo de origen de datos
Seleccione el modelo del cliente o el origen de datos.
Zona horaria
Seleccione la zona horaria del cliente o el origen de datos.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
McAfee Enterprise Security Manager 9.6.0
Guía del producto
113
3
Configuración del ESM
Configuración de dispositivos
Orígenes de datos cliente
Es posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición de
orígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF,
MEF, NPP y WMI, es posible agregar hasta 32 766 clientes de origen de datos.
Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datos
WMI y se ha seleccionado Usar RPC, esta opción no estará disponible.
Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el
número de puerto para diferenciarlos. Esto permite separar los datos utilizando un puerto
distinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayan
llegado.
Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de un
origen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principal
u otro puerto.
Los orígenes de datos cliente tienen las características siguientes:
•
No disponen de derechos de VIPS, directiva ni agente.
•
No aparecen en la tabla Orígenes de datos.
•
Aparecen en el árbol de navegación del sistema.
•
Comparten la misma directiva y los mismos derechos que el origen de datos principal.
•
Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.
Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria
se determina en la consulta enviada al servidor WMI.
Véase también
Adición de un origen de datos cliente en la página 114
Adición de un origen de datos cliente
Puede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes de
datos permitidos en el receptor.
Antes de empezar
Agregue el origen de datos al receptor (véase Adición de un origen de datos).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2
Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.
La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de
datos seleccionado.
3
Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.
Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo,
supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la
114
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
dirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con
1.1.1.1, se dirige al primer cliente porque es más específico.
Véase también
Orígenes de datos cliente en la página 114
Página Clientes de orígenes de datos en la página 115
Página Agregar clientes de orígenes de datos en la página 115
Página Clientes de orígenes de datos
Permite administrar los clientes de un origen de datos.
Tabla 3-46 Definiciones de opciones
Opción
Definición
Tabla de clientes Ver los clientes que forman parte del origen de datos seleccionado en la tabla
Orígenes de datos.
Buscar
Si busca un cliente específico, escriba su nombre en el campo y haga clic en Buscar.
Agregar
Haga clic en esta opción para agregar un cliente al origen de datos.
Editar
Permite editar el cliente seleccionado.
Quitar
Haga clic aquí para eliminar el cliente seleccionado.
Véase también
Adición de un origen de datos cliente en la página 114
Página Agregar clientes de orígenes de datos
Permite agregar un cliente a un origen de datos.
Tabla 3-47 Definiciones de opciones
Opción
Definición
Nombre
Escriba un nombre para este cliente.
Zona horaria
Seleccione la zona horaria en la que se encuentra este origen de datos
cliente.
Orden en fechas
Seleccione el formato para la fecha: primero el mes y luego el día o al
contrario.
Dirección IP, Nombre de
host
Escriba la dirección IP o el nombre de host del cliente. Puede tener más de
un origen de datos cliente con la misma dirección IP. Se utiliza el puerto para
diferenciarlos.
Se requiere TLS en syslog
Seleccione esta opción si desea utilizar el protocolo de cifrado Transport Layer
Security (TLS) para syslog.
Puerto
Indique si desea que el cliente use el mismo puerto que su elemento principal
u otro de los puertos de la lista.
Coincidir por tipo
Seleccione esta opción si desea hacer coincidir los clientes por tipo y,
después, seleccione el proveedor y el modelo del cliente.
Véase también
Adición de un origen de datos cliente en la página 114
Localización de un cliente
La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de
65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de
ser necesario.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
115
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Orígenes de datos | Clientes.
2
Introduzca la información que desee buscar y, a continuación, haga clic en Buscar.
Importación de una lista de orígenes de datos
La opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardada
en formato .csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de forma
individual.
Existen dos situaciones en las que se emplea esta opción:
•
Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una
ubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretende
hacer, véase Traslado de orígenes de datos a otro sistema.
•
Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista
existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos
existentes. Si es lo que necesita hacer, siga este procedimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Exporte una lista de los orígenes de datos que hay actualmente en el receptor.
a
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
datos.
b
Haga clic en Exportar y, después, en Sí para confirmar la descarga.
c
Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en
Guardar.
Se guardará la lista de orígenes de datos existentes.
d
Acceda a este archivo y ábralo.
Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del
receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos).
2
Agregue, edite o elimine orígenes de datos en esta lista.
a
En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar,
editar o quitar.
b
Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja
de cálculo.
No es posible editar la directiva ni el nombre del origen de datos.
c
Guarde los cambios realizados en la hoja de cálculo.
No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario.
116
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
3
Importe la lista al receptor.
a
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
datos.
b
Haga clic en Importar, seleccione el archivo y haga clic en Cargar.
No es posible cambiar la directiva ni el nombre del origen de datos.
Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo.
c
Para importar los cambios, haga clic en Aceptar.
Los cambios con el formato correcto se agregarán.
d
Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes.
e
Haga clic en Descargar todo el archivo y, después, en Sí.
f
Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y
haga clic en Guardar.
g
Abra el archivo descargado.
En él se indican los orígenes de datos con errores.
h
Corrija los errores y, después, guarde y cierre el archivo.
i
Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en
Importar y seleccione el archivo guardado.
En Importar orígenes de datos se indican los orígenes de datos corregidos.
j
Haga clic en Aceptar.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Cargar una definición de origen de datos personalizado en la página 117
Página Cargar una definición de origen de datos personalizado
Permite agregar definiciones de orígenes de datos personalizados al sistema mediante la carga de un
archivo, así como ver la lista de definiciones instaladas.
Tabla 3-48 Definiciones de opciones
Opción Definición
Cargar
Haga clic en esta opción y navegue hasta el archivo .npd de definiciones de orígenes de
datos personalizados que desee agregar al ESM. Este archivo lo genera McAfee.
Ver
Haga clic en esta opción para ver las definiciones de orígenes de datos que se han instalado.
Véase también
Importación de una lista de orígenes de datos en la página 116
McAfee Enterprise Security Manager 9.6.0
Guía del producto
117
3
Configuración del ESM
Configuración de dispositivos
Campos de la hoja de cálculo para la importación de orígenes de datos
La hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunas
de las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos.
Campos obligatorios para todos los orígenes de datos
Columna Descripción
Detalles
op
Introduzca una de estas funciones en la columna op:
Operación que hay que
realizar en el origen de
datos
• adición = Agregar un origen de datos.
• editar = Modificar un origen de datos existente.
• eliminación = Eliminar sin volver a asignar.
Si esta columna se deja en blanco, no se realiza ninguna
acción en el origen de datos.
rec_id
ID de receptor
Este número de ID de dispositivo se puede consultar en la
página Nombre y descripción del receptor.
dsname
Nombre del origen de
datos
Debe ser exclusivo en el receptor.
Campos utilizados por todos los orígenes de datos
Columna
Descripción
Detalles
ip
Dirección IP válida
del origen de datos
• Es obligatoria excepto si el protocolo es "corr".
• Solo se lleva a cabo la validación para los orígenes de datos
activados. Exclusiones:
• Protocolos: cifs, nfs, ftp, scp y http
• Recopilador: "curl" o "mount"
• SNMPTrap: no válido si otros orígenes de datos usan
capturas SNMP y el valor de IPAddress coincide
• nfxsql: no válido si se encuentra la combinación de
IPAddress, "dbname" y "port"
• netflow u opsec: no válidos si se encuentra la combinación
de IPAddress y "port"
• mef es el recopilador (si el analizador es mef, el recopilador
es mef de forma automática): no es válido si se encuentran
mef y el protocolo
118
model
(modelo)
La entrada debe coincidir exactamente, excepto en el caso de
los clientes con MatchByFlag = 1 (coincidencia según
IPAddress).
vendor
(proveedor)
La entrada debe coincidir exactamente, excepto en el caso de
los clientes con MatchByFlag = 1 (coincidencia según
IPAddress).
parent_id
ID del origen de
datos principal
Necesario si se trata de un agente o un cliente. Si este ID es un
nombre, se intenta encontrar el elemento principal del origen
de datos con este nombre que sea un elemento secundario del
receptor especificado.
child_type
Tipo de elemento
secundario de
origen de datos
Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 =
cliente
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Columna
Descripción
Detalles
match_type
Coincidencia de
cliente
Obligatoria cuando se agregan o editan orígenes de datos: 1 =
coincidencia por dirección IP, 2 = coincidencia por tipo de
terceros.
parsing
Indicador de
activación del
origen de datos
Indicador de activación (yes/no); el valor predeterminado es
yes.
Campos utilizados por orígenes de datos que no son clientes
Columna
Descripción
Detalles
snmp_trap_id ID de perfil de la captura
SNMP
El valor predeterminado es 0.
elm_logging
Registrar en ELM (yes/no)
El valor predeterminado es no.
pool
Nombre del grupo de ELM
El valor predeterminado es en blanco.
meta-vendor
El valor predeterminado es en blanco.
meta-product
El valor predeterminado es en blanco.
meta_version
El valor predeterminado es en blanco.
url
URL de detalles de evento
El valor predeterminado es en blanco.
parser
Método de análisis del formato El valor predeterminado es Predeterminado.
de datos
collector
Método de recuperación de
datos
El valor predeterminado es Predeterminado. Si parser es
mef, collector se define como mef. Se pueden emplear
scp, http, ftp, nfs y cifs si el formato de archivo plano
es compatible con el protocolo.
Campos obligatorios si el formato es CEF o MEF
Columna Descripción
encrypt
Detalles
Marca de cifrado del El valor predeterminado es F. También se usa si Format (Formato) es
origen de datos
Default (Predeterminado), Retrieval (Recuperación) es mef (mef) y
Protocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismo
para todos los MEF con la misma dirección IP.
hostname Nombre o ID de
host
El valor predeterminado es en blanco. Es opcional si Protocolo es
gsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas.
aggregate Retransmisión de
syslog
Los valores válidos son en blanco y syslogng (syslogng). El valor
predeterminado es en blanco. También se usa si Format (Formato) es
Default (Predeterminado), Retrieval (Recuperación) es Default
(Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog).
tz_id
El valor predeterminado es en blanco. También se emplea si el
Formato es Predeterminado y se cumple alguna de estas condiciones:
ID de zona horaria
• El Protocolo es syslog y el Modelo no es Adiscon Windows Events.
• El Protocolo es nfxsql.
• El Protocolo es nfxhttp.
• El Protocolo es correo electrónico.
• El Protocolo es estream.
También se usa para la compatibilidad con algunos formatos de
archivo plano.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
119
3
Configuración del ESM
Configuración de dispositivos
Otros campos
Columna
Descripción
Detalles
profile_id
Nombre o ID del perfil
El valor predeterminado es en blanco. Si el
nombre del perfil no puede encontrar el
registro del perfil, se registra un error.
exportMcAfeeFile
Indicador de transporte
del origen de datos
El valor predeterminado es no. En caso de
usar yes, el origen de datos se incluye en el
transporte de origen de datos.
exportProfileID
Nombre de perfil del
recurso compartido
remoto
El valor predeterminado es en blanco.
mcafee_formated_file
Indicador de análisis de
datos sin procesar
El valor predeterminado es no. Si se utiliza
yes, el método de análisis emplea el archivo
de datos sin procesar.
mcafee_formated_file_xsum Usar el indicador de
suma de comprobación
El valor predeterminado es no. Si el valor es
yes, use la suma de comprobación antes de
analizar el archivo de datos sin procesar.
mcafee_formated_file_ipsid
El ID original de Nitro
IPS
Obligatoria si se emplea el archivo de datos
sin procesar.
zoneID
Nombre de la zona
El valor predeterminado es en blanco.
Policy_Name
Nombre o ID de la
directiva
El valor predeterminado es en blanco. Solo
se usa cuando se agregan orígenes de datos
nuevos. Este valor no se actualiza en una
operación de edición.
Campos validados para protocolos específicos
El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default
(Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF
(MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan según
el protocolo especificado en caso de no indicarse el perfil.
Tabla 3-49
Campos de Netflow — Inicio en columna AF
Columna
Descripción
netflow_port
El valor predeterminado es 9993.
netflow_repeat_enabled Reenvío activado
El valor predeterminado es F.
netflow_repeat_ip
Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valor
predeterminado es en blanco.
netflow_repeat_port
Puerto de reenvío
Tabla 3-50
El valor predeterminado es 9996.
Campos de rdep — Inicio en columna AJ
Columna
120
Detalles
Descripción
Detalles
rdep_sdee_username
Obligatoria.
rdep_sdee_password
Obligatoria.
rdep_sdee_interval
El valor predeterminado es 60 segundos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-51 Campos de Opsec — Inicio en columna AM
Columna
Descripción
opsec_parent
Indicador de principal Obligatoria (T/F). T = el origen de datos es
(tipo de dispositivo)
principal. F = el origen de datos no es principal.
opsec_authentication
Indicador de uso de
autenticación
Se emplea si el principal es T; el valor
predeterminado es F.
opsec_appname
Nombre de aplicación
Obligatoria si authentication = T, opcional si es
F; el valor predeterminado es en blanco.
opsec_actkey
Clave de activación
Obligatoria si authentication = T, opcional si es
F; el valor predeterminado es en blanco.
opsec_parent_id
Nombre del elemento El nombre del elemento principal es necesario si
principal del origen de parent = F. Se registra un error si el nombre del
datos
elemento principal del origen de datos no puede
encontrar el origen de datos principal.
opsec_port
Detalles
Se emplea si el principal es T; el valor
predeterminado es 18184.
opsec_encryption
Indicador de uso de
cifrado
Se emplea si el principal es T; el valor
predeterminado es F.
opsec_comm_method
Método de
comunicación
Se emplea si el principal T; el valor
predeterminado es en blanco. Debe ser un valor
válido:
• '' (en blanco)
• "sslca"
• "asym_sslca"
• "sslca_clear"
• "asym_sslca_com
p"
• "sslca_comp"
• "asym_sslca_rc4"
• "sslca_rc4"
• "asym_sslca_rc4_
comp"
• "sslca_rc4_comp"
• "ssl_clear"
opsec_server_entity_dn
Nombre distintivo de
entidad de servidor
El valor predeterminado es en blanco. Se emplea
si el principal es T. Obligatoria si el tipo de
dispositivo es servidor de registro/CLM o
SMS/CMA secundario.
opsec_collect_audit_events Tipo de recopilación
de OPSEC "Eventos
de auditoría"
Se emplea si el principal es T; el valor
predeterminado es "yes".
opsec_collect_log_events
Marca de tipo de
recopilación de
eventos de eventos
de registro
Se emplea si el principal es T; el valor
predeterminado es "yes".
opsec_type
Tipo de dispositivo
Obligatorio. Los valores válidos para este campo
son:
Valor Nombre en lista desplegable del
cliente ligero
McAfee Enterprise Security Manager 9.6.0
0
SMS/CMA
1
Dispositivo de seguridad
2
Servidor de registro/CLM
3
SMS/CMA secundario
Guía del producto
121
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-52 Campos de WMI — Inicio en columna AY
Columna
Descripción
Detalles
wmi_use_rpc
Marca de uso de RPC El valor predeterminado es no.
wmi_logs
Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY.
wmi_nbname
Nombre de NetBIOS
Obligatoria si Recuperación = Predeterminado; de lo contrario, es
opcional. El valor predeterminado es en blanco.
wmi_username Nombre de usuario
Obligatoria si Recuperación = Predeterminado; de lo contrario, es
opcional. El valor predeterminado es en blanco.
wmi_password Contraseña
Obligatoria si Recuperación = Predeterminado; de lo contrario, es
opcional. El valor predeterminado es en blanco.
wmi_interval
El valor predeterminado es 600.
wmi_version
El valor predeterminado es 0.
Tabla 3-53 Campos de gsyslog — Inicio en columna BF
Columna
Descripción
Detalles
gsyslog_autolearn Marca de compatibilidad con
syslogs genéricos
Los valores válidos son: T, F, RECUENTO. El valor
predeterminado es F.
gsyslog_type
Obligatoria si autolearn = T; de lo contrario es
opcional. El valor predeterminado es 49190.
Asignación de regla genérica
gsyslog_mask
Se usa si Recuperación = Predeterminado. El valor
predeterminado es 0.
Tabla 3-54 Campo de corr — Columna BI
Columna Descripción
Detalles
corr_local Marca de uso de datos
locales
El valor predeterminado es F. Si el modelo de receptor es
ERC-VM-25 o ERC-VM-500, el origen de datos no se
agrega. De lo contrario, no puede haber otros orígenes de
datos que empleen este protocolo.
Tabla 3-55 Campos de sdee — Inicio en columna BJ
Columna
122
Descripción Detalles
sdee_username
Obligatoria.
sdee_password
Obligatoria.
sdee_uri
El valor predeterminado es cgi-bin/sdee-server.
sdee_interval
El valor predeterminado es 600 segundos.
sdee_port
El valor predeterminado es 443.
sdee_proxy_port
El valor predeterminado es 8080.
sdee_use_ssl
El valor predeterminado es T.
sdee_proxy_ip
Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_proxy_username
Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_proxy_password
Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_use_proxy
El valor predeterminado es F.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-56 Campos de mssql — Inicio en columna BU
Columna
Descripción
Detalles
mssql_parent
Tipo de dispositivo
El valor predeterminado es T. Servidor = T. Dispositivo
gestionado = F
mssql_port
Se emplea si el principal = T. El valor predeterminado es
1433.
mssql_interval
Se emplea si el principal = T. El valor predeterminado es
600 segundos.
mssql_username
Obligatoria si el principal = T. El valor predeterminado es
en blanco.
mssql_password
Obligatoria si el principal = T. El valor predeterminado es
en blanco.
mssql_parent_id Nombre del elemento
principal
Se requiere si parent = F. Se registra un error si el
nombre del principal no puede encontrar el origen de
datos.
Tabla 3-57 Campos de syslog — Inicio en columna CA
Columna
Descripción
Detalles
syslog_untrust_iface
Interfaz de menos
confianza
Obligatoria si el Proveedor es CyberGuard.
syslog_burb
Nombre de grupo de
interfaces de Internet
Obligatoria si el Proveedor es McAfee y el Modelo es
McAfee Firewall Enterprise.
syslog_sg_mc
Marca de centro de
administración
Opcional si el Proveedor es Stonesoft Corporation;
el valor predeterminado es no.
syslog_nsm
Marca de
administrador de
seguridad
Opcional si el Proveedor es Juniper Networks y el
modelo es Netscreen Firewall/Security Manager
o Netscreen IDP; el valor predeterminado es no.
syslog_wmi_syslog_format
Opcional si el Proveedor es Microsoft y el modelo
es Adiscon Windows Events; el valor
predeterminado es 0.
syslog_wmi_version
Opcional si el Proveedor es Microsoft y el modelo
es Adiscon Windows Events; el valor
predeterminado es Windows 2000.
syslog_aruba_version
Opcional si el Proveedor es Aruba; el valor
predeterminado es 332.
syslog_rev_pix_dir
Invertir valores de red Opcional si el Proveedor es Cisco y el modelo es
PIX/ASA o Firewall Services Module; el valor
predeterminado es no.
syslog_aggregate
Retransmisión de
syslog
Los valores válidos son en blanco y Proveedor. El
valor predeterminado es en blanco.
syslog_require_tls
T/F
Indica si se está usando TLS para este origen de
datos.
syslog_syslog_tls_port
syslog_mask
McAfee Enterprise Security Manager 9.6.0
El puerto que se debe usar para TLS si se utiliza
con syslog.
Máscara de dirección
IP
(Opcional) Permite aplicar una máscara a una
dirección IP de forma que se acepte un intervalo
de direcciones IP. Un cero (0) en el campo
significa que no se usa ninguna máscara. El
valor predeterminado es 0.
Guía del producto
123
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-58 Campos de nfxsql — Inicio en columna CM
Columna
Descripción
nfxsql_port
Detalles
El valor predeterminado depende del proveedor y el modelo:
Predeterminado
Proveedor
Modelo
9117
Enterasys
Networks
Dragon Sensor o Dragon
Squire
1433
IBM
ISS Real Secure Desktop
Protector, ISS Real Secure
Network o ISS Real
Secure Server Sensor
1433
McAfee
ePolicy Orchestrator,
firewall de ePolicy
Orchestrator o sistema de
prevención de intrusiones
en host de ePolicy
Orchestrator
3306
Symantec
Symantec Mail Security
for SMTP
1433
Websense
Websense Enterprise
1433
Microsoft
Operations Manager
1433
NetIQ
NetIQ Security Manager
1433
Trend Micro
Control Manager
1433
Zone Labs
Integrity Server
1433
Cisco
Security Agent
1127
Sophos
Sophos Antivirus
1433
Symantec
Symantec Antivirus
Corporate Edition Server
443
Otros
nfxsql_userid
Obligatoria.
nfxsql_password
Obligatoria.
nfxsql_dbname
Nombre de la
base de datos
(Opcional) El valor predeterminado es en blanco.
nfxsql_splevel
Nivel de
Service Pack
Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es
ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector),
ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure
Server Sensor (ISS Real Secure Server Sensor). El valor
predeterminado es SP4 (SP4).
nfxsql_version
(Opcional)
• El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es
Oracle Audits.
• El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es
McAfee y Model (Modelo) es ePolicy Orchestrator, Firewall de
ePolicy Orchestrator o Host IPS de ePolicy Orchestrator.
124
nfxsql_logtype
Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA,
GA o ambas).
nfxsql_sid
SID de base de Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor
datos
predeterminado es en blanco.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-59 Campos de nfxhttp — Inicio en columna CU
Columna
Descripción
Detalles
nfxhttp_port
El valor predeterminado es 433.
nfxhttp_userid
Obligatoria.
nfxhttp_password
Obligatoria.
nfxhttp_mode
El valor predeterminado es secure.
Tabla 3-60 Campos de email — Inicio en columna CY
Columna
Descripción
Detalles
email_port
El valor predeterminado es 993.
email_mailbox
Protocolo de correo
El valor predeterminado es imap pop3.
email_connection
Tipo de conexión
El valor predeterminado es ssl clear.
email_interval
El valor predeterminado es 600 segundos.
email_userid
Obligatoria.
email_password
Obligatoria.
Tabla 3-61 Campos de estream — Inicio en columna DE
Columna
Descripción
Detalles
Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación,
de forma que actualmente se omiten.
jestream_port
El valor predeterminado es
993.
jestream_password
Obligatoria.
jestream_estreamer_cert_file
Obligatoria.
jestream_collect_rna
Tabla 3-62 Campos de origen de archivos — Inicio en columna DI
Columna
Descripción
Detalles
Se emplea para los protocolos cifs, ftp, http, nfs y scp.
fs_record_lines
Número de líneas
por registro
Se usa si existe compatibilidad con formato de archivo plano. El valor
predeterminado es 1.
fs_file_check
Intervalo
El valor predeterminado es 15 minutos.
fs_file_completion
El valor predeterminado es 60 segundos.
fs_share_path
El valor predeterminado es en blanco.
fs_filename
Expresión comodín
Obligatoria.
fs_share_name
Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se
usa).
fs_username
Se emplea si el Protocolo es cifs, ftp o scp. El valor
predeterminado es en blanco.
fs_password
Se emplea si el Protocolo es cifs, ftp o scp. El valor
predeterminado es en blanco.
fs_encryption
Se emplea si el Protocolo es ftp o http. El valor
predeterminado es no. También se usa si hay compatibilidad
con formato de archivo plano y el Protocolo es ftp.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
125
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-62 Campos de origen de archivos — Inicio en columna DI (continuación)
Columna
Descripción
fs_port
fs_verify_cert
Detalles
Se emplea si el Protocolo es ftp; el valor predeterminado es
990. Se emplea si el Protocolo es http; el valor predeterminado
es 443. También se usa si hay compatibilidad con formato de archivo
plano y el Protocolo es ftp. El valor predeterminado es 80.
Verificar certificado
SSL
Se emplea si el Protocolo es ftp o http. El valor
predeterminado es no. También se usa si hay compatibilidad
con formato de archivo plano y el Protocolo es ftp.
fs_compression
Se emplea si el Protocolo es scp o sftp. El valor
predeterminado es no.
fs_login_timeout
Se emplea si el Protocolo es scp. El valor predeterminado es 1
segundo.
fs_copy_timeout
Se emplea si el Protocolo es scp. El valor predeterminado es 1
segundo.
fs_wmi_version
Se emplea si hay compatibilidad con formato de archivo plano, el
Proveedor es Microsoft y el Modelo es Adiscon Windows Events. El
valor predeterminado es Windows 2000.
fs_aruba_version
Se emplea si hay compatibilidad con formato de archivo plano y el
Proveedor es Aruba. El valor predeterminado es 332.
fs_rev_pix_dir
Invertir valores de
red
Se emplea si hay compatibilidad con formato de archivo plano, el
Proveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module.
El valor predeterminado es no.
fs_untrust_iface
Interfaz de menos
confianza
Obligatoria si hay compatibilidad con formato de archivo plano y el
Proveedor es CyberGuard.
fs_burb
Nombre de grupo de Obligatoria si hay compatibilidad con formato de archivo plano, el
interfaces de
Proveedor es McAfee y el Modelo es McAfee Firewall
Internet
Enterprise.
fs_nsm
Marca de
administrador de
seguridad
Opcional si hay compatibilidad con formato de archivo plano, el
Proveedor es Juniper Networks y el Modelo es Netscreen Firewall/
Security Manager o Netscreen IDP. El valor predeterminado es no.
fs_autolearn
Admitir syslogs
genéricos
Opcional si hay compatibilidad con formato de archivo plano y la
Recuperación es gsyslog. Los valores válidos son: T, F y
RECUENTO. El valor predeterminado es F.
fs_type
Asignación de regla
genérica
Obligatoria si autolearn = T; de lo contrario es opcional. El
valor predeterminado es 49190.
fs_binary
El valor predeterminado es no.
fs_protocol
El valor predeterminado es ''. Se emplea si el analizador es
el predeterminado y el recopilador es un origen de archivos
nfs.
fs_delete_files
Tabla 3-63 Campos de sql_ms — Inicio en columna EH
Columna
Detalles
sql_ms_port
El valor predeterminado es 1433.
sql_ms_userid
Obligatoria.
sql_ms_password
Obligatoria.
sql_ms_dbname
126
Descripción
Nombre de la base de datos
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-64 Campo de nas — Columna EL
Columna Descripción Detalles
nas_type
El valor predeterminado es 49190 (Definido por el usuario 1). Este campo
solo se utiliza para orígenes de datos de McAfee/PluginProtocol.
Tabla 3-65 Campo de ipfix — Columna EM
Columna
Descripción Detalles
ipfix_transport
Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminado
es TCP.
Tabla 3-66 Campos de snmp — Inicio en columna EN
Columna
Descripción
Detalles
snmp_authpass
Contraseña de
autenticación
Obligatoria si:
• traptype = v3trap y secLevel = authPriv o authNoPriv.
• traptype = v3inform y secLevel = authPriv o authNoPriv.
snmp_authproto
Protocolo de
autenticación
Los valores válidos son MD5 o SHA1. Obligatoria si:
• traptype = v3trap y secLevel = authPriv o authNoPriv.
• traptype = v3inform y secLevel = authPriv o authNoPriv con
otros tipos de capturas. El valor predeterminado es
MD5.
snmp_community Nombre de comunidad
Obligatoria si traptype = v1trap, v2trap, v2inform.
snmp_engineid
Obligatoria si traptype = v3trap.
snmp_privpass
Contraseña de
privacidad
Obligatoria si:
• traptype = snmpv3trap y secLevel = authPriv.
• traptype = snmpv3inform y secLevel = authPriv.
snmp_privproto
Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si:
• traptype = snmpv3trap y secLevel = authPriv.
• traptype = snmpv3inform y secLevel = authPriv.
Para otros tipos de traptype, el valor predeterminado es
DES.
snmp_seclevel
Nivel de seguridad
Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv.
Obligatoria si traptype = v3trap o v3inform.
Para otros tipos de traptype, el valor predeterminado es
noAuthNoPriv.
snmp_traptype
Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform,
v3trap y v3inform.
snmp_username
Obligatoria si traptype = snmpv3 o snmpv3inform.
type
Asignación de regla
predeterminada
snmp_version
McAfee Enterprise Security Manager 9.6.0
Obligatoria. El valor predeterminado es 49190.
Se rellena automáticamente.
Guía del producto
127
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-67 sql_ws — Inicio en columna EY
Columna
Descripción
Detalles
sql_ws_port
(Opcional) El valor predeterminado depende
del proveedor. El valor predeterminado para
Websense es 1433.
sql_ws_userid
Obligatoria.
sql_ws_password
Obligatoria.
sql_ws_dbname
(Opcional) El valor predeterminado es en
blanco.
sql_ws_db_instance Nombre de instancia de la base Obligatoria.
de datos
Tabla 3-68 sql — Inicio en columna FD
Columna
Descripción
sql_port
Puerto utilizado para conectar con la
base de datos
sql_userid
ID de usuario de la base de datos
sql_password
Contraseña de la base de datos
sql_dbinstance
Nombre de la instancia de la base de
datos
Detalles
sql_config_logging
Los valores válidos son 0 (para Base de
datos de SQL Server Express) y 1 (para Base
de datos SQL)
sql_protocol
Si el valor de sql_config_logging es 1, el de
esta columna es gsql.
sql_dbname
Nombre de la base de datos
Tabla 3-69 oracleidm — Inicio en columna FK
Columna
Descripción
Detalles
oracleidm_port
Puerto usado para conectar con la base de datos de Oracle Identity
Manager.
oracleidm_userid
ID de usuario de la base de datos de Oracle Identity Manager.
oracleidm_password
Contraseña de la base de datos de Oracle Identity Manager
oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager
oracleidm_dpsid
Nombre TNS de la conexión utilizada
Tabla 3-70 text — Inicio en columna FP
Columna
Descripción
Detalles
Estos campos se utilizan con el origen de datos ePolicy Orchestrator.
text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos de
ePolicy Orchestrator.
128
text_dbname
Nombre de la base de datos de ePolicy Orchestrator
text_password
Contraseña de la base de datos de ePolicy Orchestrator
text_port
Puerto utilizado para conectar con la base de datos de ePolicy
Orchestrator
text_userid
ID de usuario de la base de datos de ePolicy Orchestrator
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-71 gsql — Inicio en columna FU
Columna
Descripción
Detalles
gsql_port
(Opcional) El valor predeterminado depende del
proveedor. El valor predeterminado para Websense
es 1433.
gsql_userid
Obligatoria.
gsql_password
Obligatoria.
gsql_dbname
(Opcional) El valor predeterminado es en blanco.
gsql_db_instance Nombre de instancia de la
base de datos
Obligatoria.
gsql_nsmversion Versión de NSM
Obligatoria. Si se deja en blanco, el valor
predeterminado es la versión 6.x.
Migración de orígenes de datos a otro receptor
Es posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema.
Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar los
orígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevo
receptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos del
receptor actual al nuevo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al
receptor y haga clic en Orígenes de datos.
2
Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.
3
Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar.
Véase también
Página Migrar orígenes de datos en la página 129
Página Migrar orígenes de datos
Permite seleccionar el receptor al que transferir los orígenes de datos.
Tabla 3-72 Definiciones de opciones
Opción
Definición
Receptor de destino Indica todos los receptores del ESM. Seleccione el receptor al que desee mover los
orígenes de datos seleccionados.
Véase también
Migración de orígenes de datos a otro receptor en la página 129
Traslado de orígenes de datos a otro sistema
A fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesario
seleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar en
una ubicación remota y finalmente importarlos al otro receptor.
Antes de empezar
Para llevar a cabo esta función es necesario disponer de derechos de administración de
dispositivos en ambos receptores.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
129
3
Configuración del ESM
Configuración de dispositivos
Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación
segura a un receptor situado en una ubicación no segura.
Existen limitaciones a la hora de exportar información de orígenes de datos:
•
No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow).
•
Los eventos de origen de los eventos correlacionados no se muestran.
•
Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no
procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde
el archivo.
Para...
Haga esto...
Seleccionar los
orígenes de datos y
la ubicación remota
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic
en Origen de datos.
2 Seleccione el origen de datos y haga clic en Editar.
3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile.
Los datos se exportarán a una ubicación remota y se configurarán mediante un
perfil.
4 Haga clic en Aceptar.
A partir de este momento, los datos sin procesar generados por este origen de
datos se copiarán en la ubicación remota.
Crear el archivo de
datos sin procesar
1 Acceda a la ubicación remota donde están almacenados los datos sin procesar.
Crear un archivo
que describa los
orígenes de datos
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después,
haga clic en Origen de datos | Importar.
2 Guarde los datos sin procesar generados en una ubicación que permita mover el
archivo al segundo receptor (como una memoria extraíble que se pueda
transportar a la ubicación no segura).
2 Localice el archivo de orígenes de datos movido y haga clic en Cargar.
3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó
los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de
recurso compartido remoto y agregue el perfil.
4 Haga clic en Aceptar.
Los orígenes de datos se agregarán al segundo receptor y se accederá a los datos
sin procesar a través del perfil de recurso compartido remoto.
Importar archivos
1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo
de datos sin
receptor y haga clic en Importar.
procesar y archivos
de orígenes de
2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página
datos
Importar orígenes de datos muestra los orígenes de datos que se importarán.
3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó
los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de
recurso compartido remoto y agregue el perfil (véase Configuración de perfiles).
4 Haga clic en Aceptar.
130
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Selección del método de recopilación de orígenes de datos Leer final de archivo(s)
Si selecciona Origen de archivo NFS u Origen de archivo CIFS en el campo Recuperación de datos al agregar un
origen de datos, es necesario elegir un método de recopilación.
Las opciones son las siguientes.
•
Copiar archivo(s): se copian los registros completos desde el recurso compartido remoto al receptor
para su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentemente
con información nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento.
•
Leer final de archivo(s): los registros se leen de forma remota y solamente se leen los eventos nuevos.
Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si
el archivo cambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el
principio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono Agregar origen
de datos
de la barra de herramientas de acciones.
2
Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en el
campo Recuperación de datos.
3
En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes.
4
•
Registros multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una
longitud dinámica.
•
Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y el
comienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de
registro.
•
El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe
analizar como una expresión regular en lugar de como un valor estático.
•
Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primera
ejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los
eventos nuevos.
•
Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a
los directorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión
comodín. Si no se selecciona, solamente se buscan los archivos del directorio principal.
Rellene los campos restantes y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
131
3
Configuración del ESM
Configuración de dispositivos
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Agregar origen de datos en la página 96
Visualización de los archivos generados por los orígenes de datos
A fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Ver
archivos. No es posible acceder a ellos mediante una vista de ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el origen de datos de McAfee.
2
En la barra de herramientas de acciones, haga clic en el icono Ver archivos
3
Siga uno de estos procedimientos:
4
.
•
Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivo
concreto.
•
Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos
generados durante ese intervalo.
•
Haga clic en Actualizar para actualizar la lista de archivos.
•
Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo.
Haga clic en Cancelar para cerrar la página.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Tipos de orígenes de datos definidos por el usuario
En esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada,
que se muestra en el editor de orígenes de datos.
ID
132
Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de
regla
Tipo de editor
de reglas
49190 User Defined 1
N/D
syslog
UserDefined1_
Generic
49191 User Defined 2
N/D
syslog
UserDefined2_
Generic
49192 User Defined 3
N/D
syslog
UserDefined3_
Generic
49193 User Defined 4
N/D
syslog
UserDefined4_
Generic
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
ID
Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de
regla
Tipo de editor
de reglas
49194 User Defined 5
N/D
syslog
UserDefined5_
Generic
49195 User Defined 6
N/D
syslog
UserDefined6_
Generic
49196 User Defined 7
N/D
syslog
UserDefined7_
Generic
49197 User Defined 8
N/D
syslog
UserDefined8_
Generic
49198 User Defined 9
N/D
syslog
UserDefined9_
Generic
49199 User Defined 10
N/D
syslog
UserDefined10_
Generic
Orígenes de datos admitidos
McAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptores
pueden tener un máximo de 2000, 200 o 50 orígenes de datos.
Para ver las guías de configuración de los orígenes de datos actuales, diríjase al Centro de
conocimiento.
Estos dispositivos pueden tener 2000 orígenes de datos asociados:
•
ERC-1225
•
ENMELM-5600
•
ERC-1250
•
ENMELM-5750
•
ERC-2230
•
ENMELM-6000
•
ERC-2250
•
ELMERC-2230
•
ERC-2600
•
ELMERC-2250
•
ERC-3450
•
ELMERC-2600
•
ERC-4245
•
ELMERC-4245
•
ERC-4600
•
ELMERC-4600
•
ENMELM-2250
•
ESMREC-4245
•
ENMELM-4245
•
ESMREC-5205
•
ENMELM-4600
•
ESMREC-5510
•
ENMELM-5205
El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200.
Estas son las correspondencias de los intervalos de orígenes de datos:
•
Tipos de orígenes de datos: 1–48 999
•
Tipos definidos por el usuario: 49 001–49 999
•
Reservado para McAfee (por ejemplo, grupos de reglas): 50 001–65 534
Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de
datos de McAfee.
Configuración para orígenes de datos específicos
Algunos orígenes de datos requieren más información y opciones de configuración especiales.
Véanse las secciones siguientes para obtener detalles.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
133
3
Configuración del ESM
Configuración de dispositivos
•
Check Point
•
Big Fix
•
IBM Internet Security Systems
SiteProtector
•
Formato de evento común
•
McAfee ePolicy Orchestrator
•
ArcSight
•
ePolicy Orchestrator 4.0
•
Security Device Event Exchange
•
NSM-SEIM
•
Analizador de syslog avanzado
•
Compatibilidad con la retransmisión de
syslog
•
Registro de eventos de WMI
•
Adiscon
También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centro
de conocimiento.
WMI Event Log
WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según la
definición de Distributed Management Task Force (DMTF).
Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite el
uso compartido de la información de administración por parte de las aplicaciones de administración. La
capacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMI
resulte útil.
WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función.
Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del
receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos.
El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows.
De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es
posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los
datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la
tabla de eventos.
Se necesitan privilegios de administrador u operador de copia de seguridad para los registros de
eventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos como
el usuario están correctamente configurados (véase Configuración para la extracción de registros de
seguridad de Windows).
Se admiten estos dispositivos adicionales del origen de datos de WMI:
•
McAfee Antivirus
•
Microsoft SQL Server
•
Windows
•
RSA Authentication Manager
•
Microsoft ISA Server
•
Symantec Antivirus
•
Microsoft Active Directory
•
Microsoft Exchange
Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte
Configuración de Adiscon.
Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log.
134
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Configuración para la extracción de registros de seguridad de Windows
Cuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración pueden
extraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y el
usuario estén bien configurados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de
eventos.
2
Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows.
3
Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo
para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos).
4
Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar.
Origen de datos de correlación
Un origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patrones
sospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones e
inserta estas alertas en la base de datos de alertas del receptor.
Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva de
correlación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes y
distintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican su
comportamiento.
Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a la
configuración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación de
un receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de base
de la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizados
para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas y
establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre la
directiva de correlación, consulte Reglas de correlación.
Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es Correlation
Engine.
Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del
receptor.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
135
3
Configuración del ESM
Configuración de dispositivos
Asociación de gravedades y acciones
Los parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos es
asociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema.
•
severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor
gravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, el
dispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno y
diez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar como
gravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedente
de McAfee IntruShield que muestra la gravedad en forma de texto.
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la
asociación de gravedad está en negrita solo para resaltarla):
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un
formato que se puede utilizar.
setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la
gravedad. Todos los modificadores de setparm funcionan de esta forma.
•
action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada
por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al
usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH.
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que
se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones
que se pueden utilizar.
136
•
0 = nulo
•
20 = detención
•
1 = paso
•
21 = Detección
•
2 = rechazo
•
22 = De confianza
•
3 = supresión
•
23 = No fiable
•
4 = sdrop
•
24 = Falso positivo
•
5 = alerta
•
25 = alerta-rechazo
•
6 = predeterminado
•
26 = alerta-supresión
•
7 = fallo
•
27 = alerta-sdrop
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
•
8 = correcto
•
28 = reinicio
•
9 = error
•
29 = bloqueo
•
10 = emergencia
•
30 = limpieza
•
11 = crítico
•
31 = limpieza-error
•
12 = advertencia
•
32 = continuación
•
13 = informativo
•
33 = infectado
•
14 = depuración
•
34 = movimiento
•
15 = estado
•
35 = movimiento-error
•
16 = adición
•
36 = cuarentena
•
17 = modificación
•
37 = cuarentena-error
•
18 = eliminación
•
38 = eliminación-error
•
19 = inicio
•
39 = denegado
En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema
interpreta como Error.
A continuación se ofrece un desglose de la estructura de una regla.
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
Analizador de syslog avanzado
El analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidos
en mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP
cómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventos
específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.
El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la página
Agregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente los
mensajes o interprete completamente puntos de datos relacionados con los eventos recibidos.
También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX.
Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas para
su entorno Linux o UNIX.
Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como
proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del
fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la
dirección IP del receptor.
Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos
de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar
datos de eventos de forma genérica.
Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades
de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de
eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en
realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor.
La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea
un formato muy similar al de Snort.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
137
3
Configuración del ESM
Configuración de dispositivos
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque
los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las
referencias a subcapturas de PCRE sin entrecomillar.
Las reglas se definen como sigue.
Sección
Campo
Encabezado de
regla
Descripción
El encabezado de la regla contiene la acción Alert y el formato any any
any. La regla es:
ALERT any any any -> any any
Acción
Qué hacer con el evento cuando se produzca una coincidencia. Las
opciones son:
• ALERT: registrar el evento
• DROP: registrar el evento pero no reenviarlo
• SDROP: no registrar el evento ni reenviarlo
• PASS: reenviarlo si se ha definido, pero no registrarlo
Protocol
Si el evento define un protocolo, se filtra la coincidencia efectiva en
función del protocolo.
Src/Dst IP
Si el evento define una dirección IP de origen o destino, se filtra la
coincidencia efectiva en función de la dirección.
Src/Dst Port Si el evento define un puerto de origen o destino, se filtra la
coincidencia efectiva en función del puerto.
Cuerpo de la
regla
138
El cuerpo de la regla contiene la mayoría de los criterios de
coincidencia y define cómo se deben analizar y registrar los datos en la
base de datos de ESM. Los elementos del cuerpo de la regla se definen
mediante pares de palabra clave-opción. Algunas palabras clave no
tienen opción.
msg
(Obligatorio) El mensaje que asociar con la regla. Se trata de la cadena
mostrada en el cliente ligero de ESM con fines de generación de
informes a menos que se omita mediante un mensaje pcre/setparm
detectado (véase más adelante). La primera tarea de msg es el nombre
de la categoría seguido por el mensaje en sí (msg: "mensaje de regla
de categoría").
content
(Opcional, una o varias instancias) La palabra clave content es un
calificador de texto sin caracteres comodín para el filtrado previo de
eventos a medida que pasan por el grupo de reglas y que puede
contener espacios (por ejemplo, content: "búsqueda 1"; content "algo
más").
procname
En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID)
forma parte de un encabezado de mensaje syslog estandarizado. La
palabra clave procname se puede utilizar a fin de filtrar las
coincidencias de eventos para la regla. Se emplea para excluir o filtrar
coincidencias de eventos en las que dos procesos de un servidor Linux
o UNIX pueden tener un texto de mensaje idéntico o similar.
adsid
El ID de origen de datos que utilizar. Este valor omite el de Asignación de
regla predeterminada del editor de orígenes de datos.
sid
ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente
ligero de ESM a menos que se omita mediante un sid pcre/setparm
detectado.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Sección
Campo
Descripción
rev
Revisión de la regla. Se emplea para rastrear los cambios.
severity
Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se
asigna a los eventos que coinciden con la regla.
pcre
La palabra clave PCRE es una expresión regular compatible con Perl
que se compara con los eventos entrantes. La palabra clave PCRE se
delimita mediante comillas, y todas las apariciones de "/" se consideran
caracteres normales. El contenido entre paréntesis se reserva para el
uso de la palabra clave setparm. La palabra clave PCRE puede
modificarse mediante las palabras clave nocase, nomatch, raw y
setparm.
nocase
Hace que el contenido de PCRE provoque coincidencia aunque el uso de
mayúsculas y minúsculas no sea igual.
nomatch
Invierte la coincidencia de PCRE (equivale a !~ en Perl).
raw
Compara la PCRE con todo el mensaje de syslog, incluidos los datos del
encabezado (función, daemon, fecha, host/IP, nombre de proceso e ID
de proceso). Normalmente, el encabezado no se utiliza en la
coincidencia de PCRE.
setparm
Puede aparecer más de una vez. A cada conjunto de paréntesis de la
PCRE se le asigna un número por orden de aparición. Esos números se
pueden asignar a etiquetas de datos (por ejemplo:
setparm:username=1). Se toma el texto capturado en el primer
conjunto de paréntesis y se asigna a la etiqueta de datos de nombre de
usuario. Las etiquetas reconocidas se enumeran en la tabla siguiente.
Etiqueta
Descripción
* sid
Este parámetro capturado omite el sid de la regla coincidente.
* msg
Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.
* action
Este parámetro capturado indica qué acción realizó el dispositivo de terceros.
* protocol
* src_ip
Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada
para un evento.
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid
Se emplea para modificar el sid almacenado en la base de datos, que se usa para
las coincidencias de snort ajenas a McAfee en los preprocesadores snort.
* url
Reservada y sin uso por ahora.
* src_username
Primer nombre de usuario/nombre de usuario de origen.
* username
Nombre alternativo para src_username.
* dst_username
Segundo nombre de usuario/nombre de usuario de destino.
* domain
* hostname
* application
McAfee Enterprise Security Manager 9.6.0
Guía del producto
139
3
Configuración del ESM
Configuración de dispositivos
Etiqueta
Descripción
* severity
Debe ser un número entero.
* action map
Permite asignar acciones específicas de su producto a las acciones de McAfee. En
el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert
any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted
password for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s
+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";
setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones
para obtener detalles.
* severity map
Permite asignar gravedades específicas de su producto a la gravedad de McAfee.
Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre
mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH
Accepted Password"; content:"Accepted password for "; severity_map:High=99,
Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+
(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:
\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones
para obtener detalles.
* var
Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a
partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que
capture solo una pequeña porción de la cadena en lugar de una PCRE larga con
varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de
usuario y un dominio, además de crear una dirección de correo electrónico a fin de
almacenarla en el campo objectname.
• Sintaxis = var:field=${PCRE:Capture}
• PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos
PCRE, sería la PCRE 1 o 2.
• Captura = no la captura real, sino su número (primera, segunda o tercera
captura [1,2,3]).
• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.
• PCRE: (Jim).*?(McAfee)
• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};
var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:
25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• Usuario de origen asignado: Jim
• Dominio asignado: McAfee
• objectname asignado: [email protected]
* sessionid
Se trata de un entero.
* commandname Se trata de un valor de cadena.
140
* objectname
Se trata de un valor de cadena.
* event_action
Esta etiqueta se emplea para establecer una acción predeterminada. No se puede
usar event_action y action_map en la misma regla. Por ejemplo, si obtiene un
evento a partir de un inicio de sesión correcto, podría utilizar la etiqueta
event_action y hacer que la acción de inicio de sesión correcto sea la
predeterminada (por ejemplo, event_action:8;).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Etiqueta
Descripción
* firsttime_fmt
Se usa para establecer la primera aparición del evento. Véase la lista de formatos.
* lasttime_fmt
Se usa para establecer la última aparición del evento. Véase la lista de formatos.
Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o
setparm:lasttime="1"). Por ejemplo:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:
%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
Para conocer los formatos admitidos actualmente, véase http://
pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin de
obtener más detalles.
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y es el año con cuatro dígitos
%m es el número correspondiente al mes (1-12)
%d es la fecha (1-31)
%H corresponde a la hora (1-24)
%M son los minutos (0-60)
%S son los segundos (0-60)
%b es la abreviatura del mes (feb, may)
A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de
sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html.
Adición de un origen de datos ASP con codificación diferente
ESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP que
genere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
141
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen
de datos
.
2
Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog
avanzado en el campo Modelo de origen de datos.
3
Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.
Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los
reciba.
Security Device Event Exchange (SDEE)
El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos de
dispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportan
mediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionar
información sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores de
las solicitudes HTTP se denominan clientes SDEE.
Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor
puede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de
intrusiones de Cisco.
Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE
emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor
contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento
solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la
base de datos de eventos del receptor, listos para su recuperación por parte del ESM.
Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección
de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un
origen de datos).
El receptor es capaz de extraer esta información de un evento SDEE/CIDEE:
•
Direcciones IP de origen y destino
•
Puertos de origen y destino
•
Protocolo
•
Hora del evento
•
Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor
respeta)
•
ID de firma e ID secundario
•
El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE
mediante la siguiente fórmula:
ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE
Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de
evento de ESMI sería 2000123.
•
142
VLAN
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
•
Gravedad
•
Descripción del evento
•
Contenido del paquete (si está disponible)
Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se
emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los
eventos desde la última extracción correcta.
Adición de un origen de datos de ArcSight
Es posible agregar orígenes de datos para un dispositivo ArcSight.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En el árbol de navegación del sistema, seleccione el nodo del receptor.
Haga clic en el icono Agregar origen de datos
de la barra de herramientas de acciones.
3
Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común
en el campo Modelo de origen de datos.
4
Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight.
5
Rellene el resto de campos (véase Adición de un origen de datos).
6
Haga clic en Aceptar.
7
Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight.
Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM.
Formato de evento común (CEF)
ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común
(CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que
generan registros o eventos. Contiene la información más relevante sobre el dispositivo, además de
facilitar el análisis y la utilización de los eventos.
No es necesario que el causante del evento genere de forma explícita el mensaje de evento. El
formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por
barras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la
extensión se especifican campos adicionales. El formato es:
CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo|
IDClaseEventoDispositivo|Nombre|Gravedad|Extensión
McAfee Enterprise Security Manager 9.6.0
Guía del producto
143
3
Configuración del ESM
Configuración de dispositivos
La parte del mensaje correspondiente a la extensión es un marcador de posición para campos
adicionales. A continuación se ofrecen las definiciones de los campos de prefijo:
•
Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos
utilizan esta información para determinar lo que representan los campos. Actualmente, solo está
establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea
necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La
adición de formatos nuevos se gestiona a través del organismo de estandarización.
•
Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma
exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de
proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los
creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos.
•
IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un
número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas
de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un
IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de
dispositivos, y ayuda a los motores de correlación a manipular los eventos.
•
Nombre es una cadena que representa una descripción legible y comprensible para los usuarios
sobre el evento. El nombre del evento no debe contener información específicamente mencionada
en otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no es
un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es
redundante y se puede obtener en los otros campos.
•
Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del
0 al 10, donde el 10 indica el evento de mayor importancia.
•
Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto
predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica
posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier
orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de
archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo:
fileName=c:\Archivos de programa\ArcSight es un token válido.
Este es un mensaje de muestra para ilustrar el aspecto final:
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|
10|src=10.0.0.1 dst=2.1.2.2 spt=1232
Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor.
De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto:
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt".
144
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Configuración de Adiscon
Se admite el uso de WMI y syslog a través de Adiscon.
Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos
de eventos de Windows de Adiscon para Microsoft funcione correctamente:
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Compatibilidad con la retransmisión de syslog
El reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al
receptor requiere algunas tareas adicionales.
Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de
datos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los
orígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta
situación:
1
Dispositivo Cisco ASA
5
Origen de datos 1: retransmisión de syslog
2
Dispositivo SourceFire Snort
6
Origen de datos 2: Cisco ASA
3
Dispositivo TippingPoint
7
Origen de datos 3: SourceFire Snort
4
Retransmisión de syslog
8
Origen de datos 4: TippingPoint
Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de
syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog
en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog,
habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para
ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de
retransmisión de syslog.
La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.
El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo:
1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]
Donde:
1=
Versión de syslog (opcional)
345 =
Longitud de syslog (opcional)
<123> =
Función (opcional)
McAfee Enterprise Security Manager 9.6.0
Guía del producto
145
3
Configuración del ESM
Configuración de dispositivos
Oct 7 12:12:12 2012 =
Fecha; se admiten cientos de formatos (obligatorio)
mcafee.com
Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio)
httpd =
Nombre de aplicación (opcional)
[123]
PID de aplicación (opcional)
:=
Dos puntos (opcional)
El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se
puede delimitar entre corchetes [ ].
Ejecución de la herramienta de configuración de NSM-SIEM
Antes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuración
de NSM-SIEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Descargue la herramienta de configuración.
a
Acceda al sitio web de descarga de productos de McAfee.
b
Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro de
búsqueda Descargar mis productos.
c
Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de
descarga de MFE <nombre_producto> <versión>.
d
Lea el EULA de McAfee y haga clic en Acepto.
e
Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM.
Ejecute la herramienta de configuración en el servidor de NSM.
La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso
contrario, acceda a ella.
3
Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSM
introducidos durante la instalación de NSM.
4
Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del
receptor al que se agregará el origen de datos.
Estos datos se introducen en la pantalla del origen de datos.
Configuración de ePolicy Orchestrator
Es posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una misma
dirección IP con nombres distintos en el campo de nombre de la base de datos.
Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todos
apunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseña
con la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campo
Versión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433.
El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión,
deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]).
146
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crear
orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar
orígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator y
cualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente.
Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator:
•
ANTISPYWARE
•
MNAC
•
DLP
•
POLICYAUDITOR
•
EPOAGENT
•
SITEADVISOR
•
GSD
•
VIRUSCAN
•
GSE
•
SOLIDCORE
•
HOSTIPS
Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes de
datos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de
256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos con
clientes.
La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicy
Orchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los
datos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consulta
de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta
de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se
proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas
de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la
calificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos los
dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.
Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le
pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace
clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de
calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de
correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de
correlación de riesgos (véase Adición de un administrador de correlación de riesgos).
SiteProtector de IBM Internet Security Systems
El receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet Security
Systems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Server
utilizada por SiteProtector para almacenar sus eventos.
Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, la
recuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de
"extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base de
datos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez que
se recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos de
eventos del receptor, listos para su recuperación por parte del ESM.
Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración
de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para
recopilar eventos de un servidor de SiteProtector.
Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados
mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente
del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de
McAfee Enterprise Security Manager 9.6.0
Guía del producto
147
3
Configuración del ESM
Configuración de dispositivos
los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible
configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado
seleccionado.
La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se
puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir
un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento
común (CEF). Esta configuración es opcional.
Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación
de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar
conexiones del protocolo TCP/IP.
Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este
protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433).
Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los
eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos
que se han producido tras el último evento recuperado correctamente.
El receptor extrae esta información de un evento de SiteProtector:
•
Direcciones IP de origen y destino (IPv4)
•
Recuento de eventos
•
Puertos de origen y destino
•
VLAN
•
Protocolo
•
Gravedad
•
Hora del evento
•
Descripción del evento
Configuración de Check Point
Es posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor parte
de entornos Check Point estándar.
El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen de
datos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datos
principal no actúa como servidor de registro y se dispone de un servidor de registro dedicado.
Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentra
en un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cada
SMS/CMA secundario.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la
aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal.
OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función (véase el Apéndice A).
148
2
Haga clic en Opciones.
3
En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivo
de entidad de servidor de este origen de datos.
4
Haga clic dos veces en Aceptar.
5
Haga lo siguiente, si procede:
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Si recibe este
error...
Haga lo siguiente...
SIC Error for lea: Client
could not choose an
authentication method for
service lea (Error SIC
para lea: el cliente
no pudo elegir un
método de
autenticación para
lea)
1 Compruebe que seleccionó la configuración correcta para Usar autenticación
y Usar cifrado al agregar el origen de datos de Check Point.
Si seleccionó solamente Usar autenticación, el cliente OPSEC intenta
comunicarse con el servidor de registro mediante "sslca_clear". Si
seleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intenta
comunicarse con el servidor de registro mediante "sslca". Si no
seleccionó ninguna de estas opciones, el cliente OPSEC intenta
comunicarse con el servidor de registro mediante "none".
2 Compruebe que la aplicación OPSEC que está utilizando para
comunicarse con el servidor de registro de Check Point tenga LEA
seleccionado en la sección Client Entities (Entidades cliente).
3 Si verifica que ambos pasos son correctos, localice el archivo
sic_policy.conf en la instalación del servidor de registro de Check Point.
Por ejemplo, en un sistema R65 basado en Linux, este archivo se
encuentra en /var/opt/CPshrd-R65/conf.
4 Cuando determine qué método de comunicación (método de
autenticación del archivo) permite el método de comunicación de LEA
con el servidor de registro, seleccione dicho método en la página
Configuración avanzada como Método de comunicación.
SIC Error for lea: Peer sent
wrong DN: <expected dn>
(Error SIC para lea:
el componente envió
un nombre distintivo
incorrecto: <nombre
distintivo esperado>)
• Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de
servidor mediante la introducción de la cadena que representa "<DN
esperado>" en el mensaje de error.
Una alternativa es localizar el nombre distintivo del servidor de registro de
Check Point consultando el objeto network del servidor de registro de
Check Point en la interfaz de usuario de SmartDashboard.
El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC,
basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo,
supongamos que el nombre distintivo de la aplicación OPSEC es
CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA
sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de
registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3.
6
Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA
secundario administrado por el origen de datos principal configurado (véase Adición de un origen
de datos secundario).
El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola de
informes principal es, de forma predeterminada, el origen de datos principal.
Grupos de reglas de McAfee
Esta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo.
ID de origen de
datos
Nombre de pantalla
RSID correspondiente Intervalo de reglas
50201
Firewall
0
2 000 000–2 099 999
50202
Firewall personalizado
0
2 200 000–2 299 999
50203
Firmas personalizadas
0
5 000 000–5 999 999
50204
Interno
0
3 000 000–3 999 999
50205
Vulnerabilidad y exploit
2
N/D
McAfee Enterprise Security Manager 9.6.0
Guía del producto
149
3
Configuración del ESM
Configuración de dispositivos
ID de origen de
datos
Nombre de pantalla
RSID correspondiente Intervalo de reglas
50206
Contenidos para adultos
5
N/D
50207
Chat
8
N/D
50208
Directiva
11
N/D
50209
Peer to Peer
14
N/D
50210
Multimedia
17
N/D
50211
Alfa
25
N/D
50212
Virus
28
N/D
50213
Aplicación de perímetro seguro 31
N/D
50214
Gateway
33
N/D
50215
Malware
35
N/D
50216
SCADA
40
N/D
50217
MCAFEESYSLOG
41
N/D
Orígenes de activos de receptor
Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset
Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de
activos y asignar un activo a un grupo de activos. También permite manipular los activos de
aprendizaje automático de un proveedor de evaluación de vulnerabilidades.
La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si está
disponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante la
selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario
de origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad para
satisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptores
pueden tener varios orígenes de activos.
Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades y
Descubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridad
agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad,
el que descubra el activo en último lugar tiene prioridad sobre el primero.
Véase también
Adición de un origen de activos en la página 150
Adición de un origen de activos
A fin de recuperar datos de Active Directory, es necesario configurar un receptor.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
activos.
2
Haga clic en Agregar y rellene la información solicitada.
3
Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos.
Véase también
Orígenes de activos de receptor en la página 150
150
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Configuración de Enterprise Log Manager (ELM)
El ELM admite el almacenamiento, la administración y el acceso a los datos de registro, así como la
generación de informes.
Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto de
varios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de
almacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativas
gubernamentales, del sector y de las empresas requieren que los registros se almacenen durante
periodos de tiempo diferentes.
Es posible configurar trabajos de búsqueda y comprobación de integridad en el ELM. Cada uno de
estos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el
trabajo. Posteriormente, se pueden ver los resultados y exportar la información.
Para configurar un ELM, debe conocer lo siguiente:
•
Los orígenes que almacenan registros en el ELM
•
Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos
•
Los dispositivos de almacenamiento necesarios para almacenar los datos
Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de
almacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento
necesarios que contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:
1
Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.
A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio
asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el
espacio necesario.
2
Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.
3
Revise los registros del ELM durante un período corto de tiempo.
4
Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las
configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de
almacenamiento de datos reales.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
151
3
Configuración del ESM
Configuración de dispositivos
Preparativos para almacenar datos en el ELM
Existen varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacene
datos.
Paso Acción
Descripción
1
Según los requisitos de instalación de ELM, defina el número de tiempos
de retención distintos necesarios. Los tiempos habituales de retención de
datos son:
Definir los tiempos
de retención de
datos
• SOX – 7 años
• PCI – 1 año
• GLBA – 6 años
• Directiva de conservación de datos de la UE – 2 años
• Basilea II – 7 años
• HIPAA – 6 o 7 años
• NERC – 3 años
• FISMA – 3 años
152
2
Definir los orígenes El objetivo aquí es definir todos los orígenes de los registros almacenados
de datos de
en el ELM y calcular el promedio de tamaño en bytes de los registros y el
registro
promedio de registros generados por día en cada caso. Basta con que se
trate de un cálculo estimativo. Puede que resulte más fácil estimar el
promedio de tamaño en bytes de los registros y el promedio de registros
generados al día por cada tipo de origen (como por ejemplo firewall,
enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de
orígenes de cada tipo. El siguiente paso requiere la asociación de cada
origen con un tiempo de retención definido en el Paso 1, así que
asegúrese de tener esto en cuenta a la hora de calcular los tipos de
orígenes (por ejemplo, firewall SOX o DEM PCI).
3
Definir los grupos
En función de los requisitos de instalación de ELM, asocie cada origen u
de almacenamiento origen de registros con un tiempo de retención de datos y defina el
conjunto de grupos de almacenamiento necesarios para la instalación de
ELM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Paso Acción
Descripción
4
Por cada grupo de almacenamiento, calcule los requisitos de
almacenamiento mediante una de las ecuaciones siguientes.
Estimar los
requisitos de
tamaño de los
grupos de
almacenamiento
• Con orígenes individuales:
ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024)
Donde:
ARIGB = Almacenamiento requerido inicial en gigabytes
TRDD = Tiempo de retención de datos en días
SUM() = La suma de todos los orígenes de datos
PBOD = Promedio de bytes de origen de datos por registro
PRODD = Promedio de registros de origen de datos por día
• Con tipos de orígenes:
ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024)
Donde:
ARIGB = Almacenamiento requerido inicial en gigabytes
TRDD = Tiempo de retención de datos en días
NOD = Número de orígenes de datos de un tipo
SUM() = La suma de todos los tipos de orígenes de datos
PBTOD = Promedio de bytes de tipo de origen de datos por registro
PRTODD = Promedio de registros de tipo de origen de datos por día
5
Crear dispositivos
Cree uno o varios dispositivos de almacenamiento ELM de forma que
de almacenamiento sean suficientemente grandes como para almacenar los datos de cada
inicial
ARIGB (véase Adición de un dispositivo de almacenamiento para vincular
con un grupo de almacenamiento).
6
Cree grupos de
almacenamiento
Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo
de almacenamiento de ELM con el tiempo retención asociado del Paso 1,
los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento
asociados del Paso 5 (véase Adición de un grupo de almacenamiento).
7
Iniciar el registro
de datos
Configure los orígenes para que envíen sus registros al ELM, y deje que
lo hagan durante uno o dos días.
8
Ajustar las
estimaciones sobre
requisitos de
tamaño de los
grupos de
almacenamiento
Por cada grupo de almacenamiento creado en el Paso 6, ajuste la
estimación sobre los requisitos de almacenamiento mediante la ecuación
siguiente:
ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024)
Donde:
ARGB = Almacenamiento requerido en gigabytes
TRDD = Tiempo de retención de datos en días
PTBGAD = Valor de promedio de tasa de bytes del grupo de
almacenamiento diario del informe estadístico correspondiente
9
Modificar o crear
dispositivos de
almacenamiento
Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de
almacenamiento ELM para que tengan capacidad de almacenar los datos
de ARGB.
10
Modificar los
grupos de
almacenamiento
Si fuera necesario, modifique cada uno de los grupos de almacenamiento
creados en el Paso 6 mediante la adición de los dispositivos de
almacenamiento creados en el Paso 9, o bien aumente la asignación de
los dispositivos de almacenamiento existentes.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
153
3
Configuración del ESM
Configuración de dispositivos
Configuración del almacenamiento de ELM
A fin de almacenar registros, el ELM debe tener acceso al menos a un dispositivo de almacenamiento.
El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de
datos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisito
de almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vida
de una instalación de ELM.
Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema,
véase Configuración de ELM.
Terminología de almacenamiento de ELM
Repase estos términos para trabajar con el almacenamiento de ELM:
•
Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede
acceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado,
otros cuentan con capacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos de
ELM ofrecen capacidad de conexión NAS.
•
Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un
dispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento
NAS).
•
Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro.
•
Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican
una cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el
número máximo de días que se almacena un registro.
•
Origen de registro: cualquier origen de registros almacenados por ELM.
Tipos de dispositivos de almacenamiento de ELM
Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de
dispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo.
Tipo de
dispositivo
Detalles
NFS
Para editar el punto de montaje remoto del dispositivo de almacenamiento que
contiene la base de datos de administración de ELM, use la opción Migrar base de datos
a fin de mover la base de datos a un dispositivo de almacenamiento distinto (véase
Migración de la base de datos de ELM). Entonces, es posible cambiar de forma
segura el campo de punto de montaje remoto y mover la base de datos de vuelta al
dispositivo de almacenamiento actualizado.
CIFS
• El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.
• Si emplea un equipo Windows 7 como recurso compartido CIFS, véase
Desactivación del uso compartido de archivos en el Grupo Hogar.
iSCSI
• Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.
• El intento de conectar varios dispositivos a un IQN puede provocar la fuga de
datos y otros problemas de configuración.
154
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tipo de
dispositivo
Detalles
SAN
La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y
hay volúmenes SAN disponibles.
Local virtual
Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELM
virtual. Es necesario aplicar formato al dispositivo antes de usarlo para el
almacenamiento (véase Configuración de una unidad local virtual para almacenar
datos).
Desactivación del uso compartido de archivos en el Grupo Hogar
Windows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona
con otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7
como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.
2
Haga clic en Cambiar configuración de uso compartido avanzado.
3
Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.
4
Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.
5
Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y
haga clic con el botón derecho en ella.
6
Seleccione Propiedades y haga clic en la ficha Compartir.
7
Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.
8
(Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.
Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = se
puede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá que
modificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en el
permiso.
Adición de un dispositivo de almacenamiento para vincular con un grupo de
almacenamiento
A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, es
necesario definir sus parámetros.
Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo.
Un dispositivo no se puede eliminar si está almacenando datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
2
Haga clic en Agregar junto a la tabla superior.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
155
3
Configuración del ESM
Configuración de dispositivos
3
En la página Agregar dispositivo de almacenamiento, rellene la información solicitada.
4
Haga clic en Aceptar para guardar la configuración.
El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles.
Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos de
almacenamiento.
Véase también
Página Agregar dispositivo de almacenamiento en la página 156
Página Elegir un dispositivo de almacenamiento en la página 157
Página Agregar dispositivo de almacenamiento
Permite definir los parámetros de conexión de un dispositivo de almacenamiento utilizados en un
grupo de almacenamiento para la retención de datos.
Tabla 3-73 Definiciones de opciones
Opción
Definición
Tipo de dispositivo
Seleccione el tipo de dispositivo de almacenamiento. La migración de la base
de datos de ELM requiere un mínimo de 506 GB de espacio libre en el disco.
Véase Tipos de dispositivos de almacenamiento de ELM en Configuración del
almacenamiento de ELM para obtener detalles sobre cada tipo.
Nombre
Introduzca un nombre para el dispositivo de almacenamiento.
Tamaño máx.
Seleccione la cantidad máxima de espacio de almacenamiento que desee
asignar en el dispositivo.
• Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor
predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio de
almacenamiento se reserva para la administración del almacenamiento
remoto.
• Cuando se agrega un dispositivo de almacenamiento local virtual, el valor
predeterminado de Tamaño máx. es la capacidad total de almacenamiento del
dispositivo. Se reservan 6 GB del espacio de almacenamiento para la
administración del almacenamiento virtual. No es posible ajustar este
campo.
Dirección IP, Punto de
montaje remoto, Ruta
remota
Escriba esta información para el dispositivo NFS.
Dirección IP, Nombre de
recurso compartido
remoto, Ruta, Nombre de
usuario, Contraseña
Escriba esta información para el dispositivo CIFS.
Dispositivo iSCSI
Seleccione el dispositivo agregado (véase Adición de un dispositivo iSCSI).
IQN de iSCSI
Seleccione el IQN.
SAN
Seleccione el volumen SAN que desee agregar (véase Aplicación de formato a
un dispositivo de almacenamiento SAN para datos de ELM).
Volumen local virtual
Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo está
disponible cuando el tipo de dispositivo es Local virtual.
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155
156
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Página Elegir un dispositivo de almacenamiento
Permite seleccionar los dispositivos de almacenamiento que se vincularán al grupo de
almacenamiento.
Tabla 3-74 Definiciones de opciones
Opción
Definición
Dispositivos de
almacenamiento de datos
Seleccione el dispositivo que desee agregar. Si el dispositivo deseado no
está en la lista, deberá agregarlo (véase Adición de un dispositivo de
almacenamiento para vincular con un grupo de almacenamiento).
Un dispositivo se puede asignar a más de un grupo de forma simultánea.
Espacio de almacenamiento
Seleccione la cantidad máxima de espacio del dispositivo para almacenar
datos.
El 10 % del espacio de almacenamiento se emplea para la sobrecarga. Si
selecciona 4 GB en el campo de espacio de almacenamiento, habrá
realmente solo 3,6 de los 4 GB disponibles para almacenar datos.
Dispositivo de
almacenamiento de datos
duplicado
Si desea que los datos de este dispositivo de almacenamiento se dupliquen
en otro dispositivo, seleccione el segundo dispositivo de almacenamiento
(véase Adición de almacenamiento de datos de ELM duplicado).
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155
Adición o edición de un grupo de almacenamiento
Un grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo de
retención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros de
ELM y cuánto tiempo deben conservarse.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2
Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información
solicitada.
3
Haga clic en Aceptar.
Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre
que este y los dispositivos que tiene asignados no estén almacenando datos.
Véase también
Página Grupos de almacenamiento en la página 158
Página Agregar grupo de almacenamiento en la página 158
McAfee Enterprise Security Manager 9.6.0
Guía del producto
157
3
Configuración del ESM
Configuración de dispositivos
Página Grupos de almacenamiento
Permite administrar los dispositivos y los grupos de almacenamiento a fin de almacenar datos de ELM.
Tabla 3-75 Definiciones de opciones
Opción
Definición
Agregar dispositivo de almacenamiento
Agregar un dispositivo de almacenamiento que utilizar con un
grupo de almacenamiento para la retención de datos.
Editar dispositivo de almacenamiento
Cambiar la configuración de un dispositivo de almacenamiento
existente.
Eliminar dispositivo de almacenamiento
Eliminar un dispositivo de almacenamiento del sistema.
Agregar grupo de
almacenamiento
Agregar un grupo de almacenamiento a fin de albergar una
cantidad máxima de datos durante un periodo de tiempo concreto.
Editar grupo de almacenamiento
Cambiar la configuración de un grupo de almacenamiento
existente.
Eliminar grupo de almacenamiento
Eliminar un grupo de almacenamiento del sistema.
Reconstruir
Reparar grupos de almacenamiento duplicados que han perdido la
conexión con uno de sus dispositivos de almacenamiento. Esta
opción solo está disponible cuando existe un problema con un
grupo de almacenamiento duplicado.
Reducir tamaño
Reducir la cantidad de espacio definido para cada asignación.
Actualizar
Actualizar la información de las tablas.
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Página Agregar grupo de almacenamiento
Permite agregar un grupo de almacenamiento donde guardar los datos de registro de ELM.
Tabla 3-76 Definiciones de opciones
Opción
Definición
Nombre del grupo de
almacenamiento
Escriba un nombre para este grupo.
Tiempo de retención de los datos
Seleccione la cantidad de tiempo que desee almacenar los datos.
Dispositivos de almacenamiento de Enumera los dispositivos vinculados a este grupo de almacenamiento.
datos vinculados a este grupo de
Para agregar dispositivos, haga clic en Agregar.
almacenamiento
Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFS
o iSCSI) requieren configuraciones específicas para funcionar de forma
fiable, como por ejemplo estar en el mismo conmutador y tener una
latencia muy baja. Las especificaciones de red recomendadas son:
• Latencia total (servidor más red) — 10 ms
• Rendimiento total (servidor más red) — 20 Mb/s
En la duplicación se da por hecho un 100 % de disponibilidad
para el recurso compartido.
Columna Activado
Seleccione los dispositivos que desee activar para almacenar datos. Los
dispositivos de almacenamiento duplicados se desactivan hasta que
termina el proceso de duplicación.
Las asignaciones de dispositivos de grupo de almacenamiento creadas en la versión 9.0.0 de ESM o
versiones posteriores están limitadas a un terabyte por asignación. Si desea crear un grupo con más de
un terabyte, deberá agregar varios dispositivos de un terabyte.
158
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Traslado de un grupo de almacenamiento
Cabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro.
Antes de empezar
Configure el dispositivo de almacenamiento al que desee mover el grupo de
almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo
(véase Adición de almacenamiento de datos de ELM duplicado).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de
almacenamiento y haga clic en el icono Propiedades
.
2
Haga clic en Grupos de almacenamiento.
3
En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el
grupo que se va a mover.
4
Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el
dispositivo que duplique el grupo de almacenamiento que desea mover.
Se convertirá entonces en el dispositivo de almacenamiento de datos principal.
5
A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la
lista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.
Reducción del tamaño de asignación de almacenamiento
Si un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos de
almacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación.
Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos de
almacenamiento.
Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del
grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2
En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.
3
Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
159
3
Configuración del ESM
Configuración de dispositivos
Duplicación del almacenamiento de datos de ELM
Es posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datos
recopilados en el dispositivo principal.
Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridad
sigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar,
se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datos
según van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posible
reasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y,
después, designar un dispositivo distinto para la duplicación.
Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado
dispositivo ELM en el árbol de navegación del sistema.
junto al
Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de
almacenamiento. La pérdida de conexión puede deberse a lo siguiente:
•
El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.
•
El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.
•
Se ha eliminado accidentalmente un archivo de asignación.
Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento
muestran un icono de advertencia
la función Reconstruir para repararlo.
en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizar
Adición de almacenamiento de datos de ELM duplicado
Cualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con el
espacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo de
almacenamiento ELM.
Antes de empezar
Agregue los dos dispositivos que desee usar para duplicar los datos al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
2
Haga clic en Agregar junto a la tabla inferior.
3
En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar
para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación.
Un dispositivo se puede asignar a más de un grupo de forma simultánea.
4
Haga clic dos veces en Aceptar.
Reconstrucción de un grupo de almacenamiento duplicado
Si un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento,
puede emplear la función Reconstruir para repararlo.
160
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2
Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia.
Un cuadro de información sobre herramientas le indicará que la asignación de ELM se está
reconstruyendo o que el dispositivo duplicado se debe reconstruir.
3
Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir.
Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta.
Desactivación de un dispositivo de duplicación
Si desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegir
otro dispositivo para sustituirlo o seleccionar Ninguno.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de
almacenamiento y haga clic en el icono Propiedades
.
2
Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de
almacenamiento y haga clic en Editar.
3
Siga uno de estos procedimientos:
4
•
Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el que
desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo
distinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno.
•
Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que desea
desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto
para que actúe como dispositivo de almacenamiento de datos.
Haga clic en Aceptar para guardar los cambios.
Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo de
almacenamiento.
Configuración del almacenamiento de datos externo
Existen cuatro tipos de almacenamiento externo que se pueden configurar para almacenar datos de
ELM: iSCSI, SAN, DAS y dispositivo virtual local. Cuando conecte estos tipos de almacenamiento
externo al ELM, podrá configurarlos para almacenar los datos del ELM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
161
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichas
correspondientes.
2
Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.
3
Haga clic en Aplicar o en Aceptar.
Adición de un dispositivo iSCSI
Si desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar las
conexiones con el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
2
En la ficha iSCSI, haga clic en Agregar.
3
Introduzca la información solicitada y, a continuación, haga clic en Aceptar.
Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI como
a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un
dispositivo de almacenamiento para vincular con un grupo de almacenamiento).
Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar.
Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para el
almacenamiento de ELM.
4
Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en
Formato.
5
A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.
6
Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en
Descubrir.
Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.
Véase también
Ficha iSCSI en la página 163
Página Configuración iSCSI en la página 163
162
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Ficha iSCSI
Permite conectar un dispositivo de almacenamiento iSCSI al ESM para poder almacenar datos del ELM.
Tabla 3-77 Definiciones de opciones
Opción
Definición
Agregar
Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.
Eliminar
Eliminar la conexión iSCSI seleccionada.
Descubrir
Descubrir o volver a descubrir los IQN para el iSCSI seleccionado.
Comprobar estado Comprobar el estado del IQN mientras se le aplica formato.
Formato
Aplicar formato al IQN seleccionado antes de usarlo para el almacenamiento de ELM.
Véase también
Adición de un dispositivo iSCSI en la página 162
Página Configuración iSCSI
Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.
Tabla 3-78 Definiciones de opciones
Opción
Definición
Nombre
Escriba el nombre del dispositivo iSCSI.
Dirección IP
Escriba la dirección IP del dispositivo iSCSI.
Puerto
Seleccione el puerto del dispositivo iSCSI.
Véase también
Adición de un dispositivo iSCSI en la página 162
Configuración del almacenamiento de datos de ESM en la página 279
Aplicación de formato a un dispositivo de almacenamiento para datos de ELM
Si tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.
Antes de empezar
Instale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic
2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el
Soporte de McAfee).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
2
Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.
•
Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles
en la página Agregar dispositivo de almacenamiento.
•
Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista de
volúmenes disponibles.
•
Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes se
pueden usar para almacenar datos de ELM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
163
3
Configuración del ESM
Configuración de dispositivos
3
Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y,
después, en Formato.
Al formatear un volumen, se eliminan todos los datos almacenados.
4
Para comprobar si el formato está completo, haga clic en Actualizar.
Si ha finalizado la aplicación de formato, el estado cambia a Preparado.
5
Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.
Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM.
Asignación de un dispositivo DAS para almacenar datos
Es posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM.
Antes de empezar
Configure dispositivos DAS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga
clic en el icono Propiedades
.
En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic
en el icono Propiedades.
2
Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS.
La tabla DAS incluye los dispositivos disponibles para el almacenamiento.
3
En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de
ELM o ESM.
4
Haga clic en Asignar y, después, en Sí en la página de advertencia.
Una vez asignado un dispositivo, no se puede cambiar.
El ELM se reiniciará.
Configuración de una unidad local virtual para almacenar datos
En primer lugar, es necesario detectar un dispositivo de almacenamiento virtual en el ELM virtual y
aplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos de
almacenamiento.
Antes de empezar
Agregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entorno
virtual. Para agregar el almacenamiento, véase la documentación correspondiente al
entorno de máquina virtual.
Entornos virtuales compatibles
164
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
•
VMware
•
KVM
•
Amazon Web Services
Formatos de unidad compatibles
•
SCSI
•
SATA
IDE no se admite.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades
y, después, haga clic en Almacenamiento de datos.
Aparecerá un icono de carga mientras el sistema devuelve todos los dispositivos de
almacenamiento disponibles. Si el sistema cuenta con un ESM redundante, los dispositivos se
devolverán en la ficha Redundante.
Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.
2
Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales
disponibles.
La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.
3
Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos
ext4 al dispositivo.
El estado cambiará a Preparado.
Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos de
almacenamiento.
Redundancia de ELM
Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo
principal de su sistema.
Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM
(véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de
almacenamiento con una cantidad de espacio combinado que coincida con el espacio de
almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el
ELM en espera mantiene la sincronización de los datos entre ambos dispositivos.
Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver
a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la
página Propiedades de ELM | Redundancia de ELM.
Cambio
Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera
pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las
acciones de configuración se bloquean durante el proceso de cambio.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
165
3
Configuración del ESM
Configuración de dispositivos
Nueva puesta en servicio
Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione
de nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia se
mantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el proceso
de redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero se
devuelve un estado de error que indica que uno o varios grupos no están configurados. Deberá
corregir esos grupos manualmente.
Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a
aplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de
configuración con el ELM en espera y la redundancia continúa como hasta el momento.
Suspensión
Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de
hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores
relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el
proceso para volver a ponerlo en servicio.
Desactivación de la redundancia en el ELM
Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia
de los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al
activar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuración
guardados.
Visualización del estado
Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo;
para ello, seleccione la opción Estado.
Véase también
Configuración de la redundancia de ELM en la página 166
Configuración de la redundancia de ELM
Si dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el
registro mediante la adición de un ELM en espera.
Antes de empezar
Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee
Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de
dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no
agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en
contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de
fábrica.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades
.
2
166
En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
3
Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.
4
En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté
seleccionada la ficha Activo.
5
Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo de
almacenamiento para vincular con un grupo de almacenamiento).
6
Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan
suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.
7
Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo
de almacenamiento).
La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de
los datos entre ambos dispositivos.
Véase también
Redundancia de ELM en la página 165
Página Redundancia de ELM en la página 167
Página Redundancia de ELM
Permite activar y administrar la redundancia de ELM.
Tabla 3-79 Definiciones de las opciones
Opción
Definición
Solo está disponible cuando la redundancia de ELM no está activada.
Activar
Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a fin
de activar la redundancia de ELM.
Solo está disponible cuando la redundancia de ELM está activada.
Quitar
Permite desactivar la redundancia en el ELM.
Cambiar ELM
Permite intercambiar los ELM de manera que el ELM en espera se convierta en el
ELM principal. El sistema asociará todos los dispositivos de registro con él. El
registro y las acciones de configuración se bloquean durante el proceso de
cambio.
Suspender
Permite suspender la comunicación con el ELM en espera si este está
experimentando problemas. Todas las interrupciones de comunicación y
notificaciones de errores relativas a la redundancia se enmascaran. Cuando
vuelva a hacer funcionar el ELM en espera, haga clic en Volver a poner en servicio.
Estado
Permite ver detalles sobre el estado de la sincronización de los datos entre el ELM
en espera y el activo.
Volver a poner en
servicio
Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si el
sistema vuelve a hacer funcionar el ELM y no detecta ningún cambio en los
archivos de configuración, la redundancia se mantiene como hasta el momento.
En caso de que el sistema detecte diferencias, el proceso de redundancia
continúa para los grupos de almacenamiento que no tengan problemas y se le
informa de que la configuración de uno o varios grupos no es correcta. Corrija
tales grupos manualmente.
Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y le
solicita que vuelva a regenerarlo. A continuación, el ELM activo sincroniza todos
los archivos de configuración con el ELM en espera y el proceso de redundancia
continúa como hasta el momento.
Véase también
Configuración de la redundancia de ELM en la página 166
McAfee Enterprise Security Manager 9.6.0
Guía del producto
167
3
Configuración del ESM
Configuración de dispositivos
Administración de la compresión de ELM
Comprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más
registros por segundo.
Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada
nivel.
Nivel Tasa de compresión Porcentaje de compresión
máximo
Porcentaje de máximo de
registros procesados por segundo
Baja
14:1
72 %
100 %
Media
17:1
87 %
75 %
Alta
20:1
100 %
50 %
Las tasas de compresión reales variarán en función del contenido de los registros.
•
Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se
procesan por segundo, elija la compresión alta.
•
Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el
disco, elija la compresión baja.
Véase también
Establecimiento de la compresión de ELM en la página 168
Establecimiento de la compresión de ELM
Seleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el
disco o de procesar más registros.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Compresión.
2
Seleccione el nivel de compresión de ELM y haga clic en Aceptar.
Se le notificará cuando se actualice el nivel.
Véase también
Administración de la compresión de ELM en la página 168
Página Compresión de ELM en la página 168
Página Compresión de ELM
Permite seleccionar el nivel de compresión que se aplicará a los datos procesados por este ELM.
Tabla 3-80 Definiciones de opciones
Opción
Definición
Nivel de compresión de ELM Seleccione Baja, Media o Alta. Véase Establecimiento de la compresión de ELM
para obtener detalles sobre cada una de estas opciones de configuración.
Véase también
Establecimiento de la compresión de ELM en la página 168
Creación de copias de seguridad y restauración de ELM
Si se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad de
la configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración,
168
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se
incluyen en la copia de seguridad.
Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como
duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de
copias de seguridad de los datos de registro en tiempo real.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM.
2
Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y
restauración.
3
Siga uno de estos procedimientos:
Para...
Haga esto...
Crear copia de seguridad de ELM ahora
Proporcione la información solicitada y haga clic en Hacer
una copia de seguridad ahora.
Crear copia de seguridad de la
configuración de ELM automáticamente
Seleccione la frecuencia y proporcione la información
necesaria.
Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datos
de ELM se restaurará a la configuración de una copia de
seguridad anterior.
Procedimientos
•
Restauración de los datos de registro y la base de datos de administración de ELM en la
página 170
Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de
registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de
datos deben duplicarse.
Véase también
Página Copia de seguridad y restauración en la página 169
Página Copia de seguridad y restauración
Permite crear una copia de seguridad de la configuración actual de un dispositivo ELM para poder
restaurarla en caso de que falle el sistema o se produzca una fuga de datos.
Tabla 3-81 Definiciones de opciones
Opción
Definición
Frecuencia de copia de seguridad
Si desea crear una copia de seguridad de la configuración
automáticamente, seleccione esta opción y defina la frecuencia.
Ubicación de copia de seguridad
Seleccione el tipo de recurso compartido e introduzca la información
sobre la ubicación remota donde se almacene la información.
Conectar
Permite probar la conexión.
Hacer una copia de seguridad
ahora
Permite crear una copia de seguridad inmediatamente.
Restaurar copia de seguridad
Permite restaurar la base de datos de ELM a la configuración de una
copia de seguridad anterior. El almacenamiento de datos de ELM no se
restaura.
Restaurar ELM
Permite restaurar la base de datos de administración y el
almacenamiento de datos de ELM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
169
3
Configuración del ESM
Configuración de dispositivos
Véase también
Creación de copias de seguridad y restauración de ELM en la página 168
Restauración de los datos de registro y la base de datos de administración de ELM
Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el
nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse.
Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el
Asistente de adición de dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM
que se va a reemplazar.
Una página de advertencia le informará de que el sistema no puede localizar el ELM.
2
Cierre la página de advertencia y haga clic en Conexión.
3
Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.
Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta.
4
Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente.
5
Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.
6
Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM
de la página Propiedades | Configuración de cada dispositivo.
La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en el
nuevo ELM. Este proceso puede durar varias horas.
Definición de una ubicación de almacenamiento alternativa
A fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajena
al ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionar
un segundo dispositivo para duplicar lo que se almacene.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Migrar base de datos.
2
Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación.
3
Haga clic en Aceptar.
Véase también
Migración de la base de datos de ELM en la página 171
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Página Seleccionar ubicación de base de datos en la página 171
170
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Seleccionar ubicación de base de datos
Permite definir una ubicación alternativa para almacenar registros de la base de datos de
administración de ELM, así como una ubicación para las copias de seguridad.
Tabla 3-82 Definiciones de opciones
Opción
Definición
Gigabytes de espacio
Establezca la cantidad de espacio que se debe asignar a la base de datos
de administración.
Dispositivos de almacenamiento
de datos
Seleccione la ubicación para almacenar la base de datos de
administración.
Si necesita agregar un dispositivo a la lista o editar un dispositivo que
aparece en la lista, véase Adición de un dispositivo de almacenamiento
para vincular con un grupo de almacenamiento.
Dispositivo de almacenamiento
de datos duplicado
Seleccione una segunda ubicación de almacenamiento para duplicar el
dispositivo de almacenamiento de datos.
Si amplía el sistema desde una versión anterior a la 9.0, la primera vez
que seleccione la duplicación de cualquiera de los dispositivos existentes
el proceso tardará bastante tiempo.
Véase también
Definición de una ubicación de almacenamiento alternativa en la página 170
Visualización del uso de almacenamiento de ELM
La visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre la
asignación de espacio en el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de
ELM.
2
Haga clic en Ver uso.
Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los
grupos y el dispositivo de almacenamiento de ELM.
3
Haga clic en Aceptar.
Migración de la base de datos de ELM
La base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM.
La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos de
administración depende del modelo.
Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco
para almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para el
almacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficiente
en el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrar
base de datos en la página Propiedades de ELM para establecer esa ubicación.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
171
3
Configuración del ESM
Configuración de dispositivos
Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de
administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias
horas hasta que finaliza la migración, en función del número de registros que contenga. Se
recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez.
Véase también
Definición de una ubicación de almacenamiento alternativa en la página 170
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Sustitución de una base de datos de administración de ELM duplicada
Si el dispositivo de almacenamiento de la base de datos de administración duplicada tiene un
problema, podría ser necesario sustituirlo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de
almacenamiento de la base de datos de administración que tiene el problema y haga clic en el
icono Propiedades
.
2
Haga clic en Configuración de ELM y seleccione Migrar base de datos.
3
En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista
desplegable Dispositivo de almacenamiento de datos duplicado.
4
Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bien
seleccione Ninguno para detener la duplicación.
Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de
almacenamiento.
Véase también
Migración de la base de datos de ELM en la página 171
Definición de una ubicación de almacenamiento alternativa en la página 170
Recuperación de datos de ELM
Para recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridad
en la página Datos.
Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alterados
desde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada de
archivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestran
qué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sido
correcta.
El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridad
simultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puede
realizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo la
nueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar los
trabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevar
a cabo su búsqueda.
Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los
límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de
comprobar el estado, que aparece en la tabla Resultados de la búsqueda.
172
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Véase también
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Creación de un trabajo de búsqueda
Para buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo de
búsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante,
cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en el
menor tiempo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2
En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Creación de un trabajo de comprobación de integridad
Es posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente a
través de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de los
campos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la
búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menor
tiempo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2
Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Ficha Comprobación de integridad en la página 174
McAfee Enterprise Security Manager 9.6.0
Guía del producto
173
3
Configuración del ESM
Configuración de dispositivos
Ficha Comprobación de integridad
Permite definir los parámetros para comprobar si se han alterado los archivos desde que se
almacenaron originalmente.
Tabla 3-83 Definiciones de opciones
Opción
Definición
Registros, Archivos
Indique si desea comprobar los registros de ELM, los archivos de ELM o
ambos.
Espacio de tiempo
Indique el espacio de tiempo de los datos que se deben comprobar.
Dispositivo
Haga clic en el icono de filtrado
comprobarán.
y seleccione los dispositivos que se
Tipo de dispositivo
Haga clic en el icono de filtrado
se comprobarán.
y seleccione los tipos de dispositivos que
Nombre de archivo
Si desea que se compruebe un archivo concreto, escriba su nombre.
En el nombre de archivo se Si desea que no se distinga entre mayúsculas y minúsculas en el nombre de
distingue entre mayúsculas archivo, seleccione esta opción.
y minúsculas
Limitar tiempo de búsqueda Para limitar el tiempo que se dedica a la búsqueda, seleccione el número de
horas. Si selecciona cero, no existirá límite de tiempo.
Tamaño máx. del archivo de A fin de limitar el tamaño del archivo de resultados, seleccione el número
resultados
máximo de MB.
Campo abierto
Escriba un nombre descriptivo para el trabajo.
Buscar
Haga clic aquí para iniciar el trabajo.
Resultados de la búsqueda
Ver la lista de los trabajos completados. El estado de cada trabajo se indicará
en la columna Estado.
• En espera: el trabajo aún no ha empezado a procesarse. El sistema solo
puede procesar diez trabajos a la vez, y los procesa en el orden de
recepción.
• En ejecución: el trabajo está en curso.
• Completo: el trabajo ha finalizado. Puede ver los resultados o descargar la
exportación.
• Límite alcanzado: se ha alcanzado el límite de tiempo o tamaño. Es posible ver
los resultados, pero no están completos.
Ver
Ver los resultados del trabajo seleccionado.
Exportar
Exportar los resultados del trabajo seleccionado.
Se podrían perder todas las búsquedas de ELM si se elimina más de una
unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar
perder los resultados, exporte los resultados de búsqueda de ELM.
Eliminar
Marcar el trabajo seleccionado para su eliminación.
Volver a cargar búsqueda
Llevar a cabo el trabajo seleccionado de nuevo.
Véase también
Creación de un trabajo de comprobación de integridad en la página 173
174
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Visualización de los resultados de una búsqueda o una comprobación de integridad
Cuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los
resultados.
Antes de empezar
Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ELM.
2
Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.
3
Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.
Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM.
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina
virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda
de ELM.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Página Resultados de búsqueda de ELM en la página 175
Página Resultados de búsqueda de ELM
Permite ver y administrar los resultados de una búsqueda de ELM.
Tabla 3-84 Definiciones de opciones
Opción
Definición
Parámetros
Ver los parámetros utilizados para generar los resultados de la página.
Exportar
Exportar un resumen de los datos.
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra
de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados,
exporte los resultados de búsqueda de ELM.
Descargar archivo Para guardar los datos de archivos específicos, resalte los archivos en la tabla y haga
clic en esta opción.
Valor
Ver el valor del elemento seleccionado en la lista.
Véase también
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
McAfee Enterprise Security Manager 9.6.0
Guía del producto
175
3
Configuración del ESM
Configuración de dispositivos
Utilización de expresiones regulares para realizar consultas en el ELM
El ELM utiliza índices de Bloom para optimizar las consultas. Aunque pueden utilizarse la mayoría de
expresiones regulares compatibles con PERL (PCRE) para las búsquedas del ELM, no todas las PCRE
pueden optimizarse para el uso de Bloom.
Aunque el optimizador de expresiones regulares de Bloom realiza un ajuste previo para ofrecer
búsquedas óptimas, es posible obtener un rendimiento aún mejor de las consultas si se tienen en
cuenta algunas cosas.
•
Solo pueden utilizarse las partes obligatorias de la expresión regular para el filtrado de Bloom. El
filtro de Bloom solo emplea las subcadenas de la expresión regular que existen en todas las
cadenas coincidentes. La única excepción es que se puede utilizar una agrupación de OR de un
nivel de profundidad como (seth|matt|scott|steve).
•
No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatro
caracteres. Por ejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson solo
emplea wilson porque tom es demasiado corto.
•
Las agrupaciones de OR que contienen subcadenas no constantes o una subcadena demasiado
corta no se pueden utilizar. Por ejemplo, no se puede utilizar (start|\w\d+|ending) porque el
elemento central de la lista de OR no es una constante que se pueda buscar en Bloom. Otro
ejemplo sería (seth|tom|steve), que no se puede utilizar porque tom es demasiado corto; sin
embargo, se podría utilizar (seth|matt|steve).
El proceso del optimizador de base de datos ejecuta la consulta de expresión regular para Bloom. Este
optimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias.
A modo de ejemplo, la expresión regular original es:
\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|
La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto de
búsqueda de más de un millón de archivos a tan solo 20 000.
La expresión regular se puede optimizar aún más de la forma siguiente:
(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|
En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás de
cada elemento del grupo, lo cual tiene dos consecuencias:
•
Permite la inclusión de los caracteres de barra vertical.
•
Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres,
contengan más de cuatro, lo que implica que pueden utilizarse.
Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicaban
al filtro de Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustes
manuales en la expresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegar
a unos 2000 archivos solamente.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
176
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Configuración de Advanced Correlation Engine (ACE)
McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real
mediante la lógica basada tanto en reglas como en el riesgo.
Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores
específicos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las
reproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense.
El ACE se puede configurar con los modos en tiempo real o histórico.
•
Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección
inmediata de riesgos y amenazas.
•
Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de
correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre
nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado,
permitiendo así la detección de amenazas subzero-day.
Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM,
ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una
configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y
directivas.
•
Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La
correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un
ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin
reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo
que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de
usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad
relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja
en función de la actividad en tiempo real.
Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta
del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en
reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva
una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis
e investigaciones sobre la situación de las amenazas a lo largo del tiempo.
•
Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos
tradicional basada en reglas para analizar la información recopilada en tiempo real. El ACE
correlaciona todos los registros, eventos y flujos de red junto con información contextual como
identidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza
mayor.
Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACE
complementa esta capacidad y proporciona un recurso de procesamiento dedicado para
correlacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes de
correlación existentes o para sustituirlos por completo.
Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos,
recuperación de registros y eventos, conexión y directivas.
Selección del tipo de datos para el ACE
ESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar al
ACE. La opción predeterminada es enviar solo datos de eventos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
177
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.
2
Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.
3
Haga clic en Aceptar.
Adición de un administrador de correlación
Para utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación de
reglas o riesgos.
Antes de empezar
Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de
ESM).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE.
2
Haga clic en Administración de correlación y, después, en Agregar.
3
Seleccione el tipo de administrador que desee crear y haga clic en Aceptar.
Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tipos
de administradores.
4
Introduzca la información solicitada y, a continuación, haga clic en Finalizar.
Adición de un administrador de correlación de riesgos
Es necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para los
campos designados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de
correlación de riesgos.
2
Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.
3
Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.
Véase también
Página Administración de correlación en la página 179
Asistente Agregar administrador de correlación en la página 179
178
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Administración de correlación
Permite administrar los administradores de correlación, los cuales contribuyen a calcular los niveles de
riesgo.
Tabla 3-85 Definiciones de opciones
Opción
Definición
Tabla
Ver los administradores de correlación existentes en el ACE.
Agregar
Agregar un nuevo administrador de correlación.
Editar
Editar el administrador de correlación seleccionado.
Quitar
Eliminar el administrador seleccionado.
Activado
Activar el administrador seleccionado.
Número máximo de combinaciones
de campo
Seleccione el número máximo de combinaciones de campos que puede
tener un administrador. Este límite contribuye a mejorar el tiempo de
procesamiento en el sistema. Se trata de un número de cuatro cifras.
Escribir
Escribir los administradores de correlación en el dispositivo.
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Asistente Agregar administrador de correlación
Agregue un administrador de correlación para facilitar el cálculo de los niveles de riesgo.
Tabla 3-86 Definiciones de opciones
Ficha
Opción
Principal Nombre
Definición
Escriba un nombre para el administrador.
Activar
Anule la selección de esta opción si desea desactivar el administrador.
Usar datos de eventos,
Usar datos de flujos
Seleccione una opción o ambas para indicar el tipo de datos que desee
usar.
Registro, Grupos de
almacenamiento
Seleccione Registro para guardar los registros en el ELM. Seleccione el
grupo de almacenamiento del ELM donde quiera que se guarden los
registros.
Si no ha seleccionado un ELM para almacenar los datos, véase
Establecimiento del grupo de registro predeterminado.
Campos
Zona
Si desea que los datos se asignen a una zona, selecciónela en la lista
desplegable (véase Administración de zonas).
Tolerancia de orden de
tiempo
(Solo Correlación de reglas) Seleccione la cantidad de tiempo que los
eventos pueden estar fuera de lugar según la correlación de reglas. Por
ejemplo, si el valor es 60 minutos, se utilizará un evento con 59
minutos de retraso.
Campo
Seleccione los campos que debe usar este administrador para
correlacionar los eventos (máximo de cinco por administrador).
Porcentaje
Seleccione el porcentaje que desee para cada campo. El total debe
sumar una calificación global del 100 %.
Las actualizaciones de riesgo, cuando se encuentran por debajo del
100 % del nivel crítico, informan de su criticidad según lo que se haya
definido como Información, Leve, Advertencia, Grave y Crítico (véase
la ficha Umbrales). Por ejemplo, si su idea de Información corresponde al
50 % del valor crítico cuando el riesgo está al 50 % de criticidad, la
gravedad será en realidad 20 en lugar de 50.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
179
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-86 Definiciones de opciones (continuación)
Ficha
Opción
Definición
Correlacionar
Seleccione esta opción si no desea que se use un campo para
determinar la exclusividad. Debido a la memoria necesaria, no se
recomienda la correlación con respecto a varios campos de cardinalidad
alta.
El número de líneas de riesgo generadas dependerá del número de
combinaciones exclusivas de todos los campos correlacionados.
Umbrales Sección superior
Filtros
Permite establecer los umbrales de calificación para activar un evento
por cada nivel de criticidad.
Sección inferior
Permite establecer la tasa de reducción de la calificación. La
configuración predeterminada establece que, por cada 120 segundos
que una calificación esté en un contenedor, se reducirá en un 10 %
hasta que alcance una calificación de 5. Entonces, se elimina el
contenedor de los valores de campos exclusivos.
AND lógico, OR lógico
Permiten configurar la estructura para los filtros mediante elementos
lógicos (véase Elementos lógicos).
Componente de filtrado
de campos
Arrastre y suelte el icono Coincidir componente
en un elemento lógico y,
después, rellene la página Agregar campo de filtro.
Para editar las condiciones de un componente una vez agregado a un
correspondiente al
elemento lógico, haga clic en el icono Menú
componente y seleccione Editar. Esto le permitirá realizar cambios en la
configuración.
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Adición de una calificación de correlación de riesgos
Es necesario agregar sentencias condicionales que asignen una calificación a un campo de destino.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de
correlación de riesgos.
2
Haga clic en Agregar y rellene la información solicitada.
3
Haga clic en Aceptar.
Véase también
Página Calificación de correlación de riesgos en la página 181
Asistente de calificación de correlación de riesgos en la página 181
180
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Calificación de correlación de riesgos
La calificación de correlación de riesgos permite agregar sentencias condicionales de calificación. Estas
se basan en un campo de riesgo, el cual contiene un valor que genera una calificación definida para un
campo de riesgo de destino.
Tabla 3-87 Definiciones de opciones
Opción Definición
Tabla
Ver las calificaciones de correlación de riesgos existentes.
Agregar
Permite agregar una calificación de correlación de riesgos.
Editar
Cambiar la configuración de la calificación seleccionada.
Quitar
Eliminar la calificación seleccionada.
Activado
Seleccione esta opción si desea activar la calificación de correlación de riesgos para la
sentencia condicional seleccionada. La configuración se refleja en la columna Activado de la
tabla.
Escribir
Escribir la nueva configuración en el dispositivo.
Véase también
Adición de una calificación de correlación de riesgos en la página 180
Asistente de calificación de correlación de riesgos
Permite agregar una sentencia condicional que asigna una calificación.
Tabla 3-88 Definiciones de opciones
Opción
Definición
Calificación activada
Seleccione esta opción si desea activar la sentencia condicional.
Tipo de datos
Seleccione el tipo de datos que desee que resulte visible para la sentencia
condicional. Puede seleccionar Evento, Flujo o ambos tipos.
Campo de calificación
Busque el campo que recibirá la calificación deseada.
Campo de búsqueda
Busque el campo con el que hacer coincidir el tipo de origen.
Tipo de origen
Seleccione el tipo de origen que utilizar para la comparación. Si el tipo de
origen seleccionado contiene un valor de calificación además del valor de
coincidencia, se aplicará esa calificación; también es posible asignar una
calificación introducida manualmente si se marca la casilla de verificación de la
columna Usar calificación.
Valor
Escriba o seleccione el valor de comparación. Las opciones disponibles en esta
columna varían en función del tipo de origen seleccionado en la columna
anterior.
Usar calificación
Seleccione la casilla de verificación para utilizar una calificación introducida
manualmente.
Calificación
La calificación que se asignará al Campo de calificación seleccionado. Existe la
posibilidad de aplicar una calificación fusionada al campo de calificación
cuando se introducen varias reglas en la cuadrícula.
Ponderación
Ponderación asignada a la fila o el tipo de origen para una calificación
fusionada de la sentencia condicional. No puede superar el 100 %.
Botón Agregar fila
Permite agregar una nueva fila condicional a la sentencia condicional general.
Ponderación total
Total de cada una de las filas o tipos de origen bajo la columna de
ponderación.
Intervalo de calificación de
riesgo actual para
El intervalo de calificación que se puede asignar al campo seleccionado como
campo de calificación en función del resultado de las filas condicionales.
Véase también
Adición de una calificación de correlación de riesgos en la página 180
McAfee Enterprise Security Manager 9.6.0
Guía del producto
181
3
Configuración del ESM
Configuración de dispositivos
Utilización de la correlación histórica
La opción de correlación histórica permite correlacionar los eventos pasados.
Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registros
históricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de red
fácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas de
Correlación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual es
posible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puede
resultar útil en las siguientes situaciones:
•
No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuenta
de que la correlación podría haber revelado información valiosa.
•
Está configurando una nueva correlación en función de los eventos activados en el pasado y desea
probarla para confirmar que ofrece los resultados esperados.
Tenga en cuenta lo siguiente cuando utilice la correlación histórica:
•
La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
•
La distribución de riesgo se verá distorsionada por la agregación de eventos.
•
Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, es
necesario ajustar los umbrales.
Para configurar y ejecutar la correlación histórica es necesario:
1
Agregar un filtro de correlación histórica.
2
Ejecutar una correlación histórica.
3
Descargar y ver los eventos históricos correlacionados.
Véase también
Adición y ejecución de una correlación histórica en la página 182
Descarga y visualización de los eventos de correlación histórica en la página 183
Adición y ejecución de una correlación histórica
A fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y,
después, ejecutar la correlación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.
2
Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.
3
Seleccione Activar correlación histórica y haga clic en Aplicar.
La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
4
Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.
El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables.
Véase también
Utilización de la correlación histórica en la página 182
Página Correlación histórica en la página 183
Página Filtro de correlación histórica en la página 183
182
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Página Correlación histórica
Configure un filtro para poder correlacionar eventos pasados.
Tabla 3-89 Definiciones de opciones
Opción
Definición
Activar correlación histórica Seleccione esta opción si desea que la correlación histórica esté activada en el
ACE.
La correlación en tiempo real deja de funcionar cuando se activa la correlación
histórica.
Tabla
Ver los filtros que hay actualmente en el ACE.
Agregar
Agregar un filtro para recuperar datos de eventos de correlación histórica.
Editar
Cambiar la configuración de filtrado para el filtro seleccionado.
Quitar
Eliminar un filtro.
Ejecutar ahora
Ejecutar los filtros seleccionados en ese momento. El ESM revisa los eventos,
aplica los filtros y empaqueta los eventos aplicables.
Véase también
Adición y ejecución de una correlación histórica en la página 182
Página Filtro de correlación histórica
La adición de un filtro de correlación histórica permite correlacionar los eventos pasados.
Tabla 3-90 Definiciones de opciones
Opción
Definición
Nombre
Escriba un nombre para este filtro.
Espacio de tiempo
Seleccione el espacio de tiempo para correlacionar los eventos históricos.
Resto de campos Seleccione o escriba los valores por los que desee filtrar. Aparecerá una sugerencia
sobre el campo en el que haga clic en la parte inferior de la página.
Véase también
Adición y ejecución de una correlación histórica en la página 182
Descarga y visualización de los eventos de correlación histórica
Una vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros |
Obtener eventos.
Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM.
2
Cierre la ventana Propiedades de ACE.
3
Para ver los datos:
a
En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba de
ejecutar los datos históricos.
b
En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas,
seleccione el periodo especificado al configurar la ejecución.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
183
3
Configuración del ESM
Configuración de dispositivos
Los resultados de la consulta aparecerán en el panel de visualización.
Véase también
Utilización de la correlación histórica en la página 182
Configuración de Application Data Monitor (ADM)
McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en la
red mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido de
las aplicaciones.
Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su uso
en la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoría
de conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que se
enmascaran como aplicaciones legítimas.
ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo
electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u
otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante
la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede
detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a
fin de conservar una traza de auditoría.
ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación.
•
Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente)
•
Correo electrónico: SMTP, POP3, NNTP, MAPI
•
Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC
•
Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail
•
P2P: Gnutella, bitTorrent
•
Shell: SSH (solo detección), Telnet
ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual
inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el
paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega
metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada
regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete
de la tabla de consultas.
ADM puede generar los siguientes tipos de eventos.
184
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
•
Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red
con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación
coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de
sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos.
•
Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en
los módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o
para contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no
válido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla de
eventos.
•
Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla
que detectan anomalías en los metadatos generados por el motor de Internet Communications
Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las
horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los
eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos.
La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de
regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el
ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos
de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes,
donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento.
La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales
como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de
sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más
detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una
transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la
tabla de eventos.
La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido
que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID
de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o
una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de
paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de
contenido o el protocolo completo.
Configuración de la zona horaria de ADM
El dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que el
dispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean el
activador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera.
El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a la
hora de evaluar las reglas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
2
Haga clic en Zona horaria y seleccione su zona horaria.
3
Haga clic en Aceptar.
Véase también
Página Configurar zona horaria de ADM en la página 186
McAfee Enterprise Security Manager 9.6.0
Guía del producto
185
3
Configuración del ESM
Configuración de dispositivos
Página Configurar zona horaria de ADM
Permite configurar la zona horaria para los eventos que registre este ADM.
Véase también
Configuración de la zona horaria de ADM en la página 185
Visualización de contraseñas en el Visor de sesión
El Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Las
reglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es
posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada,
no se muestran.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
La opción Contraseñas indica que el registro está Desactivado.
2
Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar.
El sistema ejecutará el comando y le avisará cuando haya terminado.
La opción Contraseñas indica ahora que el registro está Activado.
Diccionarios de Application Data Monitor (ADM)
Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las claves
capturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que emplean
de forma predeterminada el valor booleano verdadero cuando están presentes.
Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tener
que escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin de
seleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario con
palabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente para
comprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario:
protocol == email && naughtyWords[objcontent]
Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el
diccionario al que debe hacer referencia la regla.
Los diccionarios admiten millones de entradas.
La adición de un diccionario a una regla implica los pasos siguientes:
1
Configurar y guardar un diccionario que incluya las claves y, si procede, los valores.
2
Administrar el diccionario en el ESM.
3
Asignar el diccionario a una regla.
Véase también
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
186
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Configuración de un diccionario de ADM
Un diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay
diccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una
clave como un valor.
Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores son
booleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se
utiliza el valor booleano verdadero si no se indica otro.
Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM:
cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las
siguientes directrices de formato:
Tipo
Reglas de sintaxis
Ejemplos
Contenido de
coincidencia
Cadena
• Las cadenas se deben
delimitar entre comillas dobles
“Contenido malo”
Contenido malo
“Dijo: \“Contenido malo\””
Dijo: “Contenido
malo”
/[Aa]pple/
Apple o apple
/apple/i
Apple o apple
• Las comillas dobles incluidas
en una cadena deben ir
acompañadas de barras
diagonales invertidas a modo
de caracteres de escape antes
de cada comilla
Expresión
regular
• Las expresiones regulares se
delimitan mediante barras
diagonales simples
/ [0-9]{1,3}\.[0-9]{1,3}\.
• Las barras diagonales y los
[0-9]\.[0-9]/
caracteres de expresión
/1\/2 de todo/
regular reservados incluidos en
la expresión regular se deben
acompañar de barras
diagonales invertidas como
caracteres de escape
Números
Direcciones IP:
1.1.1.1
127.0.0.1
1/2 de todo
• Valores decimales (0-9)
Valor decimal
123
• Valores hexadecimales
(0x0-9a-f)
Valor hexadecimal
0x12ab
Valor octal
0127
• Valores octales (0-7)
McAfee Enterprise Security Manager 9.6.0
Guía del producto
187
3
Configuración del ESM
Configuración de dispositivos
Tipo
Reglas de sintaxis
Booleanos
• Pueden ser verdaderos o falsos Literales booleanos
verdadero
• Todo en minúscula
falso
192.168.1.1
• Se puede escribir en el
formato estándar de cuatro
192.168.1.0/24
números separados por puntos
192.168.1.0/255.255.255.0
• Se puede escribir en notación
CIDR
192.168.1.1
IPv4
Ejemplos
Contenido de
coincidencia
192.168.1.[0 –
255]
192.168.1.[0 –
255]
• Se puede escribir en formato
largo con máscaras completas
Tenga en cuenta lo siguiente sobre los diccionarios:
•
Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los
diccionarios.
•
Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden
combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único
archivo de diccionario de ADM.
•
Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#)
se consideran comentarios en un diccionario de ADM.
•
Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener
una longitud total igual o inferior a 20 caracteres.
•
No se admiten las listas.
•
En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante
cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación
o creación de nuevos diccionarios de ADM.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
188
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Ejemplos de diccionarios de ADM
El motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica o
propiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en el
diccionario o no existe en el diccionario).
Tabla 3-91 Ejemplos de diccionarios de una columna
Tipo de diccionario
Ejemplo
Diccionario de cadenas con
palabras comunes en spam
“Cialis”
“cialis”
“Viagra”
“viagra”
“web para adultos”
“Web para adultos”
“¡actúe ahora, no se lo piense!”
Diccionario de expresiones
regulares con palabras clave
de autorización
/(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña|
usuario)/i
/(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i
/fondos[^a-z0-9]{1,3}transacción/i
/fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i
Diccionario de cadenas con
valores de hash de
ejecutables maliciosos
conocidos
"fec72ceae15b6f60cbf269f99b9888e9"
"fed472c13c1db095c4cb0fc54ed28485"
"feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
Direcciones IP de activos
críticos
192.168.1.12
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240
McAfee Enterprise Security Manager 9.6.0
Guía del producto
189
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-92 Ejemplos de diccionarios de dos columnas
Tipo de diccionario
Ejemplo
Diccionario de cadenas con
palabras y categorías
comunes en spam
“Cialis” “genérico”
“cialis” “genérico”
“Viagra” “genérico”
“viagra” “genérico”
“web para adultos” “adultos”
“Web para adultos” “adultos”
“¡actúe ahora, no se lo piense!” “fraude”
Diccionario de expresiones
/(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña|
regulares con palabras clave usuario)/i “credenciales”
y categorías de autorización
/(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i
“pii”
/fondos[^a-z0-9]{1,3}transacción/i “sox”
/fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i “sox”
Diccionario de cadenas con "fec72ceae15b6f60cbf269f99b9888e9" “Troyano”
valores de hash y categorías
"fed472c13c1db095c4cb0fc54ed28485" “Malware”
de ejecutables maliciosos
conocidos
"feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “Troyano”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
Direcciones IP y grupos de
activos críticos
192.168.1.12 “Activos críticos”
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Activos críticos”
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Administración de diccionarios de ADM
Una vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También es
posible exportarlo, editarlo y eliminarlo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM.
La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,
foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema.
190
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
2
3
Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
Página Administrar diccionarios de ADM en la página 191
Página Editar diccionario de ADM en la página 191
Página Importar diccionario de ADM en la página 192
Página Administrar diccionarios de ADM
Permite administrar la lista de diccionarios de ADM disponibles en el ESM para poder usarlas en reglas
de ADM.
Tabla 3-93 Definiciones de opciones
Opción Definición
Importar
Importar un diccionario de ADM al ESM.
Exportar
Exportar el diccionario de ADM seleccionado a un archivo local.
Editar
Editar el diccionario seleccionado.
Eliminar
Eliminar el diccionario seleccionado.
Cuando se elimina un diccionario, cualquier intento de desplegar un grupo de reglas con
reglas que hagan referencia a este diccionario provocará un error de compilación. Si asigna
este diccionario a una regla, vuelva a escribir la regla para que no haga referencia al
diccionario (véase Cómo hacer referencia a un diccionario de ADM) o bien no siga con la
eliminación.
Véase también
Administración de diccionarios de ADM en la página 190
Página Editar diccionario de ADM
Permite realizar cambios en un diccionario de ADM.
Tabla 3-94 Definiciones de opciones
Opción Definición
Buscar
Si desea buscar una entrada concreta, escriba en el campo y haga clic en esta opción.
Tabla
Ver las entradas existentes. Es posible agregar entradas nuevas y cambiar o eliminar las
existentes.
Véase también
Administración de diccionarios de ADM en la página 190
McAfee Enterprise Security Manager 9.6.0
Guía del producto
191
3
Configuración del ESM
Configuración de dispositivos
Página Importar diccionario de ADM
Permite importar un diccionario de ADM al ESM.
Tabla 3-95 Definiciones de opciones
Opción
Definición
Diccionario
Buscar el archivo de diccionario y cargarlo.
Tipo de clave Seleccione el tipo de clave empleado en el diccionario.
Si existe una discrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor y el
contenido del archivo, se le informará de que los datos no son válidos.
Tipo de valor Seleccione el tipo de valor empleado en el diccionario.
Véase también
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM
Cuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribir
las reglas.
Antes de empezar
Importe el diccionario al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM.
2
Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica
de expresión.
3
Arrastre y suelte el icono Componente de expresión
en el elemento lógico.
4
En la página Componente de expresión, seleccione el diccionario en el campo Diccionario.
5
Rellene los campos restantes y haga clic en Aceptar.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Ejemplos de diccionarios de ADM en la página 189
Material de referencia para reglas de ADM
Este apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor de
directivas.
Véase también
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
192
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Sintaxis de las reglas de ADM
Las reglas de ADM son muy similares a las expresiones de C.
La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresiones
regulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden comparar
con literales de cadena y expresión regular a fin de comprobar su contenido, pero también se pueden
comparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y de
dirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es que
cualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términos
pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de los
archivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.
Tabla 3-96
Operadores
Operador
Descripción
Ejemplo
&&
AND lógico
protocol = = http && type = = image/gif
||
OR lógico
time.hour < 8 || time.hour > 18
^^
XOR lógico
email.from = = "[email protected]" ^^email.to = = "[email protected]"
!
NOT unario
! (protocol = = http | | protocol = = ftp)
==
Igual que
type = = application/pdf
!=
No igual que
srcip ! = 192.168.0.0/16
>
Mayor que
objectsize > 100M
>=
Mayor o igual que
time.weekday > = 1
<
Menor que
objectsize < 10K
<=
Menor o igual que
time.hour < = 6
Tabla 3-97 Literales
Literal
Ejemplo
Número
1234, 0x1234, 0777, 16K, 10M, 2G
Cadena
"una cadena"
Expresión regular
/[A-Z] [a-z]+/
IPv4
1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0
MAC
aa:bb:cc:dd:ee:ff
Booleano
true, false
Tabla 3-98 Compatibilidad entre tipos y operadores
Tipo
Operadores
Número
= =, ! =, >, > =, <, < =
Cadena
= =, ! =
Comparar el contenido de la cadena con una cadena/expresión
regular
Cadena
>, > =, <, <=
Comparar la longitud de la cadena
IPv4
= =, ! =
McAfee Enterprise Security Manager 9.6.0
Notas
Guía del producto
193
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-98 Compatibilidad entre tipos y operadores (continuación)
Tipo
Operadores
MAC
= =, ! =
Booleano = =, ! =
Notas
Comparar con verdadero/falso; también admite la comparación
implícita con verdadero, por ejemplo, lo siguiente comprueba si
aparece el término “email.bcc”: email.bcc
Tabla 3-99 Gramática de las expresiones regulares de ADM
Operadores básicos
|
Alternancia (o)
*
Cero o más
+
Uno o más
?
Cero o uno
()
Agrupación (a | b)
{}
Intervalo repetitivo {x} o {,x} o {x,} o {x,y}
[]
Intervalo [0-9a-z] [abc]
[^ ]
Intervalo exclusivo [^abc] [^0-9]
.
Cualquier carácter
\
Carácter de escape
Caracteres de escape
194
\d
Dígito [0-9]
\D
No dígito [^0-9]
\e
Escape (0x1B)
\f
Avance de página (0x0C)
\n
Avance de línea (0x0A)
\r
Retorno de carro (0x0D)
\s
Espacio en blanco
\S
No espacio en blanco
\t
Tabulación (0x09)
\v
Tabulación vertical (0x0B)
\w
Palabra [A-Za-z0-9_]
\W
No palabra
\x00
Representación hexadecimal
\0000
Representación octal
^
Inicio de línea
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Caracteres de escape
S
Fin de línea
Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.
Clases de caracteres POSIX
[:alunum:]
Dígitos y letras
[:alpha:]
Todas las letras
[:ascii:]
Caracteres ASCII
[:blank:]
Espacio y tabulación
[:cntrl:]
Caracteres de control
[:digit:]
Dígitos
[:graph:]
Caracteres visibles
[:lower:]
Letras minúsculas
[:print:]
Espacios y caracteres visibles
[:punct:]
Puntuación y símbolos
[:space:]
Todos los caracteres de espacio en blanco
[:upper:]
Caracteres en mayúscula
[:word:]
Caracteres de palabras
[:xdigit:]
Dígito hexadecimal
Véase también
Material de referencia para reglas de ADM en la página 192
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
Tipos de términos para reglas de ADM
Todos los términos de una regla de ADM son de un tipo concreto.
Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valor
booleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un
término de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo o
una lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla:
1
Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La
regla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password”
es un término de cadena): password < 8
2
Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa
si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/
3
Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si
están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una
dirección CC (“email.cc” es un término de cadena): email.cc == true
McAfee Enterprise Security Manager 9.6.0
Guía del producto
195
3
Configuración del ESM
Configuración de dispositivos
Tipo
Descripción del formato
Direcciones
IP
• Los literales de dirección IP se escriben con el formato estándar de cuatro números
separados por puntos y no se delimitan mediante comillas: 192.168.1.1
• Las direcciones IP pueden presentar una máscara expresada en notación CIDR
estándar; no deben existir espacios en blanco entre la dirección y la máscara:
192.168.1.0/24
• Las direcciones IP también se pueden escribir con el formato largo:
192.168.1.0/255.255.255.0
Direcciones
MAC
• Los literales de dirección MAC se escriben mediante la notación estándar y, al igual
que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff
Números
• Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar
en formato decimal: 1234
• Se pueden expresar en formato hexadecimal: 0xabcd
• Se pueden expresar en formato octal: 0777
• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o
1 073 741 824 (G): 10M
Cadenas
• Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"
• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una
\"cadena\" que contiene\x20secuencias de escape\n"
• Al comparar un término con una cadena, el término debe coincidir con la cadena al
completo. Si un mensaje de correo electrónico tiene la dirección de origen
“[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com”
• Para usar la coincidencia parcial con un término, hay que usar un literal de
expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea
posible, ya que resultan más eficaces.
Todos los términos de dirección de correo electrónico y URL se normalizan antes de la
coincidencia, por lo que no es necesario tener en cuenta cosas como los comentarios
incluidos en las direcciones de correo electrónico.
Booleanos
196
• Los literales booleanos son verdadero (true) y falso (false).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tipo
Descripción del formato
Expresiones
regulares
• Los literales de expresión regular emplean la misma notación que algunos
lenguajes, como Javascript y Perl, por lo que la expresión regular se delimita
mediante barras diagonales: /[a-z]+/
• Las expresiones regulares pueden ir seguidas de indicadores de modificación
estándar, aunque "i" es el único que se reconoce actualmente (sin distinción entre
mayúsculas y minúsculas): /[a-z]+/i
• Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En este
momento, las extensiones Perl funcionan para todos los términos excepto el de
contenido, pero esto podría cambiar en versiones futuras.
• Si se compara un término con una expresión regular, esta puede coincidir con
cualquier subcadena incluida en el término a menos que se apliquen operadores de
anclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje de
correo electrónico con la dirección “[email protected]”: email.from == /
@lugar.com/
Listas
• Los literales de lista constan de uno o varios literales delimitados por corchetes y
separados por comas: [1, 2, 3, 4, 5]
• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:
[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]
• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y
números, cadenas y expresiones regulares o direcciones IP y direcciones MAC.
• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”
(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.
La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las
direcciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]
• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si el
término no coincide con todos los literales de la lista. La siguiente regla se activa si
la dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,
192.168.1.2]
• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2
• Las listas también se pueden usar con otros operadores relacionales, aunque no
tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior
a 100, o bien si es superior a 200: objectsize > [100, 200]
• Esto es equivalente a: objectsize > 100 || objectsize > 200
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
Referencias métricas para reglas de ADM
A continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cuales
están disponibles en la página Componente de expresión cuando se agrega una regla de ADM.
En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede
indicar para cada una se muestra entre paréntesis tras la referencia métrica.
Propiedades comunes
McAfee Enterprise Security Manager 9.6.0
Guía del producto
197
3
Configuración del ESM
Configuración de dispositivos
Propiedad o término
Descripción
Protocol (número)
El protocolo de aplicación (HTTP, FTP, SMTP, etc.).
Object Content (cadena)
El contenido de un objeto (texto de un documento, mensaje de correo
electrónico o mensaje de chat, etc.). La coincidencia de contenido no
está disponible para los datos binarios. Sin embargo, los objetos
binarios se pueden detectar mediante el tipo de objeto (objtype).
Object Type (número)
Especifica el tipo de contenido de acuerdo con ADM (documentos de
Office, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.).
Object Size (número)
Tamaño del objeto. Es posible agregar los multiplicadores numéricos K,
M y G tras el número (10K, 10M, 10G).
Object Hash (cadena)
El hash del contenido (actualmente, MD5).
Object Source IP Address
(número)
Dirección IP de origen del contenido. La dirección IP se puede
especificar como 192.168.1.1, 192.168.1.0/24 o
192.168.1.0/255.255.255.0.
Object Destination IP
Address (número)
Dirección IP de destino del contenido. La dirección IP se puede
especificar como 192.168.1.1, 192.168.1.0/24 o
192.168.1.0/255.255.255.0.
Object Source Port
(número)
El puerto TCP/UDP de origen del contenido.
Object Destination Port
(número)
El puerto TCP/UDP de destino del contenido.
Object Source IP v6
Address (número)
Dirección IPv6 de origen del contenido.
Object Destination IPv6
Address (número)
Dirección IPv6 de destino del contenido.
Object Source MAC Address Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).
(nombre de MAC)
Object Destination MAC
Address (nombre de MAC)
Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).
Flow Source IP Address
(IPv4)
Dirección IP de origen del flujo. La dirección IP se puede especificar
como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.
Flow Destination IP Address Dirección IP de destino del flujo. La dirección IP se puede especificar
(IPv4)
como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.
198
Flow Source Port (número)
Puerto TCP/UDP de origen del flujo.
Flow Destination Port
(número)
Puerto TCP/UDP de destino del flujo.
Flow Source IPv6 Address
(número)
Dirección IPv6 de origen del flujo.
Flow Destination IPv6
Address (número)
Dirección IPv6 de destino del flujo.
Flow Source MAC Address
(nombre de MAC)
Dirección MAC de origen del flujo.
Flow Destination MAC
Address (nombre de MAC)
Dirección MAC de destino del flujo.
VLAN (número)
ID de LAN virtual.
Day of Week (número)
El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1
corresponde al lunes.
Hour of Day (número)
La hora del día correspondiente a GMT. Los valores válidos oscilan entre
0 y 23.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Propiedad o término
Descripción
Declared Content Type
(cadena)
Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de
objeto (objtype) es siempre el tipo real, mientras que el tipo de
contenido declarado (content-type) no resulta fiable, ya que el servidor
o la aplicación lo pueden falsificar.
Password (cadena)
La contraseña utilizada por la aplicación para la autenticación.
URL (cadena)
URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.
File Name (cadena)
Nombre del archivo transferido.
Display Name (cadena)
Host Name (cadena)
Nombre de host de acuerdo con la búsqueda DNS.
Anomalías comunes
•
User logged off (literal booleano)
•
Authorization error (literal booleano)
•
Authorization successful (literal booleano)
•
Authorization failed (literal booleano)
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
Propiedades específicas de protocolos
Además de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM también
ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todas
las propiedades específicas de protocolos están disponibles también en la página Componente de expresión
a la hora de agregar una regla de ADM.
Ejemplos de propiedades específicas de protocolos
Estas propiedades se aplican a las tablas siguientes:
* Solo detección
** Sin descifrado, se capturan los certificados X.509 y los datos cifrados
*** A través del módulo RFC822
Tabla 3-100 Módulos de protocolo de transferencia de archivos
FTP
HTTP
SMB*
SSL**
Nombre de pantalla
Nombre de pantalla
Nombre de pantalla
Nombre de pantalla
Nombre de archivo
Nombre de archivo
Nombre de archivo
Nombre de archivo
Nombre de host
Nombre de host
Nombre de host
Nombre de host
URL
Referer
URL
Todos los encabezados HTTP
McAfee Enterprise Security Manager 9.6.0
Guía del producto
199
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-101 Módulos de protocolo de correo electrónico
DeltaSync
MAPI
NNTP
POP3
SMTP
CCO***
CCO
CCO***
CCO***
CCO***
CC***
CC
CC***
CC***
CC***
Nombre de
pantalla
Nombre de pantalla Nombre de
pantalla
De***
De***
Nombre de host
Nombre de host
Asunto***
Para***
Para***
Asunto***
Nombre de usuario
Nombre de pantalla Nombre de
pantalla
De***
De
Nombre de host
Nombre de host
Asunto***
Asunto
Para***
Para
De***
Nombre de host
Asunto***
Para***
Nombre de
usuario
Tabla 3-102 Módulos de protocolo de correo web
AOL
Gmail
Hotmail
Yahoo
Nombre de datos
adjuntos
Nombre de datos
adjuntos
Nombre de datos
adjuntos
Nombre de datos
adjuntos
CCO***
CCO***
CCO***
CCO***
CC***
CC***
CC***
CC***
Nombre de pantalla
Nombre de pantalla
Nombre de pantalla
Nombre de pantalla
Nombre de archivo
Nombre de archivo
Nombre de archivo
Nombre de archivo
Nombre de host
Nombre de host
Nombre de host
Nombre de host
De***
De***
De***
De***
Asunto***
Asunto***
Asunto***
Asunto***
Para***
Para***
Para***
Para***
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Anomalías de protocolo en la página 200
Anomalías de protocolo
Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también
detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las
propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente
de expresión cuando se agrega una regla de ADM.
Tabla 3-103
200
IP
Término
Descripción
ip.too-small
El paquete IP es demasiado pequeño para contener un encabezado válido.
ip.bad-offset
El desplazamiento de datos de IP sobrepasa el final del paquete.
ip.fragmented
El paquete IP está fragmentado.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-103
IP (continuación)
Término
Descripción
ip.bad-checksum
La suma de comprobación del paquete IP no coincide con los datos.
ip.bad-length
El campo totlen del paquete IP sobrepasa el final del archivo.
Tabla 3-104 TCP
Término
Descripción
tcp.too-small
El paquete TCP es demasiado pequeño para contener un
encabezado válido.
tcp.bad-offset
El desplazamiento de datos de TCP sobrepasa el final del
paquete.
tcp.unexpected-fin
El indicador TCP FIN está definido con un estado no establecido.
tcp.unexpected-syn
El indicador TCP SYN está definido con un estado establecido.
tcp.duplicate-ack
Los datos de ACK del paquete TCP ya se han confirmado.
tcp.segment-outsidewindow
El paquete TCP está fuera de la ventana (la ventana pequeña
de TCP del módulo, no la ventana real).
tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no
se ha definido el indicador URG.
Tabla 3-105 DNS
Término
Descripción
dns.too-small
El paquete DNS es demasiado pequeño para contener un
encabezado válido.
dns.question-name-past-end
El nombre de pregunta de DNS sobrepasa el final del paquete.
dns.answer-name-past-end
El nombre de respuesta de DNS sobrepasa el final del paquete.
dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de
longitud.
dns.answer-circular-reference
La respuesta de DNS contiene una referencia circular.
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Configuración de Database Event Monitor (DEM)
McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de
auditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación de
informes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide con
patrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todas
las transacciones se registran para garantizar la conformidad.
El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la
misma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil
ajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, qué
transacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
201
3
Configuración del ESM
Configuración de dispositivos
El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases
de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de
intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda
supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión
de red, seguridad, conformidad y bases de datos.
Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de
red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o
supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría.
Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de
servidor de base de datos compatibles.
Sistema operativo
Base de datos
Appliance DEM
Windows (todas las versiones)
Microsoft SQL Server¹
MSSQL 7, 2000, 2005, 2008,
2012
Windows, UNIX/Linux (todas las
versiones)
Oracle²
Oracle 8.x, 9.x, 10g, 11g (c),
11g R2³
Sybase
11.x, 12.x, 15.x
DB2
8.x, 9.x, 10.x
Informix (disponible en la
versión 8.4.0 o posterior)
11.5
MySQL
Sí, 4.x, 5.x, 6.x
PostgreSQL
7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata
12.x, 13.x, 14.x
InterSystems Cache
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
Mainframe
DB2/zOS
Todas las versiones
AS400
DB2
Todas las versiones
Windows, UNIX/Linux (todas las
versiones)
UNIX/Linux (todas las versiones)
1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0
y posteriores.
2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores.
3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.
Lo siguiente es aplicable a estos servidores y estas versiones:
•
Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las
plataformas de base de datos.
•
MySQL solo se admite en plataformas Windows de 32 bits.
•
El descifrado de paquetes se admite en MSSQL y Oracle.
Actualización de la licencia de DEM
El DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviará
una nueva licencia en un mensaje de correo electrónico y deberá actualizarla.
202
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2
Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.
3
Haga clic en Aceptar.
El sistema actualizará la licencia y le avisará cuando haya terminado.
4
Despliegue la directiva en el DEM.
Véase también
Página Actualizar licencia de DEM en la página 203
Página Actualizar licencia de DEM
Permite ver las limitaciones de la licencia actual del DEM, así como actualizarla.
Tabla 3-106 Definiciones de opciones
Opción
Definición
Actualizar licencia
Permite actualizar la licencia del DEM.
Página Actualizar licencia Copie la licencia que le ha enviado McAfee, péguela aquí y haga clic en Aceptar.
Véase también
Actualización de la licencia de DEM en la página 202
Sincronización de los archivos de configuración de DEM
Cuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, es
necesario escribirlos en el DEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2
Haga clic en Sincronizar archivos.
Aparecerá un mensaje que indica el estado de la sincronización.
Configuración de opciones avanzadas de DEM
Estas opciones avanzadas cambian o aumentan el rendimiento del DEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2
Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si
experimenta una carga muy elevada en el DEM.
3
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
203
3
Configuración del ESM
Configuración de dispositivos
Véase también
Página Opciones de DEM avanzadas en la página 204
Página Opciones de DEM avanzadas
Permite cambiar o aumentar el rendimiento del DEM.
Tabla 3-107 Definiciones de opciones
Opción
Definición
Defina las opciones de configuración siguientes según proceda.
Nivel de detalle del
archivo de registro
Permite establecer el nivel de detalle de la información de registro enviada del
agente de DEM al administrador del DEM. Estas son las tres opciones: Información,
Advertencia y Depuración.
Si selecciona Depuración, la información será muy detallada y puede consumir una
gran parte de espacio de disco.
Puerto de registro de
agente y Puerto de
servicio de agente
Cambiar los puertos predeterminados de registro y servicio del agente. Se trata
de los puertos que se emplean para comunicarse con el agente.
Usar cifrado
Indique si se debe cifrar o no la información enviada al administrador de DEM
desde el agente de DEM. Este registro se descifra cuando se recibe.
IP de servidor Kerberos Indique la dirección IP del servidor Kerberos si desea recuperar los nombres de
usuario mediante el análisis del protocolo Kerberos para la autenticación de la
base de datos con el uso de la Seguridad integrada de Windows.
Es posible especificar diversas opciones de IP, puertos y VLAN mediante el
formato siguiente: IP;PUERTO;VLAN;IP;PUERTO (por ejemplo,
10.0.0.1;88;11,10.0.0.2;88;12). IPv6 también se admite con este mismo
formato.
Memoria compartida
Elija el tamaño del búfer que empleará el DEM para procesar eventos de base de
datos. El aumento del tamaño del búfer proporciona un mejor rendimiento.
Repositorio de eventos
Seleccione la ubicación desde la que se recuperarán los eventos. Si selecciona
Archivo, se leerá el archivo del DEM local y se analizarán esos eventos. Si
selecciona EDB, se recopilarán los eventos de la base de datos.
Tabla 3-108 Definiciones de opciones
Opción
Definición
Anule la selección de cualquiera de estas opciones si experimenta una sobrecarga en el DEM.
204
Captura de paquetes de McAfee
Firewall
Proporciona al DEM una forma más rápida de analizar los datos de la
base de datos.
Rastreo de transacciones
Rastrear las transacciones de base de datos y conciliar los cambios
automáticamente. Anule su selección para aumentar la velocidad del
DEM.
Rastreo de identidades de usuario
Rastrear las identidades de usuario cuando no se propagan a la base de
datos debido al uso de nombres de usuario genéricos para acceder a la
base de datos. Anule su selección para aumentar la velocidad del DEM.
Enmascaramiento de datos
confidenciales
Evitar la visualización no autorizada de datos confidenciales gracias a la
sustitución de la información de carácter confidencial por una cadena
genérica definida por el usuario, denominada “máscara”. Anule su
selección para aumentar la velocidad del DEM.
Auditoría de hosts locales
Auditar los hosts locales para rastrear las rutas de acceso desconocidas
a la base de datos y enviar eventos en tiempo real. Anule su selección
para aumentar la velocidad del DEM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-108 Definiciones de opciones (continuación)
Opción
Definición
Análisis de consultas
Llevar a cabo inspecciones de consultas. Anule su selección para
aumentar la velocidad del DEM.
Captura de primera fila de resultado Permite ver la primera fila del resultado de una consulta cuando se
recupera un paquete para un evento y se ha establecido una gravedad
para la sentencia de selección inferior a 95. Anule su selección para
aumentar la velocidad del DEM.
Compatibilidad de variable de
enlace
Reutilizar la variable de enlace de Oracle una y otra vez sin necesidad
de volver a analizar el comando cada vez que se ejecuta.
Véase también
Configuración de opciones avanzadas de DEM en la página 203
Aplicación de las opciones de configuración al DEM
Los cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM.
En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración de
DEM permite hacerlo para todas las opciones de configuración del DEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2
Haga clic en Aplicar.
Un mensaje le informará de la escritura de las opciones de configuración en el DEM.
Definición de acciones para eventos de DEM
La configuración de Administración de acciones del DEM define las acciones y operaciones para los eventos
que se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar acciones
personalizadas y establecer la Operación para las acciones predeterminadas y personalizadas.
El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la página
Administración de acciones, y estas son las operaciones predeterminadas:
•
ninguna
•
secuencia de comandos
•
ignorar
•
restablecer
•
rechazar
Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia de
comandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cual
se ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables de
entorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene una
lista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash de
muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede
capturar la acción de importancia en una secuencia de comandos.
Recuerde lo siguiente cuando trabaje con acciones y operaciones:
•
Las acciones aparecen por orden de prioridad.
•
Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a
un localizador, a menos que se especifique como acción de alerta.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
205
3
Configuración del ESM
Configuración de dispositivos
•
Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una
acción para el nivel de alerta más alto.
•
Los eventos se escriben en un archivo de eventos independientemente de la acción. La única
excepción es una operación Rechazar.
Véase también
Adición de una acción de DEM en la página 206
Edición de una acción personalizada de DEM en la página 207
Establecimiento de la operación para una acción de DEM en la página 207
Adición de una acción de DEM
Si se agrega una acción a la administración de acciones de DEM, aparece en la lista de acciones
disponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla como
acción para una regla.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas
Herramientas | Administrador de acciones de DEM.
y, después, en
La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad.
No es posible cambiar el orden de prioridad de las acciones predeterminadas.
2
Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.
No es posible eliminar una acción personalizada una vez agregada.
3
Haga clic en Aceptar.
La nueva acción se agregará a la lista de Administración de acciones de DEM.
La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase
Establecimiento de la operación para una acción de DEM.
Véase también
Definición de acciones para eventos de DEM en la página 205
Edición de una acción personalizada de DEM en la página 207
Establecimiento de la operación para una acción de DEM en la página 207
Página Regla de acción de DEM en la página 206
Página Regla de acción de DEM
Permite definir la configuración para una acción de DEM.
Tabla 3-109 Definiciones de opciones
Opción
Definición
Nombre de la acción
Escriba el nombre para la acción.
Descripción
(Opcional) Escriba una descripción para esta acción.
Véase también
Adición de una acción de DEM en la página 206
206
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Edición de una acción personalizada de DEM
Tras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editar
su nombre o cambiar la prioridad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
3
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas
Herramientas | Administrador de acciones de DEM.
y, después, en
Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones:
•
Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que
se encuentre en la posición correcta.
•
Para cambiar el nombre o la descripción, haga clic en Editar.
Haga clic en Aceptar para guardar la configuración.
Véase también
Definición de acciones para eventos de DEM en la página 205
Adición de una acción de DEM en la página 206
Establecimiento de la operación para una acción de DEM en la página 207
Establecimiento de la operación para una acción de DEM
Todas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción de
DEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación de
cualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
acciones.
2
Resalte la acción que desee editar y haga clic en Editar.
3
Seleccione una operación y haga clic en Aceptar.
Véase también
Definición de acciones para eventos de DEM en la página 205
Adición de una acción de DEM en la página 206
Edición de una acción personalizada de DEM en la página 207
Página Administración de acciones en la página 208
Página Administración de acciones de DEM en la página 208
McAfee Enterprise Security Manager 9.6.0
Guía del producto
207
3
Configuración del ESM
Configuración de dispositivos
Página Administración de acciones
Permite cambiar la operación de una acción de regla.
Tabla 3-110 Definiciones de opciones
Opción
Definición
Operación
Seleccione lo que desea que haga esta acción si la regla activa un evento. Las
opciones son las siguientes:
• Ninguna: no se hace nada.
• Ignorar: el evento se mantiene en la base de datos pero no aparece en la interfaz de
usuario.
• Rechazar: el evento no se mantiene en la base de datos ni aparece en la interfaz de
usuario.
• Secuencia de comandos: se ejecuta una secuencia de comandos previamente definida.
• Restablecer: se intenta interrumpir la conexión de la base de datos mediante el envío
de paquetes TCP RST al cliente y el servidor.
Nombre de
secuencia de
comandos
Si selecciona Secuencia de comandos como operación, deberá definir el nombre de la
secuencia de comandos. Si no hay ninguna secuencia de comandos en la lista
desplegable, haga clic en Nombre de secuencia de comandos y seleccione un archivo en la
página Administración de archivos de secuencias de comandos.
Véase también
Establecimiento de la operación para una acción de DEM en la página 207
Página Administración de acciones de DEM
Permite agregar y organizar acciones globales para poder seleccionarlas a modo de acción para una
regla.
Tabla 3-111 Definiciones de opciones
Opción
Definición
Agregar
Agregar una acción nueva.
No es posible eliminar una acción personalizada una vez agregada.
Editar
Cambiar el nombre o la descripción de la acción personalizada seleccionada.
Flechas Subir y Bajar
Permiten cambiar el orden de las acciones personalizadas.
No es posible cambiar el orden de prioridad de las acciones predeterminadas.
Véase también
Establecimiento de la operación para una acción de DEM en la página 207
Utilización de máscaras de datos confidenciales
Las máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datos
confidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica,
denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datos
208
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y
editar o eliminar las existentes.
Estas son las máscaras estándar:
•
Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito
Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
Índice de subcadenas: \0
Patrón de enmascaramiento: ####-####-####-####
•
Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS
Expresión: (\d\d\d-\d\d)-\d\d\d\d
Índice de subcadenas: \1
Patrón de enmascaramiento: ###-##
•
Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL
Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
Índice de subcadenas: \2
Patrón de enmascaramiento: ********
Véase también
Administración de máscaras de datos confidenciales en la página 209
Administración de máscaras de datos confidenciales
A fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras de
datos confidenciales y editar o eliminar las existentes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos
confidenciales.
2
Seleccione una opción y rellene la información solicitada.
3
Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM.
Véase también
Utilización de máscaras de datos confidenciales en la página 208
Página Máscaras de datos confidenciales en la página 210
McAfee Enterprise Security Manager 9.6.0
Guía del producto
209
3
Configuración del ESM
Configuración de dispositivos
Página Máscaras de datos confidenciales
Permite agregar una máscara de datos confidenciales a fin de proteger la información de carácter
confidencial introducida en el ESM.
Tabla 3-112 Definiciones de opciones
Opción
Definición
Nombre de máscara de datos
confidenciales
Escriba un nombre para la máscara de datos confidenciales.
Expresión
Escriba una expresión regular conforme a la sintaxis de expresión
regular compatible con Perl (PCRE) (véase Utilización de máscaras de
datos confidenciales para ver ejemplos).
Índice de subcadenas
Seleccione una opción.
Las opciones dependen del número de paréntesis () utilizados en la
expresión. Si solo dispone de un conjunto de paréntesis, las opciones
serán \0 y \1. Si selecciona \0, toda la cadena se sustituirá por la
máscara. Si selecciona \1, solo se sustituyen las cadenas por la
máscara.
Patrón de enmascaramiento
Escriba el patrón de enmascaramiento que debe aparecer en lugar del
valor original.
Véase también
Administración de máscaras de datos confidenciales en la página 209
Administración de la identificación de usuarios
Gran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse y
distinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para acceder
a la base de datos. La administración de identificadores proporciona una forma de capturar el nombre
de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patrones
de expresión regular.
Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Se
agregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega un
dispositivo DEM al sistema.
•
Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL
Expresión: select\s+username=(\w+)
Aplicación: Oracle
Índice de subcadenas: \1
•
Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado
Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)',
Aplicación: MSSQL
Índice de subcadenas: \2
Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de
administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación,
servidor web y sistema.
Véase también
Adición de una regla de identificador de usuario en la página 211
210
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Adición de una regla de identificador de usuario
A fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas de
identificación de usuarios existentes o de agregar una regla nueva.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
identificadores.
2
Haga clic en Agregar y rellene la información solicitada.
3
Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM.
Véase también
Administración de la identificación de usuarios en la página 210
Página Reglas de identificador de usuario en la página 211
Página Reglas de identificador de usuario
Permite agregar una regla de identificación de usuarios para asociar las consultas de base de datos
con personas.
Tabla 3-113 Definiciones de opciones
Opción
Definición
Nombre de regla de
identificador
Escriba un nombre para esta regla de identificador.
Expresión
Escriba una expresión regular conforme a la sintaxis PCRE (véase
Administración de la identificación de usuarios para ver ejemplos).
El operador de la expresión regular implementa la biblioteca PCRE para la
coincidencia de patrones mediante la misma semántica que Perl 5. La sintaxis
general es: <"nombre métrica"> EXPRESIÓN REGULAR <"patrón">. Para
obtener información sobre PCRE, consulte http://www.pcre.org.
Aplicación
Seleccione la aplicación (tipo de base de datos) donde se observa la
información.
Índice de subcadenas
Seleccione una subcadena.
Las opciones dependen del número de paréntesis () utilizados en la expresión.
Si dispone de un conjunto de paréntesis, las opciones serán \0 y \1.
Véase también
Adición de una regla de identificador de usuario en la página 211
Acerca de los servidores de base de datos
Los servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en
un servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso,
se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos.
El DEM admite actualmente los siguientes servidores y versiones de base de datos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
211
3
Configuración del ESM
Configuración de dispositivos
SO
Base de datos
Appliance DEM
Windows (todas las versiones) Microsoft SQL Server¹
MSSQL 7, 2000, 2005, 2008, 2012
Windows UNIX/Linux (todas
las versiones)
Oracle²
Oracle 8.x, 9.x, 10g, 11g³, 11g R2
Sybase
11.x, 12.x, 15.x
DB2
8.x, 9.x, 10.x
Informix (véase la nota 4)
11.5
MySQL
Sí, 4.x, 5.x, 6.x
PostgreSQL
7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata
12.x, 13.x, 14.x
InterSystems Cache
2011.1.x
UNIX/Linux (todas las
versiones)
Greenplum
8.2.15
Vertica
5.1.1-0
Mainframe
DB2/zOS
Todas las versiones
AS 400
DB2
Todas las versiones
1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones
8.3.0 y posteriores.
2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 y
posteriores.
3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.
4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores.
•
Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos
y las plataformas de base de datos.
•
MySQL solo se admite en plataformas Windows de 32 bits.
•
El descifrado de paquetes se admite para MSSQL y Oracle.
Véase también
Administración de servidores de base de datos en la página 212
Administración de notificaciones de descubrimiento de base de datos en la página 215
Administración de servidores de base de datos
La página Servidores de base de datos es el punto de inicio para la administración de la configuración de
todos los servidores de base de datos del dispositivo DEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
212
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de
datos.
2
Seleccione cualquiera de las opciones disponibles.
3
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Véase también
Acerca de los servidores de base de datos en la página 211
Administración de notificaciones de descubrimiento de base de datos en la página 215
Página Servidores de base de datos en la página 213
Página Agregar servidor de base de datos en la página 213
Página Servidores de base de datos
El dispositivo DEM supervisa las bases de datos definidas en los servidores de base de datos.
Tabla 3-114 Definiciones de opciones
Opción
Definición
Tabla
Ver la lista de servidores de base de datos del DEM.
Agregar
Agregar un nuevo servidor de base de datos.
Agregar agente El agente de McAfee DEM ya no se comercializa. Si adquirió la licencia para el agente de
DEM de una versión anterior a la 9.2 y necesita ayuda, póngase en contacto con el
Soporte de McAfee.
Editar
Realizar cambios en el servidor de base de datos seleccionado.
Quitar
Eliminar el servidor de base de datos seleccionado.
Copiar
Crear una copia del servidor de base de datos seleccionado.
Escribir
Aplicar la configuración de los servidores de base de datos al DEM.
Activar
Haga clic si desea recibir una notificación de alerta cuando se encuentren servidores de
bases de datos nuevos.
Desactivar
Permite desactivar la notificación.
Véase también
Administración de servidores de base de datos en la página 212
Página Agregar servidor de base de datos
Permite agregar un servidor de base de datos para supervisar la actividad de base de datos. Es posible
asociar un máximo de 255 servidores de base de datos con un único DEM.
Tabla 3-115 Definiciones de opciones
Opción
Definición
Activado
Indique si desea que el DEM procese los datos correspondientes a este servidor
de base de datos. Si se desactiva, las opciones de configuración se guardan en el
ESM para su uso en el futuro.
Grupo de
almacenamiento
Haga clic y seleccione un grupo de almacenamiento si desea que los datos
recibidos se envíen al dispositivo ELM.
Zona
Si tiene zonas definidas en el sistema, seleccione la zona a la que desee asignar
este servidor de base de datos. Para agregar una zona al sistema, haga clic en
Zona.
Tipo de base de datos
Seleccione el tipo de base de datos. Los campos restantes variarán en función de
lo que se seleccione en este campo.
El DEM implementa un controlador PI JDBC para conectar con el sistema PI. PI
SQL Data Access Server (DAS) actúa como gateway entre el controlador PI JDBC
y PI OLEDB. Proporciona comunicación de red segura (HTTPS) con PI JDBC y
ejecuta consultas como cliente PI OLEDB.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
213
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-115 Definiciones de opciones (continuación)
Opción
Definición
Nombre del servidor de
base de datos
Escriba un nombre para este servidor de base de datos.
Si ha seleccionado PIServer en el campo Tipo de base de datos, este campo será
Nombre de origen de datos DAS, que corresponde al nombre del servidor PI al que
accederá el gateway de Data Access Server (DAS). Debe coincidir exactamente
con el especificado en la configuración de DAS. Puede ser el mismo que el
nombre de host de DAS si el servidor DAS está instalado en el mismo host que el
servidor PI.
URL del dispositivo
Si está disponible, escriba la dirección URL para ver la información del servidor
de base de datos. Si la dirección URL introducida incluye la dirección de una
aplicación de terceros, puede adjuntar variables a la dirección URL mediante el
icono correspondiente
.
Dirección IP
Introduzca una única dirección para este servidor de base de datos o DAS en el
campo de dirección IP. Este campo acepta una única dirección IP con formato de
notación de puntos IPv4. No se aceptan las máscaras para estas direcciones IP.
Grupo de prioridad
Asigne el servidor de base de datos a un grupo de prioridad. Esto permite
equilibrar la carga de datos procesados por el DEM. Es posible ver una lista de
los servidores de base de datos y los grupos de prioridad a los que pertenecen
en la tabla Servidores de base de datos.
ID de LAN virtual
Escriba el ID de LAN virtual, en caso de ser necesario. Si introduce el valor "0",
representa todas las VLAN.
Opción de codificación
Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5.
Seleccionar opciones
especiales
Seleccione una de las opciones siguientes (las opciones disponibles dependen del
tipo de base de datos seleccionado):
• Es necesario especificar la Redirección de puerto cuando se supervisa un servidor
Oracle que se ejecuta en una plataforma Windows.
• Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de base de
datos emplea el protocolo SMB de canalizaciones con nombre. El nombre de
canalización predeterminado para MSSQL es \\.\pipe\sql\query, y el puerto
predeterminado es el 445.
• Se debe seleccionar Puertos dinámicos si el servidor de base de datos tiene
puertos dinámicos TCP activados. Introduzca un número de puerto para el
servidor de base de datos o DAS en el campo Puerto. Este puerto es el puerto
de servicio del servidor de base de datos donde este escucha las conexiones.
Algunos números de puertos predeterminados habituales son: 1433 para
Microsoft SQL Server (MSSQL), 1521 para Oracle, 3306 para MySQL, 5461
para Data Access Server (DAS) y 50000 para DB2/UDB.
Autenticación Kerberos
Indique si desea que SQL Server emplee la autenticación Kerberos.
Tipo de cifrado RSA
Seleccione Ninguno o RSA.
Nivel de cifrado RSA
Seleccione la opción adecuada en función de lo que haya elegido para el cifrado
forzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado es No y Descifrar
todos los paquetes si el valor de Cifrado forzado es Sí.
Clave RSA
Haga clic en Examinar y seleccione el archivo de Clave RSA, o bien copie la clave del
archivo y péguela en el campo Clave RSA.
La consola de ESM solo acepta certificados RSA con el formato de archivo .pem y
sin contraseña.
214
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Tabla 3-115 Definiciones de opciones (continuación)
Opción
Definición
Nombre de usuario
Escriba el nombre de usuario para el inicio de sesión de PI DAS. Ya que PI DAS
se instala en Windows, emplea la seguridad integrada de Windows. El nombre de
usuario debe especificarse con el formato dominio\nombre de inicio de sesión.
Contraseña
Escriba la contraseña correspondiente al nombre de usuario de DAS.
Recuperar registros de
archivado
Indique si desea que se sondee la base de datos de archivos del servidor PI en
busca de cambios para todos los puntos.
Puntos que supervisar
Introduzca una lista de puntos separados por comas para que se supervisen
solamente esos puntos.
Véase también
Administración de servidores de base de datos en la página 212
Administración de notificaciones de descubrimiento de base de datos
El DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista de
excepciones de servidores de base de datos que no se supervisan. Esta lista permite a un
administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y
los puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos.
Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Es
posible elegir entonces si agregar o no el servidor a los supervisados en el sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores
de base de datos | Activar.
Se le notificará la activación.
2
Haga clic en Aceptar para cerrar Propiedades de DEM.
3
Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y
seleccione Vistas de evento | Análisis de eventos.
4
Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú
y seleccione Agregar servidor.
Véase también
Acerca de los servidores de base de datos en la página 211
Administración de servidores de base de datos en la página 212
Configuración del ESM distribuido (DESM)
El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal
conectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extrae
los datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder a
información detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM.
El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecer
filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas ni
eventos del DESM hasta que está aprobado.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
215
3
Configuración del ESM
Configuración de dispositivos
Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este
ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.".
Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM
principal puede tener con el DESM.
El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal
muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae
eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se
desactivan en todos los dispositivos secundarios del DESM.
El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un
subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los
filtros que se hayan definido.
Adición de filtros de DESM
Los datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos por
el usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de forma
que se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del
DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), es
necesario establecer filtros para que se recuperen los datos del ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.
2
Introduzca los datos solicitados y, a continuación, haga clic en Aceptar.
Configuración de ePolicy Orchestrator
Es posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán como
elementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a
algunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP de
origen o destino directamente y a los eventos generados por alarmas.
ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de
ePolicy Orchestrator.
Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicy
Orchestrator para poder usar ePolicy Orchestrator.
®
Si el dispositivo McAfee ePO tiene un servidor de McAfee Threat Intelligence Exchange (TIE), se
agrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con Threat
Intelligence Exchange).
Ejecución de ePolicy Orchestrator
Si dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP de
ePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestrator
desde ESM.
Antes de empezar
Agregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM.
Esta función está disponible en ePolicy Orchestrator 4.6 o posterior.
216
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione una vista.
2
Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular que
devuelva datos de IP de origen o destino.
3
En el menú del componente
, haga clic en Acción | Ejecutar ePO.
•
Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y ha
seleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator.
•
Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema,
seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator.
•
Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique si
desea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicy
Orchestrator.
Autenticación de dispositivos McAfee ePO
Se requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee Real
Time for McAfee ePO.
Hay dos tipos de autenticación:
•
Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO,
puede utilizar estas funciones tras introducir las credenciales globales.
•
Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en
el árbol de dispositivos.
Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método de
autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que
introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este
dispositivo.
Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo plano
mediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradas
originalmente.
Configuración de la autenticación mediante cuentas independientes
La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas que
debe hacer para configurar la autenticación mediante cuentas independientes.
1
Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePO
al ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola de
ESM o Cambio de la conexión con ESM).
2
Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticación
de McAfee ePO).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
217
3
Configuración del ESM
Configuración de dispositivos
Adición de credenciales de autenticación de McAfee ePO
Antes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, es
necesario agregar las credenciales de autenticación al ESM.
Antes de empezar
Instale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola de
ESM).
Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto
con el administrador del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en
Credenciales de ePO.
2
Haga clic en el dispositivo y, después, en Editar.
3
Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión.
4
Haga clic en Aceptar.
Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP
La ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventos
generados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. También
se puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP.
A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y
borrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.
2
Introduzca la información solicitada y, a continuación, haga clic en Asignar.
Las etiquetas seleccionadas se aplicarán a la dirección IP.
Véase también
Página Etiquetando en la página 219
218
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Página Etiquetando
Permite asignar etiquetas a las direcciones IP.
Tabla 3-116 Definiciones de opciones
Opción
Definición
Tabla de etiquetado
Contiene las etiquetas disponibles en el dispositivo.
Dirección IP para asignar las
etiquetas seleccionadas
Escriba un nombre de host o dirección IP (se puede usar una lista
delimitada por comas) y, después, seleccione una o varias etiquetas en la
lista Etiquetas.
Para acceder a la funcionalidad de etiquetado, es necesario disponer de
los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de
actividad del agente.
Activar cliente
Permite activar la aplicación para aplicar las etiquetas inmediatamente.
Asignar
Permite aplicar las etiquetas seleccionadas a la dirección IP.
Véase también
Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP en la página 218
Adquisición de datos de McAfee Risk Advisor
Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee
Risk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la base
de datos de SQL Server de ePolicy Orchestrator.
La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de
direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación
alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP
duplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos y
altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.
Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk
Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y
dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y
Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un
administrador de correlación de riesgos.
Activación de la adquisición de datos de McAfee Risk Advisor
Cuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se genera
una lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificación
de los campos IP de origen e IP de destino.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y,
después, haga clic en Activar.
Se le informará cuando la adquisición haya sido activada.
2
Haga clic en Aceptar.
Véase también
Página Administración de ePO en la página 220
McAfee Enterprise Security Manager 9.6.0
Guía del producto
219
3
Configuración del ESM
Configuración de dispositivos
Página Administración de ePO
Permite administrar el registro de ELM, la asignación de zonas, la actualización de las aplicaciones, la
prioridad y la adquisición de datos de McAfee Risk Advisor.
Tabla 3-117 Definiciones de opciones
Opción
Definición
Administrar registro de
ELM
Configurar el grupo de registro predeterminado para el dispositivo seleccionado
(véase Establecimiento del grupo de registro predeterminado). Esta opción solo
está disponible si hay un ELM presente en el ESM.
Zona
Asignar McAfee ePO a una zona o cambiar la configuración actual (véase
Administración de zonas).
Actualizar dispositivo
manualmente
Actualizar la lista de aplicaciones desde el dispositivo McAfee ePO y crear un
origen de datos cliente por cada aplicación.
Hora de última
actualización
Ver la última vez que se actualizaron las aplicaciones.
Activar MRA
Activar la adquisición de datos de McAfee Risk Advisor (véase Adquisición de
datos de McAfee Risk Advisor).
Prioridad
Cabe la posibilidad de que tenga más de un dispositivo McAfee ePO, origen de
activos o dispositivo de evaluación de vulnerabilidades configurado para recibir
los mismos activos o amenazas. En tal caso, seleccione la prioridad que debe
tener la información de este dispositivo McAfee ePO si los dispositivos reciben la
misma información.
Por ejemplo, su equipo está supervisado por ePO-1 y EV-1. ePO-1 recopila
información sobre el software y el hardware de su equipo, mientras que EV-1
recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1
para que tenga una prioridad superior a la de EV-1, de manera que la
información que recopile no se pueda sobrescribir con la información recopilada
por EV-1.
Planificar actualización
de aplicación
A fin de actualizar automáticamente la lista de aplicaciones del dispositivo ePolicy
Orchestrator, seleccione la frecuencia en la lista desplegable.
Véase también
Activación de la adquisición de datos de McAfee Risk Advisor en la página 219
Realización de acciones de McAfee Real Time for McAfee ePO
Es posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una pregunta
desde el ESM y el componente que muestra una dirección IP en la vista.
Antes de empezar
Diseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta en
McAfee ePO del panel de McAfee Real Time for McAfee ePO).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
220
de un componente de vista que muestre
En la consola de ESM, haga clic en el icono de menú
los resultados de una pregunta de McAfee Real Time for McAfee ePO.
2
Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO.
3
En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
4
En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos
seleccionados.
5
En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación,
pulse Finalizar.
Los filtros no están disponibles en el panel o los componentes de McAfee ePO.
Integración con Threat Intelligence Exchange
Threat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpoints
conectados a estos archivos.
Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hay
un servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza a
escuchar los eventos de DXL y de registro.
Cabe la posibilidad de experimentar un retardo cuando el ESM conecta con DXL.
Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, el
enriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agregan
automáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificación
visual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor de
Threat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo se
haya agregado al ESM.
Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de
ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat
Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.
Reglas de correlación
Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas
reglas generan eventos que se pueden buscar y ordenar.
•
TIE - Reputación de GTI cambiada de limpia a contaminada
•
TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts
•
TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts
•
TIE - Varios archivos maliciosos encontrados en un único host
•
TIE - Reputación de TIE cambiada de limpia a contaminada
•
TIE - Aumento de archivos maliciosos detectado en todos los hosts
Alarmas
El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat
Intelligence Exchange.
•
Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso
(SHA-1) encontrado en un número creciente de hosts.
•
Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega
información a la lista de vigilancia IP de orígenes de datos de TIE.
Lista de vigilancia
La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la
alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
221
3
Configuración del ESM
Configuración de dispositivos
Historial de ejecución de Threat Intelligence Exchange
Es posible ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véase
Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange),
el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página,
puede seleccionar un elemento y realizar cualquiera de estas acciones:
•
Crear una lista de vigilancia.
•
Agregar la información a una lista negra
•
Anexar la información a una lista de
vigilancia
•
Exportar la información a un archivo .csv
•
Crear una alarma.
Véase también
Visualización del historial de ejecución y configuración de acciones de Threat Intelligence
Exchange en la página 222
Visualización del historial de ejecución y configuración de acciones de Threat
Intelligence Exchange
La página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemas
que han ejecutado el archivo asociado con el evento seleccionado.
Antes de empezar
Es necesario que exista un dispositivo ePolicy Orchestrator con un servidor de Threat
Intelligence Exchange conectado en el ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicy
Orchestrator.
2
En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en
el evento.
3
Haga clic en el icono de menú
y seleccione Acciones | Historial de ejecución de TIE.
4
En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat
Intelligence Exchange.
5
Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú
desplegable Acciones y seleccione una opción para abrir su página de ESM.
6
Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones).
Véase también
Integración con Threat Intelligence Exchange en la página 221
222
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Consultas en dispositivos McAfee ePO sobre informes o vistas
Es posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si están
integrados con McAfee Real Time for McAfee ePO.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono
Propiedades
y, después, en Informes.
2
Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la
sección 5.
3
En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular.
4
En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación,
seleccione el elemento o la pregunta para la consulta.
5
Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee
ePO que consultar.
6
(Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en
Aceptar.
7
Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccione
los elementos que desee incluir en la pregunta y haga clic en Aceptar.
8
Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y
guarde el informe.
Consultas en dispositivos McAfee ePO para el enriquecimiento de datos
Es posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos si
están integrados con McAfee Real Time for McAfee ePO.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades
después, haga clic en Enriquecimiento de datos.
y,
Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
223
3
Configuración del ESM
Configuración de dispositivos
3
En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después,
seleccione los dispositivos en el campo Dispositivo.
4
Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación,
haga clic en Finalizar.
Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time for
McAfee ePO
Se puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee Real
Time for McAfee ePO.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar.
2
En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO.
3
Seleccione los filtros en el panel Filtros:
4
a
En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para la
consulta.
b
En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto.
c
Seleccione la acción de filtrado y escriba el valor.
Haga clic en el icono Ejecutar consulta
.
Configuración de Nitro Intrusion Prevention System (Nitro IPS)
El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en la
red sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPS
incluye un administrador de datos incrustado (empleado para la administración, la adquisición y el
análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, la
detección de anomalías.
El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todo
ello en función de un conjunto de reglas definido por el usuario que se especifica mediante un
lenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewall
completamente funcional controlado por reglas de firewall estándar del sector, el cual proporciona
capacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar.
Asistente de detección de anomalías
Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si se
han recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y una
descripción de todas las variables disponibles en el dispositivo seleccionado.
Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla
que solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de la
categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no
tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa
224
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios
o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de
acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda
familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin
de elegir los mejores valores en su caso.
El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los
parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones
del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una
gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos
cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular
estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo
deseado.
A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las
variables que afectan a su funcionamiento:
Regla
Variables
Large inbound byte rate
LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
Large inbound bytes
LARGE_INBOUND_BYTES_LIMIT
Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,
LARGE_IB_CONN_RATE_LIMIT
Large inbound packet rate
LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
Large inbound packet
LARGE_INBOUND_PACKETS_LIMIT
Large outbound byte rate
LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
Large outbound packet rate
LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
Large outbound packets
LARGE_OUTBOUND_PACKETS_LIMIT
Long connection duration
LONG_DURATION_SECONDS
Véase también
Edición de variables de detección de anomalías en la página 225
Generación de un Informe de análisis en la página 226
Edición de variables de detección de anomalías
El Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías y
proporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
225
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile
datos de flujo y haga clic en el icono Propiedades
.
2
Haga clic en Editar en el campo Asistente de detección de anomalías.
3
Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar.
Véase también
Asistente de detección de anomalías en la página 224
Generación de un Informe de análisis en la página 226
Generación de un Informe de análisis
El Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red.
Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de una
inspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valores
correspondientes a los parámetros de reglas de anomalías según la tasa.
Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado
datos de flujo y haga clic en el icono Propiedades
.
2
Haga clic en Editar en el campo Asistente de detección de anomalías.
3
Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para el
informe.
4
Haga clic en Aceptar.
Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos
circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles.
Véase también
Asistente de detección de anomalías en la página 224
Edición de variables de detección de anomalías en la página 225
Acceso a reglas de firewall y estándar
Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver,
exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales.
Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta
forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor
de directivas.
226
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de dispositivos
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en
Reglas estándar.
2
Seleccione cualquiera de las opciones y haga clic en Aceptar.
Véase también
Reglas de firewall en la página 227
Páginas Reglas estándar o Reglas de firewall en la página 228
Reglas de firewall
Las reglas de firewall se usan para detectar los eventos de red en función de la información de los
paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.
La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial
encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las
reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También
rastrean la velocidad y el tamaño del tráfico de red.
Estos son los tipos de reglas de firewall:
•
Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con
otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de
conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el
número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada
regla, consulte la sección de detalles en la parte inferior de la página.
•
Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IP
interna reservada se detecta entrando en la red a través de un dispositivo, se activa la regla
antifalsificación.
•
Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con
origen o destino en una dirección IP o un puerto incluidos en la lista negra.
•
DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo.
•
IPv6: detecta el tráfico IPv6.
•
Port-Block (Bloqueo de puertos): bloquea ciertos puertos.
Detección de anomalías
Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla
que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la
categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no
tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros (véase Asistente de detección de anomalías).
Excepciones de firewall
Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por
el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida
procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP
falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de
firewall.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
227
3
Configuración del ESM
Configuración de dispositivos
También se puede considerar una excepción como una excepción a los patrones definidos en otras
excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una
dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una
regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede
excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la
selección de la casilla.
A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las
direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está
activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y
escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al
resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de
excepciones.
Véase también
Acceso a reglas de firewall y estándar en la página 226
Adición de una regla de firewall personalizada en la página 516
Adición de excepciones de firewall en la página 518
Páginas Reglas estándar o Reglas de firewall
Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver,
exportar e importar reglas de firewall y estándar del dispositivo IPS.
Tabla 3-118 Definiciones de opciones
Opción Definición
Leer
Recuperar las reglas del dispositivo. Las reglas se almacenan en un búfer de la base de
datos de ESM.
Escribir
Escribir las reglas de la copia de la base de datos de ESM almacenada en el búfer en el
dispositivo.
Ver
Ver las reglas almacenadas actualmente en la copia de ESM almacenada en el búfer.
Exportar
Exportar las reglas de la copia de ESM almacenada en el búfer a un archivo local.
Importar
Importar las reglas del archivo local para sobrescribir la copia de ESM almacenada en el
búfer. Si desea que estas reglas se almacenen en el dispositivo, haga clic en Escribir.
Véase también
Acceso a reglas de firewall y estándar en la página 226
Lista negra de dispositivo virtual o IPS
La lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor de
inspección profunda de paquetes (DPI) lo analice.
Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, los
destinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si el
dispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificación
Incluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que el
dispositivo incluya dicha configuración.
La pantalla Editor de la lista negra incluye tres fichas:
228
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
•
Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
•
Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
•
Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de
agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo
o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona
una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos
necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y
Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional.
Recuerde lo siguiente cuando agregue entradas:
•
Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar
la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa
Modificar.
•
Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se
incluyan en la lista negra en todos los puertos o en un puerto específico.
•
Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
•
Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o
permanente. No obstante, las entradas de Exclusiones deben ser permanentes.
•
Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a
aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el
campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el
campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción.
Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción
con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen
direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para
garantizar el bloqueo de ciertos sitios web.
Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de
resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista
negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra.
El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos.
Véase también
Administración de la lista negra de IPS en la página 229
Configuración de inclusión automática en la lista negra en la página 231
Administración de la lista negra de IPS
Es posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar,
modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva y
actualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones o
resolver un nombre de host o dirección IP.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
229
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Editor.
2
Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones.
3
Lleve a cabo las acciones que desee y, después, haga clic en Cerrar.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Configuración de inclusión automática en la lista negra en la página 231
Página Editor de la lista negra en la página 230
Página Editor de la lista negra
Permite administrar los orígenes bloqueados, los destinos bloqueados y la configuración de la lista
negra de exclusión.
Tabla 3-119 Definiciones de opciones
Opción
Definición
Incluir lista negra global Seleccione esta opción si desea agregar las entradas de la lista negra global a
esta lista negra.
230
Ficha Orígenes
bloqueados
Permite administrar las direcciones IP de origen que se desea bloquear.
Ficha Destinos
bloqueados
Permite administrar las direcciones IP de destino que se desea bloquear.
Ficha Exclusiones
Permite administrar la lista de direcciones IP que nunca se deben incluir en la
lista negra de forma automática, como los servidores DNS o de otro tipo, o bien
la estación de trabajo del administrador del sistema.
Dirección IP
A la hora de agregar un elemento a una lista, escriba la dirección IP.
Búsqueda
Permite buscar la descripción correspondiente a la dirección IP introducida.
Agregar
Tras escribir la dirección IP, haga clic aquí para agregarla a la lista.
Puerto
Escriba un número de puerto si desea restringir el efecto de la lista negra a un
puerto de destino específico. La configuración predeterminada es cero (0), lo
cual permite cualquier puerto.
Modificar
Puede cambiar la descripción de un elemento de lista negra existente y,
después, hacer clic en esta opción.
Descripción
(Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda
para localizar una descripción. A fin de cambiar la descripción de una dirección
existente, realice los cambios y haga clic en Modificar.
Duración
Seleccione la cantidad de tiempo que debe durar la inclusión en la lista negra.
Icono Escribir
Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si
sale de la página de lista negra antes de escribir los cambios, no se guardarán.
Icono Leer
Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y
las exclusiones.
Icono Quitar
Permite quitar el elemento seleccionado de la lista negra. El campo Estado
cambiará a Eliminar en la siguiente operación de escritura.
Icono Ver eventos
Permite generar un informe de eventos procedentes de las direcciones IP que los
provocan. El informe se muestra a modo de vista en la consola.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Véase también
Administración de la lista negra de IPS en la página 229
Configuración de inclusión automática en la lista negra
La página Configuración de lista negra automática permite administrar las opciones de configuración de
inclusión automática en la lista negra para el dispositivo.
La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma
independiente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Configuración.
2
Defina la configuración según proceda y haga clic en Aceptar.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Administración de la lista negra de IPS en la página 229
Página Configuración de lista negra automática en la página 231
Página Configuración de lista negra automática
Permite definir las opciones de configuración de lista negra automática para el dispositivo
seleccionado.
Tabla 3-120 Definiciones de opciones
Opción
Definición
Las alertas de lista negra
se deben activar cuando
el recuento de eventos
alcance
Emplea el recuento de agregación de eventos para la inclusión en la lista negra
después de que una regla se haya activado un número específico de veces. El
valor predeterminado es 10. Para que la inclusión en la lista negra se produzca
tras una sola infracción de una regla de inclusión automática en la lista negra,
utilice el valor 1.
Duración de lista negra
automática
Define la cantidad de tiempo que una dirección IP infractora debe permanecer
en la lista negra antes de que se elimine. El valor se puede especificar en
minutos, horas o días.
Agregar a lista de
Agrega el host infractor de un evento a las listas negras de orígenes y destinos
destinos bloqueados si la bloqueados. Esto se debe a que algunos eventos son generados por el emisor
respuesta activa la alerta de una conexión, mientras que otros los genera el host situado en el otro
extremo de la conexión y que responde a la solicitud del emisor.
Una vez agregado un host a la lista negra, los intentos de este host de enviar
datos a través del dispositivo generarán uno de estos cuatro eventos: LISTA
NEGRA Destino entrante (2000050), LISTA NEGRA Origen entrante (2000049),
LISTA NEGRA Destino saliente (2000052) o LISTA NEGRA Origen saliente
(2000051). El uso predeterminado de estos eventos es el bloqueo, lo que
significa que todo el tráfico de los orígenes o destinos incluidos en la lista negra
no pasará por el dispositivo. Sin embargo, la acción realizada para estos cuatro
eventos de lista negra se puede modificar de la misma forma que en caso de
cualquier otra regla. A estas cuatro reglas de lista negra específicas se puede
acceder mediante la opción Firewall del panel Tipos de regla del Editor de directivas.
Véase también
Configuración de inclusión automática en la lista negra en la página 231
McAfee Enterprise Security Manager 9.6.0
Guía del producto
231
3
Configuración del ESM
Configuración de dispositivos
Configuración de McAfee Vulnerability Manager
McAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciar
un análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido un
dispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM.
McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen del
receptor, no de McAfee Vulnerability Manager.
Véase también
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Obtención del certificado y la frase de contraseña de McAfee Vulnerability
Manager
Es necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes de
configurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone
Certificate Manager.exe.
2
Haga clic en la ficha Create SSL Certificates (Crear certificados SSL).
3
En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema
que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver.
4
Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para
generar la frase de contraseña y un archivo .zip.
5
Cargue el archivo .zip y copie la frase de contraseña generada.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Ejecución de análisis de McAfee Vulnerability Manager
La página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se han
ejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, una
API comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de
análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posible
iniciar un nuevo análisis desde esta página.
232
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.
2
Haga clic en Nuevo análisis y rellene la información solicitada.
3
Haga clic en Aceptar.
Una vez terminado el análisis, se agrega a la lista de análisis.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Configuración de la conexión con McAfee Vulnerability Manager
Es necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin de
extraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como para
que la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager.
Antes de empezar
Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee
Vulnerability Manager.
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
dispositivo se comunica con ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.
2
Rellene la información solicitada y, después, haga clic en Aceptar.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de McAfee Network Security Manager
Es posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permite
acceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y desea
acceder a él desde el ESM.
Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores del
dispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación del
sistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, no
de McAfee Network Security Manager.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
233
3
Configuración del ESM
Configuración de dispositivos
Véase también
Adición de una entrada de lista negra en la página 234
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Recopilación de capa 7 en un dispositivo NSM en la página 235
Adición de una entrada de lista negra
McAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La página
Lista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página,
es posible agregar, editar y eliminar elementos de la lista negra.
Es necesario ser superusuario para utilizar la función de lista negra.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y
seleccione un sensor.
2
Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.
El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, la
dirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager.
Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario
eliminar los elementos manualmente.
3
Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.
La entrada aparecerá en la lista negra hasta que caduque.
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Recopilación de capa 7 en un dispositivo NSM en la página 235
Página Agregar entrada de lista negra de NSM en la página 234
Página Agregar entrada de lista negra de NSM
Permite definir la configuración para una entrada de la lista negra.
Tabla 3-121 Definiciones de opciones
Opción
Definición
Dirección IP Escriba la dirección IP que desee incluir en la lista negra.
Duración
Seleccione la cantidad de tiempo que desee que esta dirección permanezca en la lista
negra.
Descripción Escriba una descripción para esta entrada.
Véase también
Adición de una entrada de lista negra en la página 234
234
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de dispositivos
Adición o eliminación de una entrada de lista negra previamente borrada
Cualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tiene
una duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negra
cuando se realiza una consulta en McAfee Network Security Manager (Manager).
Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en el
ESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.
2
Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en
Agregar o en Eliminar.
3
Haga clic en Aplicar o en Aceptar.
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición de una entrada de lista negra en la página 234
Recopilación de capa 7 en un dispositivo NSM en la página 235
Recopilación de capa 7 en un dispositivo NSM
Los datos de capa 7 se introducen en la base de datos de NSM una vez escrito el evento de NSM en su
base de datos. No se insertan en el sistema como parte del evento.
Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción del
evento a fin de incluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no solo
a los que tienen datos de capa 7 asociados.
Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:
•
Adición de un dispositivo McAfee NSM a la consola
•
Configuración de un dispositivo NSM
•
Adición de un origen de datos NSM
Adición de un dispositivo McAfee NSM
Al agregar el dispositivo NSM al ESM (véase Adición de dispositivos a la consola de ESM), seleccione
Activar recopilación de capa 7 y establezca el retraso en la cuarta página del Asistente de adición de dispositivos.
Configuración de un dispositivo NSM
Tras agregar un dispositivo NSM a la consola de ESM, puede establecer la configuración de conexión
para el dispositivo (véase Cambio de la conexión con ESM). Es posible seleccionar Activar recopilación de capa 7 y
establecer el retraso en la página Conexión.
Adición de un origen de datos NSM
Para agregar un origen de datos NSM a un receptor (véase Adición de un origen de datos), seleccione
McAfee en el campo Proveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en el campo Modelo de
origen de datos. Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Agregar
origen de datos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
235
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición de una entrada de lista negra en la página 234
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Configuración de los servicios auxiliares
Entre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocolo
Network Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que se
comuniquen con el ESM.
Contenido
Información general del sistema
Opciones de configuración del servidor de Remedy
Detención de la actualización automática del Árbol de sistemas de ESM
Definición de la configuración de los mensajes
Configuración de NTP en un dispositivo
Configuración de las opciones de red
Sincronización de la hora del sistema
Instalación de un nuevo certificado
Configuración de perfiles
Configuración de SNMP
Información general del sistema
En la página Propiedades del sistema | Información del sistema , se puede ver información general sobre el
sistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventos
que se han producido en el sistema o los dispositivos.
Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora
de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado
de una actualización de reglas o de una copia de seguridad del sistema.
•
Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y
su estado operativo actual.
•
La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por
ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas
funciones. El estado OK significa que la base de datos funciona de la forma normal.
•
Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las
Propiedades del sistema.
•
Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se
actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de
copia de seguridad y restauración.
•
En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba
automática de FIPS, así como su estado.
•
Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento.
Véase también
Página Información del sistema en la página 237
236
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Página Información del sistema
Permite ver información general sobre el sistema y el estado de las diversas funciones. Esto puede
resultar útil cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar
funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado actual de una
actualización de reglas o de una copia de seguridad del sistema.
Tabla 3-122 Definiciones de opciones
Opción
Definición
Sistema
El tipo de dispositivo, la versión del software y el número de compilación, y el
ID de equipo, que es un número exclusivo asignado a cada dispositivo.
ID de cliente
El número que se le asigna cuando configura sus credenciales permanentes en
McAfee.
Hardware
Información sobre el hardware y la memoria.
Número de serie
El número de serie del fabricante de este dispositivo.
Reloj del sistema (GMT)
La fecha y la hora en que se abrió o actualizó por última vez la página
Propiedades del sistema. Si hace clic en el vínculo, podrá realizar cambios en el
reloj del sistema y la configuración de NTP.
Sincronizar relojes de
dispositivos
Permite sincronizar la hora del ESM y los servidores NTP con la de los
dispositivos.
Actualización de reglas
La última vez que se actualizaron las reglas, cómo se actualizaron y, en caso
de no haber configurado las credenciales permanentes, cuándo caduca la
licencia (véase Comprobación de la existencia de actualizaciones de reglas u
Obtención y adición de credenciales de actualización de reglas).
Eventos, flujos y registros
La última vez que el sistema comprobó la existencia de eventos, flujos y
registros, así como cuándo volverá a hacerlo. Puede hacer clic en el vínculo
para descargarlos inmediatamente o configurar la comprobación automática
(véase Eventos, flujos y registros).
Copia de seguridad y
restauración
La última vez que se realizó una copia de seguridad del sistema, y si se hizo
de forma manual o automática. Haga clic en el vínculo para definir la
configuración de copia de seguridad y restauración (véase Copia de seguridad
y restauración de la configuración del sistema).
Estado de base de datos
El estado de la base de datos. Si se está realizando alguna función, como por
ejemplo la reconstrucción de la base de datos o una reconstrucción en
segundo plano, muestra el estado de esa función. El estado OK significa que
funciona de la forma normal.
Actualizar información del
sistema
Actualiza los datos que aparecen en la página.
Informes de resumen de
dispositivos
Muestra los informes Recuento de tipos de dispositivos y Hora del evento. Es posible
exportar un archivo .csv con estos datos.
Véase también
Información general del sistema en la página 236
Opciones de configuración del servidor de Remedy
Si utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se pueda
comunicar con él.
Antes de empezar
Configure el sistema Remedy.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
237
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Configuración personalizada | Remedy.
2
En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic
en Aceptar.
Al seleccionar Enviar evento a Remedy
en la vista Análisis de eventos, el correo electrónico se rellena con la
información introducida en esta página.
Véase también
Página Configuración de Remedy en la página 238
Página Configuración de Remedy
Permite configurar el Servidor de correo electrónico de Remedy para que el ESM se pueda comunicar con el
sistema Remedy.
Tabla 3-123 Definiciones de opciones
Opción
Definición
Host
Escriba el host del sistema Remedy.
Puerto
Cambie el número de puerto, si procede.
Usar TLS
Seleccione esta opción si desea usar TLS como protocolo de cifrado.
Nombre de usuario
Escriba el nombre de usuario del sistema Remedy, en caso de ser necesario.
Contraseña
Escriba la contraseña del sistema Remedy, en caso de ser necesaria.
Dirección de origen
Escriba la dirección de correo electrónico del remitente del mensaje de Remedy.
Dirección de destino Escriba la dirección de correo electrónico a la que se enviará el mensaje de Remedy.
Véase también
Opciones de configuración del servidor de Remedy en la página 237
Detención de la actualización automática del Árbol de sistemas
de ESM
El Árbol de sistemas de ESM se actualiza automáticamente cada cinco minutos. Puede detener esta
actualización automática si es necesario.
Antes de empezar
Es necesario disponer de derechos de Administración del sistema para cambiar esta
configuración.
Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si tiene muchos
dispositivos en el ESM, esto puede interferir con el acceso a la página Propiedades de los dispositivos.
238
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades
.
Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.
Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos
en la barra de herramientas de acciones del Árbol de sistemas.
, situado
Definición de la configuración de los mensajes
Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede
optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de
correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.
ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo
de transporte para transmitir datos entre los administradores y los agentes. En una configuración
SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de
administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de
la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las
limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una
captura distinta.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Conexión con el servidor de correo
Configure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajes
de alarma e informes.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de usuarios.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
239
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
2
.
Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con el
servidor de correo.
Opción
Descripción
Host y Puerto
Introduzca el host y el puerto del servidor de correo electrónico.
Usar TLS
Indique si desea usar el protocolo de cifrado TLS.
Nombre de usuario y
Contraseña
Escriba el nombre de usuario y la contraseña para acceder al servidor de
correo electrónico.
Título
Escriba un título genérico para todos los mensajes de correo electrónico
enviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,
a fin de identificar qué ESM ha generado el mensaje.
De
Escriba su nombre.
Configurar destinatarios
Permite agregar, editar o eliminar destinatarios (véase Administración de
los destinatarios de alarmas en la página 351).
3
Envíe un mensaje de correo electrónico de prueba para verificar la configuración.
4
Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios de
alarmas en la página 351).
5
Haga clic en Aplicar o en Aceptar para guardar la configuración.
Véase también
Definición de la configuración de los mensajes en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Administración de destinatarios
Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de
destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de
forma que es posible enviar un mensaje a varios destinatarios a la vez.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
correo electrónico.
2
Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos.
3
Haga clic en Agregar y rellene la información solicitada.
4
Haga clic en Aceptar.
El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleen
destinatarios dentro del ESM.
240
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Definición de la configuración de los mensajes en la página 239
Conexión con el servidor de correo en la página 239
Adición de grupos de destinatarios de correo electrónico en la página 241
Adición de grupos de destinatarios de correo electrónico
Agrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a la
vez.
Antes de empezar
Los destinatarios y sus direcciones de correo electrónico deben estar presentes en el
sistema (véase Adición de un usuario).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
.
2
Haga clic en Configuración de correo electrónico, después en Configurar destinatarios y, después, en Grupos de
correo electrónico | Agregar.
3
Escriba un nombre para el grupo, seleccione los usuarios que formarán parte de él y haga clic en
Aceptar.
El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correo
electrónico.
Véase también
Definición de la configuración de los mensajes en la página 239
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Configuración de NTP en un dispositivo
Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP
(Network Time Protocol).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | NTP.
3
Rellene la información solicitada y, después, haga clic en Aceptar.
Procedimientos
•
Visualización del estado de los servidores NTP en la página 242
Es posible ver el estado de todos los servidores NTP del ESM.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
241
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Visualización del estado de los servidores NTP en la página 242
Página Configurar servidores NTP en la página 242
Página Configurar servidores NTP
Permite administrar los servidores NTP para el dispositivo e indicar si se utilizarán servidores NTP para
la sincronización de tiempo.
Tabla 3-124 Definiciones de opciones
Opción
Definición
Usar servidores NTP para
sincronización de tiempo
Seleccione esta opción para utilizar los servidores NTP a fin de sincronizar la
hora del dispositivo en lugar de emplear el reloj del sistema.
Tabla
Ver los servidores NTP predeterminados y los que se han agregado al
dispositivo.
Columna Servidor NTP
Haga clic en esta columna para agregar las direcciones IP de los servidores
NTP que desee agregar al dispositivo. Se pueden agregar hasta diez
servidores.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser
direcciones IP.
Columnas Clave de
autenticación e ID de clave
Escriba la clave de autenticación y el ID de clave de cada uno de los
servidores NTP (póngase en contacto con el administrador de red si no los
conoce).
Estado
Haga clic para ver el estado de los servidores NTP de la lista. Si ha realizado
cambios en la lista de servidores, deberá hacer clic en Aceptar para guardar
los cambios y cerrar la página; después, vuelva a abrirla antes de hacer clic
en Estado.
Véase también
Configuración de NTP en un dispositivo en la página 241
Visualización del estado de los servidores NTP
Es posible ver el estado de todos los servidores NTP del ESM.
Antes de empezar
Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del
sistema o Configuración de NTP en un dispositivo).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En el árbol de navegación del sistema, realice una de las siguientes acciones:
•
Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema.
•
En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
y seleccione Configuración | NTP.
Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar.
Véase también
Configuración de NTP en un dispositivo en la página 241
Página Estado de servidor NTP en la página 243
242
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Página Estado de servidor NTP
Permite ver el estado de los servidores NTP. Si ha realizado cambios en la lista de servidores NTP de
las páginas Reloj del sistema o Configurar servidores NTP, puede que los cambios tarden hasta 10 minutos en
aparecer en esta página.
Tabla 3-125 Definiciones de opciones
Opción
Definición
Columna Servidor
NTP
Incluye las direcciones IP de los servidores NTP. Estas marcas pueden aparecer
antes de la dirección:
• * – Servidor al que se hace referencia
• + – Seleccionado, incluido en el conjunto final
• # – Seleccionado, la distancia supera el valor máximo
• o – Seleccionado, con el uso de Pulso Por Segundo (PPS)
• x – Marca de falso de origen
• . – Seleccionado al final de la lista de candidatos
• - – Descartado por el algoritmo de clúster
Columna Accesible Sí significa que se puede acceder al servidor, y No que no se puede.
Columna
Autenticación
Ninguna significa que no se han proporcionado las credenciales, Incorrecta significa
que las credenciales no eran correctas y Sí significa que se han proporcionado las
credenciales.
Columna Condición La condición corresponde a la marca de la columna Servidor NTP. Candidato significa
que es una opción posible, sys.peer significa que es la opción actual y rechazo
significa que no resulta accesible. Si todos los servidores presentan el valor
rechazo, es posible que la configuración de NTP se esté reiniciando.
Véase también
Visualización del estado de los servidores NTP en la página 242
Configuración de las opciones de red
Configure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESM
y las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, la
configuración de SSH y la adición de rutas estáticas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
red.
2
Rellene la información para configurar la conexión con la red.
3
Haga clic en Aplicar o en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
243
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimientos
•
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus
dispositivos.
•
Configuración del control del tráfico de red en el ESM en la página 258
Defina un valor de salida de datos máximo para el ESM.
•
Configuración de DHCP en la página 262
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
•
Configuración de DHCP en una VLAN en la página 263
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
Página Configuración de red
Permite definir la configuración para la conexión entre el ESM y la red.
Tabla 3-126 Definiciones de opciones
Ficha
Opción
Definición
Principal
Interfaz 1 e Interfaz 2
Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en
Configuración. Siempre se debe tener activada al menos una interfaz.
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]"
de la dirección al verificar el certificado, por lo que no pueden
resolver las direcciones IPv6 mientras intentan obtener los
certificados a través de IPv6. Para solucionar este problema, agregue
un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o
C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el
nombre de host en lugar de la dirección IPv6 para navegar al ESM.
Activar SSH
(no disponible en
el modo FIPS)
Puerto SSH
Seleccione esta opción para permitir las conexiones SSH. Se debe
definir al menos una interfaz para activar SSH.
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Introduzca el puerto concreto mediante el que se permite el acceso.
Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos
de la lista se comunicarán. Para detener la comunicación, elimine el
ID de equipo de la lista.
Configuración IPv6
Seleccione Manual o Automático para activar el modo IPv6.
• Si el valor es Desactivado, el modo IPv6 estará desactivado.
• Si selecciona Automático, se desactivan los campos de IPv6 Principal y
Secundario. Cada host determinará su dirección a partir del contenido
de las publicaciones de usuario recibidas. Se emplea el estándar
IEEE EUI-64 para definir la parte del ID de red de la dirección.
• Si selecciona Manual, se activan los campos de IPv6 Principal y
Secundario. Agregue las direcciones IPv6 en estos campos.
244
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-126 Definiciones de opciones (continuación)
Ficha
Opción
Avanzada
Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e
Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.
Mensajes de ICMP
Definición
Seleccione cualquiera de las siguientes opciones para ICMP.
• Redirigir: el ESM ignora los mensajes de redirección.
• Destino inaccesible: el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la
congestión.
• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un
mensaje Echo Request enviado a una dirección IPv6 de
multidifusión/difusión por proximidad.
Configuración IPMI
Si tiene un NIC IPMI conectado a un conmutador y necesita
administrar de forma remota los dispositivos ESM a través de una
tarjeta IPMI, agregue la configuración de IPMI.
• Activar configuración IPMI: permite el acceso a los comandos de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de
configuración de la red para el puerto IPMI.
Proxy
Tráfico
Rutas
estáticas
Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6
En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto,
Nombre de usuario,
Contraseña
Introduzca la información necesaria para conectar con el servidor
proxy.
Autenticación básica
Permite implementar la comprobación de autenticación básica.
Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla
Permite ver los controles que se han configurado.
Columna Red
Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Máscara
(Opcional) Ver las máscaras para las direcciones de red.
Columna
Rendimiento máximo
Ver el rendimiento máximo definido para cada red.
Agregar, Editar,
Eliminar
Administrar las direcciones de red que se desea controlar.
Rutas estáticas
Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
McAfee Enterprise Security Manager 9.6.0
Guía del producto
245
3
Configuración del ESM
Configuración de los servicios auxiliares
Ficha Proxy
Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
Tabla 3-127 Definiciones de opciones
Opción
Definición
IPv4 o IPv6 (no disponible en todas las
fichas Proxy)
Si dispone de una interfaz que emplea una dirección IPv6,
puede seleccionar IPv6. De lo contrario, se selecciona IPv4.
Dirección IP, Puerto, Nombre de usuario,
Contraseña
Introduzca la información necesaria para conectar con el
servidor proxy.
Autenticación básica
Permite implementar la comprobación de autenticación
básica.
Ficha Red de los dispositivos
Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página
dependen del dispositivo.
Tabla 3-128 Definiciones de opciones de la ficha Red
Opción
Definición
Configuración de
NIC de omisión
Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,
incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el
modo IDS no tienen capacidad de omisión, de forma que su estado será
Funcionamiento normal.
Recopilar flujos
(Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen
y destino en el dispositivo.
ELM EDS SFTP
Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y
descargar los archivos de registro de ELM almacenados para los dispositivos. Si
dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para
acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes:
1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.
HOME_NET
Escriba las direcciones IP pertenecientes a la organización que determinen la
dirección del tráfico de flujo que recopila el dispositivo.
Interfaces
Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo
IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de
red también. Si introduce una dirección IPv6, incluya la máscara de red en la
dirección o, de lo contrario, recibirá un mensaje de error.
A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente
a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista
desplegable>), agregue más interfaces.
Para activar el enlace de NIC, seleccione Administración en el primer campo y,
después, escriba la dirección IP y la máscara de red correspondientes al NIC
principal (primera línea del cuadro de diálogo).
246
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-128 Definiciones de opciones de la ficha Red (continuación)
Opción
Definición
Modo IPv6
Seleccione si se debe activar o no el modo IPv6.
• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6
estarán desactivados.
• Automático: el modo IPv6 está activado. Cada host determinará su dirección a
partir del contenido de las publicaciones de usuario recibidas. Se emplea el
estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los
campos correspondientes a IPv6 estarán desactivados.
• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán
activados.
Modo
(Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
dispositivo Nitro IPS.
Puerto SSH
Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico
Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también
Configuración de interfaces de red en la página 250
Página Propiedades de interfaz
Permite establecer la configuración de Interfaz 1 o Interfaz 2.
Tabla 3-129 Definiciones de las opciones
Opción
Definición
DHCP
Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si
es necesario restablecer las direcciones IP de la red.
Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se
cambia la dirección IP del dispositivo redundante.
IPv4, Máscara de
red, IPv6
Escriba las direcciones IP y una máscara de red para IPv4.
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección
al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras
intentan obtener los certificados a través de IPv6. Para solucionar este problema,
agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C:
\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en
lugar de la dirección IPv6 para navegar al ESM.
Gateway
Introduzca el gateway que funciona con la configuración de red. Debe tratarse de
una dirección IPv4.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
247
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-129 Definiciones de las opciones (continuación)
Opción
Definición
Servidor DNS 1 y 2
Especifique al menos un servidor DNS. Sin un servidor DNS, el ESM no puede
comprobar la existencia de actualizaciones de firmas y software en los servidores
de McAfee. Las funciones tales como el correo electrónico y WHOIS también dejan
de estar disponibles sin un servidor DNS válido. Se trata de campos Y/O para las
direcciones IPv4 e IPv6. Es necesario tener una dirección IPv6 definida en Interfaz
1 o 2 a fin de usarla como dirección del servidor DNS.
Configurar las VLAN Haga clic en Avanzada.
y los alias
• Si utiliza una VLAN, agréguela al ESM.
• En caso de disponer de más de una dirección IP para un dispositivo de red,
agregue un alias.
Ficha Comunicación
Permite definir la configuración de comunicación para la interfaz entre el dispositivo y el ESM. Los
campos de esta página dependen del dispositivo.
Tabla 3-130 Definiciones de opciones para la ficha Comunicación en el dispositivo receptor
Opción
Definición
Puerto SNMP,
Puerto de syslog,
Puerto de sFlow
Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo de entrada del origen de datos. El puerto 0 significa que
la recopilación está desactivada.
El receptor lleva a cabo la recopilación de syslog mediante UDP y TCP.
Puerto TLS de
syslog
Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo TLS de entrada del origen de datos. El puerto
predeterminado es 10514. El puerto 0 significa que la recopilación de syslog
mediante TLS está desactivada. Cuando se agrega un origen de datos, se puede
especificar que solo se acepte syslog mediante TLS de los datos para los que el
puerto está activado. TLS solo admite certificados autofirmados.
Puerto de MEF
Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información de MEF de entrada del origen de datos. El puerto predeterminado es
8081. El puerto 0 significa que la recopilación de MEF está desactivada.
Todos los orígenes de datos MEF con la misma dirección IP deben marcarse como
cifrados o sin cifrar.
248
Puerto IPFIX
Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo IPFIX de entrada del origen de datos. El puerto
predeterminado es 4739. El puerto 0, que es el predeterminado, indica que la
recopilación de IPFIX está desactivada.
Puertos de NetFlow
Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo NetFlow de entrada del origen de datos. Esta lista puede
contener varios puertos separados por comas. Un valor en blanco en este campo
significa que la recopilación de NetFlow está desactivada.
Dirección DHCP
Un intervalo de direcciones IP DHCP que permite la recopilación de registros
enviados a Event Receiver desde orígenes de datos DHCP contenidos en el intervalo.
Un origen de datos DHCP puede presentar cualquier tipo de datos admitido y
enviado al receptor a través del Recopilador de eventos de Windows de McAfee
Labs.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Administración de interfaces de red
La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las
rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección
IP.
Interfaz de administración
Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una
dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo
requieren el uso de una interfaz de administración:
•
Control completo de las tarjetas de red de omisión
•
Uso de la sincronización de hora NTP
•
Syslog generado por dispositivo
•
Notificaciones SNMP
Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una
dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la
comunicación hacia otra dirección IP o nombre de host de destino.
No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública
y su seguridad podría ponerse en peligro.
En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada
ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el
dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo.
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En
circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast
en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los
tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como
en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en
el modo de omisión (véase Configuración de NIC de omisión).
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Enlace de interfaz de ESM
El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de
administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan
las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1
(activo-copia de seguridad).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
249
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Configuración de interfaces de red
La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas
opciones para cada dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en la opción Configuración del dispositivo y, después, en Interfaces.
3
Introduzca los datos solicitados y, a continuación, haga clic en Aplicar.
Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación
de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.
Véase también
Administración de interfaces de red en la página 249
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Ficha Red de los dispositivos en la página 246
Ficha Avanzada de los dispositivos en la página 252
Página Interfaces avanzadas en la página 252
Ficha Red de los dispositivos
Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página
dependen del dispositivo.
Tabla 3-131 Definiciones de opciones de la ficha Red
Opción
Definición
Configuración de
NIC de omisión
Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,
incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el
modo IDS no tienen capacidad de omisión, de forma que su estado será
Funcionamiento normal.
Recopilar flujos
(Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen
y destino en el dispositivo.
ELM EDS SFTP
Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y
descargar los archivos de registro de ELM almacenados para los dispositivos. Si
dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para
acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes:
1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.
250
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-131 Definiciones de opciones de la ficha Red (continuación)
Opción
Definición
HOME_NET
Escriba las direcciones IP pertenecientes a la organización que determinen la
dirección del tráfico de flujo que recopila el dispositivo.
Interfaces
Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo
IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de
red también. Si introduce una dirección IPv6, incluya la máscara de red en la
dirección o, de lo contrario, recibirá un mensaje de error.
A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente
a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista
desplegable>), agregue más interfaces.
Para activar el enlace de NIC, seleccione Administración en el primer campo y,
después, escriba la dirección IP y la máscara de red correspondientes al NIC
principal (primera línea del cuadro de diálogo).
Modo IPv6
Seleccione si se debe activar o no el modo IPv6.
• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6
estarán desactivados.
• Automático: el modo IPv6 está activado. Cada host determinará su dirección a
partir del contenido de las publicaciones de usuario recibidas. Se emplea el
estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los
campos correspondientes a IPv6 estarán desactivados.
• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán
activados.
Modo
(Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
dispositivo Nitro IPS.
Puerto SSH
Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico
Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también
Configuración de interfaces de red en la página 250
McAfee Enterprise Security Manager 9.6.0
Guía del producto
251
3
Configuración del ESM
Configuración de los servicios auxiliares
Ficha Avanzada de los dispositivos
Permite definir la configuración de red avanzada para el dispositivo seleccionado. Los campos de esta
página varían en función del dispositivo con el que se trabaja.
Tabla 3-132 Definiciones de opciones
Opción
Definición
Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.
Redirigir: si se selecciona esta opción, el ESM ignora los mensajes de redirección.
Destino inaccesible: si se selecciona, el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la congestión.
Activar ping: si se selecciona esta opción, el ESM envía un mensaje Echo Reply en
respuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/
difusión por proximidad.
Configuración IPMI Para administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI
cuando hay un NIC IPMI conectado a un conmutador, agregue la configuración de
IPMI.
• Activar configuración IPMI: permite el acceso a los comandos de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la
red para el puerto IPMI.
Véase también
Configuración de interfaces de red en la página 250
Página Interfaces avanzadas
Permite agregar VLAN y alias a la interfaz.
Tabla 3-133 Definiciones de opciones
Opción
Definición
Agregar alias
Resalte la VLAN a la que desee agregar el alias y haga clic en esta opción. Esta opción
no está disponible cuando se selecciona DHCP.
Agregar VLAN Haga clic aquí para agregar una VLAN a la interfaz.
Editar
Resalte un alias o una VLAN en la tabla y haga clic aquí para cambiar la configuración.
Eliminar
Resalte un alias o una VLAN en la tabla y haga clic aquí para eliminarlos.
Véase también
Configuración de interfaces de red en la página 250
Adición de VLAN y alias
Es posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los alias
son pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de un
dispositivo de red con más de una dirección IP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
y, después, en la opción Configuración correspondiente al dispositivo.
2
252
En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
3
Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.
4
Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.
5
Introduzca la información solicitada y, a continuación, haga clic en Aceptar.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Página Agregar alias en la página 253
Página Agregar VLAN en la página 253
Página Agregar alias
Permite agregar un alias, que es un par de dirección IP y máscara de red, en caso de disponer de un
dispositivo con más de una dirección IP.
Tabla 3-134 Definiciones de opciones
Opción
Definición
VLAN
Ver la VLAN a la que pertenece este alias. Este campo se rellena previamente con el
número de la VLAN a la que se va a agregar este alias. Si se trata de la VLAN Sin
etiquetar, el número es el 0.
Versión de IP
Seleccione si la dirección IP tiene el formato IPv4 o IPv6.
Dirección IP
Escriba la dirección IP del alias.
Máscara de red Si la dirección está en formato IPv4, escriba la máscara de red.
Véase también
Adición de VLAN y alias en la página 252
Página Agregar VLAN
Permite agregar una VLAN a la interfaz.
Tabla 3-135 Definiciones de opciones
Opción
Definición
VLAN
Introduzca un número para la VLAN.
DHCP
Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si es
necesario restablecer las direcciones IP de la red.
Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se cambia la
dirección IP del dispositivo redundante.
IPv4 o IPv6
Seleccione la versión de IP. La opción predeterminada es IPv4. Si tiene IPv6 configurado
con el valor Manual o Automático en la página Configuración de red, el botón de opción IPv6
estará activado. Seleccione esta opción si la dirección IP está en formato IPv6. Al
seleccionarla, se desactiva el campo Máscara de red.
Dirección IP
Escriba la dirección IP de la VLAN.
Máscara de red Si la dirección IP está en formato IPv4, agregue la máscara de red.
Véase también
Adición de VLAN y alias en la página 252
McAfee Enterprise Security Manager 9.6.0
Guía del producto
253
3
Configuración del ESM
Configuración de los servicios auxiliares
Adición de rutas estáticas
Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no
disponibles a través del gateway predeterminado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | Interfaces.
3
Junto a la tabla Rutas estáticas, haga clic en Agregar.
4
Introduzca la información y, a continuación, haga clic en Aceptar.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Página Rutas estáticas en la página 254
Página Agregar ruta estática en la página 254
Página Rutas estáticas
Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red
no disponibles a través del gateway predeterminado. Si el ESM o los dispositivos necesitan rutas
estáticas para comunicarse con la red, puede administrarlas en esta página.
Tabla 3-136 Definiciones de opciones
Opción
Definición
Tabla Rutas estáticas
Permite ver las rutas estáticas del sistema.
Agregar
Agregar la información de una ruta estática.
Editar
Realizar cambios en la configuración de la ruta estática seleccionada.
Quitar
Eliminar la ruta estática seleccionada.
Véase también
Adición de rutas estáticas en la página 254
Página Agregar ruta estática
Permite agregar una ruta estática a fin de proporcionar instrucciones sobre cómo llegar a un host o
una red que no están disponibles a través del gateway predeterminado.
Tabla 3-137 Definiciones de opciones
Opción
Definición
IPv4 o IPv6
Indique si esta ruta estática corresponde al tráfico IPv4 o IPv6.
Red y Gateway
Escriba la dirección IP de red y gateway para la ruta.
Máscara
Seleccione la máscara.
Véase también
Adición de rutas estáticas en la página 254
254
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso.
En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast
en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los
tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como
en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en
el modo de omisión.
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Enlace de interfaz de ESM
El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de
administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan
las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1
(activo-copia de seguridad).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
Configuración de NIC de omisión en la página 255
Configuración de NIC de omisión
En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase
todo el tráfico.
Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de
omisión, pero no cambiar la configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Configuración | Interfaces.
3
En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte
inferior.
4
Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración.
5
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
255
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración del puerto IPMI en el ESM o los dispositivos
Es posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos.
Esto permite realizar varias acciones:
•
Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para
el software IPMI.
•
Acceder a una máquina virtual basada en el kernel (KVM) de IPMI.
•
Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0.
•
Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de
alimentación.
•
Restablecer la tarjeta IPMI.
•
Llevar a cabo un restablecimiento en caliente o en frío.
Configuración del puerto IPMI en el ESM o los dispositivos
Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga
clic en el icono Propiedades
2
3
.
Acceda a la ficha Configuración de red Avanzada.
•
En el ESM, haga clic en Configuración de red | Avanzada.
•
En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces |
Opciones avanzadas
Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway
de IPMI.
Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario
actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/
areca/system_bios_update/Contents‑README.txt.
4
Haga clic en Aplicar o en Aceptar.
Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña
o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del
sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de
configurar el IPMI.
Véase también
Página Configuración de red en la página 244
256
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Página Configuración de red
Permite definir la configuración para la conexión entre el ESM y la red.
Tabla 3-138 Definiciones de opciones
Ficha
Opción
Definición
Principal
Interfaz 1 e Interfaz 2
Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en
Configuración. Siempre se debe tener activada al menos una interfaz.
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]"
de la dirección al verificar el certificado, por lo que no pueden
resolver las direcciones IPv6 mientras intentan obtener los
certificados a través de IPv6. Para solucionar este problema, agregue
un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o
C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el
nombre de host en lugar de la dirección IPv6 para navegar al ESM.
Activar SSH
(no disponible en
el modo FIPS)
Puerto SSH
Seleccione esta opción para permitir las conexiones SSH. Se debe
definir al menos una interfaz para activar SSH.
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Introduzca el puerto concreto mediante el que se permite el acceso.
Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos
de la lista se comunicarán. Para detener la comunicación, elimine el
ID de equipo de la lista.
Configuración IPv6
Seleccione Manual o Automático para activar el modo IPv6.
• Si el valor es Desactivado, el modo IPv6 estará desactivado.
• Si selecciona Automático, se desactivan los campos de IPv6 Principal y
Secundario. Cada host determinará su dirección a partir del contenido
de las publicaciones de usuario recibidas. Se emplea el estándar
IEEE EUI-64 para definir la parte del ID de red de la dirección.
• Si selecciona Manual, se activan los campos de IPv6 Principal y
Secundario. Agregue las direcciones IPv6 en estos campos.
Avanzada
Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e
Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.
Mensajes de ICMP
Seleccione cualquiera de las siguientes opciones para ICMP.
• Redirigir: el ESM ignora los mensajes de redirección.
• Destino inaccesible: el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la
congestión.
• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un
mensaje Echo Request enviado a una dirección IPv6 de
multidifusión/difusión por proximidad.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
257
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-138 Definiciones de opciones (continuación)
Ficha
Opción
Definición
Configuración IPMI
Si tiene un NIC IPMI conectado a un conmutador y necesita
administrar de forma remota los dispositivos ESM a través de una
tarjeta IPMI, agregue la configuración de IPMI.
• Activar configuración IPMI: permite el acceso a los comandos de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de
configuración de la red para el puerto IPMI.
Proxy
Tráfico
Rutas
estáticas
Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6
En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto,
Nombre de usuario,
Contraseña
Introduzca la información necesaria para conectar con el servidor
proxy.
Autenticación básica
Permite implementar la comprobación de autenticación básica.
Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla
Permite ver los controles que se han configurado.
Columna Red
Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Máscara
(Opcional) Ver las máscaras para las direcciones de red.
Columna
Rendimiento máximo
Ver el rendimiento máximo definido para cada red.
Agregar, Editar,
Eliminar
Administrar las direcciones de red que se desea controlar.
Rutas estáticas
Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Configuración del control del tráfico de red en el ESM
Defina un valor de salida de datos máximo para el ESM.
Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la
cantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) y
gigabits (Gb) por segundo.
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.
258
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
.
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
Haga clic en Configuración de red y, después, en la ficha Tráfico.
La tabla presenta una lista de los controles existentes.
3
A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
4
Haga clic en Aplicar.
Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.
Tabla 3-139 Definiciones de las opciones
Opción
Definición
Columna Red
Permite ver las direcciones de las redes en las que el sistema controla el
tráfico saliente en función de lo que se haya definido.
Columna Máscara
(Opcional) Ver las máscaras para las direcciones de red.
Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red.
Agregar, Editar, Eliminar
Administrar las direcciones de red que se desea controlar.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Página Agregar tasa de rendimiento
Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de
envío de tráfico saliente.
Tabla 3-140 Definiciones de las opciones
Opción Definición
Red
Escriba la dirección de la red en la que desee controlar el tráfico saliente.
Máscara
(Opcional) Seleccione una máscara para la dirección de red.
Tasa
Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por
segundo para el envío de tráfico.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
McAfee Enterprise Security Manager 9.6.0
Guía del producto
259
3
Configuración del ESM
Configuración de los servicios auxiliares
Uso de los nombres de host
El nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar los
nombres de host de forma que se asocien con sus correspondientes direcciones IP.
En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, así
como establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático.
Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las
direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host
inferior de los componentes de vista.
, situado en la parte
Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una
búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las
direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de
localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se
agregan a la tabla de hosts.
En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de
tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la
página Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la
siguiente vez que se selecciona la opción Mostrar nombres de host en una vista.
La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus
direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la
introducción de una dirección IP y un nombre de host individualmente, o bien a través de la
importación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase
Importación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menos
tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca,
pero es posible editarlo o quitarlo.
Véase también
Administración de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Administración de los nombres de host
Lleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts,
tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer el
momento de caducidad de los hosts de aprendizaje automático.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.
2
Seleccione una opción e introduzca la información solicitada.
3
Haga clic en Aplicar o en Aceptar.
Véase también
Uso de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Página Hosts en la página 261
Página Agregar host en la página 261
260
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Página Hosts
Permite administrar la lista de nombres de host en el ESM.
Tabla 3-141 Definiciones de opciones
Opción
Definición
Agregar
Permite agregar un nombre de host, o bien un nombre de host y su dirección IP.
Se agregará a la tabla Hosts.
Editar
Cambiar el nombre de host asociado con una dirección IP.
Quitar
Eliminar el elemento seleccionado de la tabla.
Búsqueda
Permite buscar el nombre de host correspondiente a una dirección IP. Esto resulta
útil cuando se configura la información para una red interna. Cuando la búsqueda
finaliza, los resultados aparecen en la tabla.
Actualizar hosts
Actualizar la tabla para reflejar los cambios realizados en la lista y las entradas
caducadas.
Importar
Importar una lista delimitada por tabulaciones de direcciones IP y nombres de
host (véase Importación de una lista de nombres de host).
Las entradas caducan
después de
Establezca la cantidad de tiempo que desea que los nombres de host de
aprendizaje automático permanezcan en la tabla. Si no desea que caduquen,
seleccione cero (0) en todos los campos.
Véase también
Administración de los nombres de host en la página 260
Página Agregar host
Permite agregar un host individual a la tabla de hosts.
Tabla 3-142 Definiciones de opciones
Opción
Definición
Nombre de host Escriba un nombre para el host. Puede ser una cadena de hasta 100 caracteres.
Dirección IP
Escriba la dirección IP del host en notación IPv4 o IPv6 válidas. Cabe la posibilidad de
incluir una máscara.
Véase también
Administración de los nombres de host en la página 260
Importación de una lista de nombres de host
Es posible importar un archivo de texto que contenga las direcciones IP y los correspondientes
nombres de host a la tabla de hosts.
Antes de empezar
Cree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.
Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar en
formato IPv4 o IPv6. Por ejemplo:
102.54.94.97 rhino.acme.com
08c8:e6ff:0100::02ff x.acme.com
McAfee Enterprise Security Manager 9.6.0
Guía del producto
261
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts
| Importar.
2
Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que se
encuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la página
Duplicados aparecerán los registros duplicados.
•
Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo en
la columna Uso y haga clic en Aceptar.
•
Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic en
Aceptar.
Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondiente
a estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán.
Véase también
Uso de los nombres de host en la página 260
Administración de los nombres de host en la página 260
Configuración de DHCP
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de
forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces
y servicios.
Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente
DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los
servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de
disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer
las direcciones IP de la red.
Los alias se desactivan cuando se activa DHCP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,
haga clic en el icono Propiedades
2
3
.
Siga uno de los procedimientos siguientes:
•
En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.
•
En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en
Interfaces y, a continuación, en la ficha Red.
Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios
requieren el reinicio del servidor de ESM.
4
262
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Configuración de DHCP en una VLAN
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de
forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces
y servicios.
Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente
DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los
servicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en
caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario
restablecer las direcciones IP de la red.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,
haga clic en el icono Propiedades
2
.
Siga uno de los procedimientos siguientes:
•
En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.
•
En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en
Interfaces y, a continuación, en la ficha Red.
3
Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada.
4
Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP.
5
Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren
el reinicio del servidor de ESM.
Sincronización de la hora del sistema
Ya que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, es
importante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia
constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionar
que el ESM y los dispositivos se sincronicen con un servidor NTP.
Véase también
Configuración de la hora del sistema en la página 263
Sincronización de los relojes de dispositivos en la página 264
Configuración de la hora del sistema
Antes de empezar
Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves
de autorización y sus ID de clave.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
263
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2
Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP.
La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puede
acceder de nuevo a la lista de servidores NTP y comprobar su estado.
Véase también
Sincronización de la hora del sistema en la página 263
Página Reloj del sistema en la página 264
Página Reloj del sistema
Permite configurar el reloj del sistema o seleccionar servidores NTP para la sincronización horaria del
ESM.
Tabla 3-143 Definiciones de opciones
Opción
Definición
Establecer la hora del sistema
de ESM (GMT) en
Si no utiliza un servidor NTP para sincronizar la hora del sistema,
asegúrese de que la fecha y la hora se configuren como GMT.
Usar servidores NTP para
sincronización de tiempo
Seleccione esta opción para utilizar servidores NTP a fin de sincronizar la
hora del sistema en lugar de emplear el reloj del sistema.
Columna Servidor NTP
Es posible agregar las direcciones IP de los servidores NTP haciendo clic en
esta columna. Se pueden agregar hasta diez servidores.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser
direcciones IP.
Columnas Clave de
autenticación e ID de clave
Escriba la clave de autenticación y el ID de clave de cada uno de los
servidores NTP (póngase en contacto con el administrador de red si no los
conoce).
Estado
Haga clic para ver el estado de los servidores NTP de la lista. Si ha
realizado cambios en la lista de servidores, deberá hacer clic en Aceptar para
guardar los cambios y cerrar la página; después, vuelva a abrirla antes de
hacer clic en Estado.
Véase también
Configuración de la hora del sistema en la página 263
Sincronización de los relojes de dispositivos
Es posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datos
generados por los diversos sistemas reflejen la misma configuración.
264
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del
dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.
Se le informará cuando finalice la sincronización o en caso de que exista algún problema.
2
Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página
Información del dispositivo.
Véase también
Sincronización de la hora del sistema en la página 263
Instalación de un nuevo certificado
El ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. La
mayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificado
no se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para el
ESM, deberá instalarlo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
Haga clic en la ficha Administración de claves y, después, en Certificado.
3
Haga su selección y, a continuación, haga clic en Cerrar.
Véase también
Página Administrar certificado en la página 265
Página Administrar certificado
Permite instalar un certificado SSL en el ESM.
Opción
Definición
Cargar certificado
Instale el certificado, la clave y los archivos de cadena opcionales, en caso de
disponer de ellos. Se le pedirá que cargue el archivo .crt, después el
archivo .key y, por último, los archivos de cadena.
Filtro de certificado
autofirmado
Genere e instale un certificado de seguridad autofirmado para el ESM. Haga
clic en Generar e introduzca la información en la página Administrar certificado.
Haga clic en Aceptar y, después, en Generar.
Solicitud de firma de
certificado
Genere una solicitud de certificado que enviar a una autoridad de
certificación para su firma.
• Haga clic en Generar, introduzca la información en la página Administrar
certificado y, después, haga clic en Aceptar.
• Descargue el archivo .zip que contiene un archivo .crt y otro .key.
• Extraiga el archivo .crt y envíelo a la autoridad de certificación.
Regenerar certificados de
McAfee predeterminados
Regenere el certificado original.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
265
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Instalación de un nuevo certificado en la página 265
Configuración de perfiles
Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan
información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también
de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
perfiles.
2
Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.
3
Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información
solicitada.
4
Haga clic en Aceptar.
Véase también
Página Administrador de perfiles en la página 266
Página Agregar perfil del sistema en la página 267
Ficha Comandos remotos en la página 268
Página Comando remoto en la página 268
Página Administrador de perfiles
Permite administrar los perfiles del sistema para utilizarlos en el reenvío de eventos, la configuración
de orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y
los recursos compartidos remotos.
Tabla 3-144 Definiciones de opciones
Opción
Definición
Tabla Perfiles del sistema
Ver los perfiles que hay actualmente en el sistema.
Agregar
Permite agregar un perfil.
Editar
Cambiar el perfil seleccionado.
Quitar
Eliminar el perfil seleccionado.
Véase también
Configuración de perfiles en la página 266
266
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Página Agregar perfil del sistema
Agregue un perfil de sistema para poder utilizarlo en el reenvío de eventos, la configuración de
orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y
los recursos compartidos remotos.
Tabla 3-145 Definiciones de opciones
Opción
Definición
Contraseña de
autenticación
Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará
activo. Escriba la contraseña para el protocolo de autenticación seleccionado en
el campo Protocolo de autenticación.
Protocolo de
autenticación
Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará
activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1. SHA1 y SHA
hacen referencia al mismo tipo de protocolo.
Nombre de comunidad
Escriba la cadena de comunidad de la captura SNMP.
Compresión
En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar
la compresión.
Cifrado
En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar
el cifrado.
ID de motor
Introduzca el ID de motor SNMPv3 del remitente de las capturas. No es un
campo obligatorio.
Registros de eventos
Los registros de eventos de WMI predeterminados son SYSTEM, APPLICATION y
SECURITY, pero se admiten otros registros. A la hora de introducir nombres
adicionales, recuerde que se distingue entre mayúsculas y minúsculas, deben
separarse mediante comas y no deben existir espacios entre ellos. Es necesario
disponer de acceso a fin de leer los registros. Solo se pueden extraer los
registros de seguridad si se es administrador. Es posible extraer registros de
orígenes de datos WMI sin privilegios de administrador si se configuran
correctamente.
Función
Seleccione la función a la que se enviará el mensaje de reenvío de eventos.
Intervalo
Seleccione el intervalo en minutos de comprobación del proveedor WMI en
busca de eventos nuevos.
Dirección IP
Captura SNMP: escriba la dirección IP del servidor de eEye que envía información
de capturas.
Reenvío de eventos: escriba la dirección IP a la que se reenviarán los eventos.
Contraseña
La contraseña utilizada para conectar con el proveedor WMI.
Protocolo de privacidad
Si selecciona authPriv en el campo Nivel de seguridad correspondiente a SNMP, este
campo estará activo. Seleccione DES o AES. En el modo FIPS, la única opción
disponible es AES.
Agente de perfil
Seleccione el agente para este perfil. Los campos restantes variarán en función
de lo que se seleccione en este campo.
Nombre de perfil
Escriba un nombre descriptivo para este perfil.
Tipo de perfil
Seleccione el tipo de perfil. Los campos restantes de esta página variarán en
función de lo que se seleccione en este campo. Su uso es evidente en la
mayoría de los casos.
Puerto
Cambie el puerto de conexión si el predeterminado no es correcto.
Protocolo
Seleccione el protocolo de transporte.
Dirección IP remota,
Punto de montaje
remoto, Ruta remota
Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta información
para el dispositivo de almacenamiento.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
267
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-145 Definiciones de opciones (continuación)
Opción
Definición
Nivel de seguridad
Seleccione el nivel de seguridad de este perfil de SNMPv3.
• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad
• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad
• authPriv: con protocolo de autenticación y protocolo de privacidad
Los campos Autenticación y Privacidad se activarán en función del nivel de seguridad
seleccionado.
Enviar paquete
Seleccione esta opción si desea enviar el paquete de evento.
Gravedad
Seleccione la gravedad de la información reenviada.
Nombre de usuario
El nombre de usuario utilizado para conectar con el proveedor WMI. En el caso
de los usuarios de dominio, introduzca el nombre de usuario con el formato
dominio\usuario.
Véase también
Configuración de perfiles en la página 266
Ficha Comandos remotos
Permite administrar los perfiles de comandos remotos para poder ejecutarlos en una vista o una
alarma. Las secuencias de comandos tienen la capacidad de hacer referencia a variables desde
consultas o eventos.
Tabla 3-146 Definiciones de opciones
Opción
Definición
Tabla Comandos remotos
Ver los comandos remotos que hay disponibles actualmente en el sistema.
Agregar
Agregar un nuevo comando remoto.
Editar
Cambiar el comando remoto seleccionado.
Quitar
Eliminar el comando remoto seleccionado.
Véase también
Configuración de perfiles en la página 266
Página Comando remoto
Las opciones de configuración de comando remoto se emplean para ejecutar un comando en cualquier
dispositivo que acepte conexiones SSH, excepto los dispositivos de McAfee del ESM. Si agrega un
perfil, podrá acceder a él siempre que necesite agregar un comando remoto.
Tabla 3-147 Definiciones de opciones
268
Opción
Definición
Nombre
Escriba un nombre para este perfil de comando remoto.
Descripción
Describa lo que hace este comando.
Tipo
Seleccione el tipo de comando remoto del que se trata.
Zona horaria
Seleccione la zona horaria que se utilizará.
Formato de fecha
Seleccione el formato para la fecha.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-147 Definiciones de opciones (continuación)
Opción
Definición
Host, Puerto, Nombre de usuario,
Contraseña
Escriba la información correspondiente a la conexión SSH.
Cadena de comando
Escriba la cadena de comando para la conexión SSH. Para insertar
variables en la cadena de comando, haga clic en el icono Insertar variable
y seleccione las variables.
Véase también
Configuración de perfiles en la página 266
Configuración de SNMP
Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/
inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos,
recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del
comando snmpwalk.
SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o
Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced
Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS).
Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado de
mantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a un
ESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todos
los appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivo
y de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee).
Véase también
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
Configuración de las opciones de SNMP
Configure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios con
nombres que no incluyan espacios pueden realizar consultas SNMP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
SNMP.
2
Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP.
3
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
269
3
Configuración del ESM
Configuración de los servicios auxiliares
Véase también
Configuración de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
Página Configuración SNMP en la página 270
Página Configuración SNMP en la página 271
Página Configuración SNMP
Permite configurar las opciones empleadas por el ESM para el tráfico SNMP.
Tabla 3-148 Definiciones de opciones
Ficha
Opción
Definición
Solicitudes
SNMP
Puerto de solicitud
Seleccione el puerto por el que debe pasar el tráfico.
Aceptar
Seleccionar los tipos de capturas que se aceptarán.
Permitir SNMPv1/2c
Seleccione esta opción si desea permitir el tráfico SNMP de la
versión 1 y la versión 2, y escriba el tipo de comunidad.
Permitir SNMPv3
Seleccione esta opción si desea permitir el tráfico SNMP de la
versión 3, y seleccione el nivel de seguridad, el protocolo de
autenticación y el protocolo de privacidad.
Direcciones IP de
confianza
Ver las direcciones IP que el ESM permite o considera de confianza.
Es posible agregar direcciones nuevas y editar o eliminar las
existentes. La dirección IP puede incluir una máscara.
Ver ID de
dispositivos
Ver una lista de los ID de dispositivo que se pueden usar al enviar
solicitudes SNMP.
Ver MIB
Ver la MIB (Management Information Base, base de datos de
información de administración) de McAfee, la cual define los
identificadores de objeto (OID) de cada objeto o característica de
interés.
Puerto de captura
En la ficha Capturas SNMP, establezca el puerto por el que debe pasar
el tráfico de captura en frío/en caliente, así como el tráfico de
entrada de lista negra y de vínculo activo/inactivo.
Capturas de vínculo
activo/inactivo
Seleccione esta opción si desea que se envíen capturas de vínculo
activo/inactivo. Si selecciona esta función y emplea varias
interfaces, se le notificará cuando una interfaz deje de funcionar, así
como cuando vuelva a estar activa.
Capturas SNMP
El tráfico de captura en frío/en caliente se permite de forma
automática. Se genera una captura de inicio en frío siempre que se
reinicia el servicio SNMP. El servicio SNMP se reinicia cuando
cambia la configuración de SNMP, se modifica un usuario, se
modifica un grupo, un usuario inicia sesión con autenticación
remota, se reinicia el ESM, se reinicia cpservice, y en otras
situaciones. Se genera una captura de inicio en caliente cuando se
reinicia el sistema.
Capturas de base de
datos activa/inactiva
Seleccione esta opción si desea que se envíe una captura SNMP
cuando la base de datos (cpservice, IPSDBServer) se active o se
desactive.
Captura de error de Seleccione esta opción si desea que se envíe una captura SNMP
registro de seguridad cuando no se escriba un registro en la tabla de registros.
270
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-148 Definiciones de opciones (continuación)
Ficha
Opción
Definición
Error de hardware
general
Seleccione esta opción si desea recibir una notificación cuando falle
cualquiera de las fuentes de alimentación del ESM (DAS o hardware
general). Esto contribuye a evitar el apagado del sistema debido a
un fallo de alimentación.
Destinos
Seleccione los nombres de perfil de los sistemas a los que desee
enviar las notificaciones. La tabla muestra todos los perfiles de
captura SNMP disponibles en el sistema. Para editar esta lista, haga
clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del
Administrador de perfiles.
Véase también
Configuración de las opciones de SNMP en la página 269
Página Configuración SNMP
Permite definir qué capturas SNMP se deben enviar, así como sus destinos.
Ficha
Opción
Definición
Solicitudes
SNMP
Puerto de solicitud
Seleccione el puerto por el que debe pasar el tráfico.
Aceptar
Permite aceptar las solicitudes de estado de dispositivo.
Permitir SNMPv1
Seleccione esta opción si desea permitir el tráfico SNMP de la versión
1 y la versión 2, y establezca la cadena de comunidad.
Permitir SNMPv3
Seleccione esta opción si desea permitir el tráfico SNMP de la versión
3, y seleccione el nivel de seguridad, el protocolo de autenticación y
el protocolo de privacidad.
Direcciones IP de
confianza
Permite ver las direcciones IP que el dispositivo permite o considera
de confianza. Es posible agregar direcciones nuevas y editar o
eliminar las existentes. La dirección IP puede incluir una máscara.
Debe existir una dirección IP de confianza.
Capturas SNMP
Ver MIB
Ver la MIB (Management Information Base, base de datos de
información de administración) de McAfee, la cual define los
identificadores de objeto (OID) de cada objeto o característica de
interés.
Puerto de captura
Establezca el puerto por el que debe pasar el tráfico de captura en
frío/en caliente, así como el tráfico de lista negra y de vínculo activo/
inactivo.
Capturas de vínculo Seleccione esta opción para enviar capturas de vínculo activo/
activo/inactivo
inactivo. Si selecciona esta función y emplea varias interfaces, se le
notificará cuando una interfaz deje de funcionar, así como cuando
vuelva a estar activa.
El tráfico de captura en frío/en caliente se permite de forma
automática. Se genera una captura de inicio en frío cuando se
producen un cierre o un restablecimiento completos. Se genera una
captura de inicio en caliente cuando se reinicia el sistema.
Capturas de base
de datos activa/
inactiva
McAfee Enterprise Security Manager 9.6.0
Seleccione esta opción para enviar una captura SNMP cuando la base
de datos (cpservice, IPSDBServer) se active o se desactive.
Guía del producto
271
3
Configuración del ESM
Configuración de los servicios auxiliares
Ficha
Opción
Definición
Captura de error de
registro de
seguridad
Seleccione esta opción para enviar una captura SNMP cuando no se
escriba un registro en la tabla de registros.
Destinos
Seleccione los nombres de perfil de los sistemas a los que desee
enviar las notificaciones. La tabla muestra todos los perfiles de
captura SNMP disponibles en el sistema. Para editar esta lista, haga
clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del
Administrador de perfiles.
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, establezca uno para
la dirección IP compartida.
Véase también
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de
alimentación
Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos
de alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptor
de capturas SNMP).
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.
3
En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.
4
Haga clic en Agregar e introduzca la información solicitada como sigue.
•
Tipo de perfil: seleccione Captura SNMP.
•
Dirección IP: escriba la dirección a la que desee enviar la captura.
•
Puerto: escriba 162.
•
Nombre de comunidad: escriba Público.
Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.
5
Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.
El perfil se agregará a la tabla Destinos.
6
272
Seleccione el perfil en la columna Uso y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Configuración de los servicios auxiliares
3
Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de
mantenimiento junto al dispositivo en el árbol de navegación del sistema.
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
SNMP y la MIB de McAfee
Es posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB
(Management Information Base, base de datos de información de administración) de McAfee define el
identificador de objeto (OID) de cada objeto o característica de interés.
La MIB define grupos de objetos para:
•
Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Un
receptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP de
McAfee.
•
Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de
datos SNMP de McAfee.
•
Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los
dispositivos que administra, así como responder a ellas.
•
Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de
cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra.
La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre
las que se incluyen:
•
La acción realizada cuando se recibe una alerta
•
La dirección y el estado del flujo
•
Los tipos de orígenes de datos
•
Las acciones de lista negra
La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information
(SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a
través de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso).
Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de
administración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los
objetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelen
llevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno o
varios OID junto con la instancia concreta del OID.
El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de
estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al
siguiente:
OID de solicitud y respuesta Unidades
Valor de respuesta
Significado
1.3.6.1.4.1.23128.1.3.2.1.2
Interno
Nombre del dispositivo Nitro
IPS
1.3.6.1.4.1.23128.1.3.2.2.2
2
Identificador único del ESM
para el dispositivo Nitro IPS
McAfee Enterprise Security Manager 9.6.0
Guía del producto
273
3
Configuración del ESM
Configuración de los servicios auxiliares
OID de solicitud y respuesta Unidades
Valor de respuesta
Significado
1.3.6.1.4.1.23128.1.3.2.3.2
1
La comunicación con Nitro
IPS está disponible (1) o no
está disponible (0)
1.3.6.1.4.1.23128.1.3.2.4.2
Ok
Estado de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.5.2
off
Estado de las NIC de
omisión de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.6.2
Nitro IPS
Modo de Nitro IPS (Nitro IPS
o IDS)
1.3.6.1.4.1.23128.1.3.2.7.2
Porcentaje
2
Porcentaje instantáneo
combinado de carga de la
CPU
1.3.6.1.4.1.23128.1.3.2.8.2
MB
1010
Total de RAM de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.9.2
MB
62
RAM disponible
1.3.6.1.4.1.23128.1.3.2.10.2
MB
27648
Total de espacio de la
unidad de disco duro
particionado para la base de
datos de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.11.2
MB
17408
Espacio libre de la unidad de
disco duro disponible para la
base de datos de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.12.2
Segundos
desde
01/01/1970
120793661
Hora actual del sistema del
dispositivo Nitro IPS
1.3.6.1.4.1.23128.1.3.2.13.2
7.1.3
20070518091421a
Información de versión y
compilación de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.14.2
ABCD:1234
ID de equipo de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.15.2
Nitro IPS
Número de modelo de Nitro
IPS
00:00:00.0
(GMT)
1.3.6.1.4.1.23128.1.3.2.16.2
Alertas por
minuto
140
Tasa de alertas (por minuto)
durante un mínimo de 10
minutos
1.3.6.1.4.1.23128.1.3.2.17.2
Flujos por
minuto
165
Tasa de flujos (por minuto)
durante un mínimo de 10
minutos
Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP,
el ESM. Los números significan lo siguiente:
274
•
1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación de
números de Internet (IANA).
•
1.3.2: una solicitud de estado de Nitro IPS.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
•
Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectos
del estado de Nitro IPS.
•
El último número (2): la instancia concreta del OID, el ID de Nitro IPS.
El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado.
Las tablas siguientes muestran el significado de los OID del ESM y el receptor.
Tabla 3-149 Estado de ESM
OID de solicitud y respuesta Unidades
Valor de
respuesta
Significado
1.3.6.1.4.1.23128.1.3.1.1
Porcentaje
4
Porcentaje instantáneo
combinado de carga de la CPU
1.3.6.1.4.1.23128.1.3.1.2
MB
3518
Total de RAM
1.3.6.1.4.1.23128.1.3.1.3
MB
25
RAM disponible
1.3.6.1.4.1.23128.1.3.1.4
MB
1468006
Total de espacio de la unidad
de disco duro particionado
para la base de datos de ESM
1.3.6.1.4.1.23128.1.3.1.5
MB
1363148
Espacio libre de la unidad de
disco duro disponible para la
base de datos de ESM
1.3.6.1.4.1.23128.1.3.1.6
Segundos desde 1283888714
01/01/1970
00:00:0.0
(GMT)
Hora actual del sistema en el
ESM
1.3.6.1.4.1.23128.1.3.1.7
8.4.2
Versión y compilación del ESM
1.3.6.1.4.1.23128.1.3.1.8
4EEE:6669
ID de equipo del ESM
1.3.6.1.4.1.23128.1.3.1.9
ESM
Número de modelo del ESM
Tabla 3-150 Estado del receptor
OID de solicitud y respuesta Unidades
Valor de respuesta
Significado
1.3.6.1.4.1.23128.1.3.3.1.x
Receptor
Nombre del receptor
1.3.6.1.4.1.23128.1.3.3.2 .x
2689599744
Identificador único del
ESM para el receptor
1.3.6.1.4.1.23128.1.3.3.3.x
1
Indica que la
comunicación con el
receptor está disponible
(1) o no está disponible
(0)
1.3.6.1.4.1.23128.1.3.3.4.x
Aceptar
Indica el estado del
receptor
1.3.6.1.4.1.23128.1.3.3.5.x
Porcentaje
2
Porcentaje instantáneo
combinado de carga de la
CPU
1.3.6.1.4.1.23128.1.3.3.6.x
MB
7155
Total de RAM
1.3.6.1.4.1.23128.1.3.3.7.x
MB
5619
RAM disponible
McAfee Enterprise Security Manager 9.6.0
Guía del producto
275
3
Configuración del ESM
Configuración de los servicios auxiliares
Tabla 3-150 Estado del receptor (continuación)
OID de solicitud y respuesta Unidades
Valor de respuesta
Significado
1.3.6.1.4.1.23128.1.3.3.8.x
MB
498688
Total de espacio de la
unidad de disco duro
particionado para la base
de datos del receptor
1.3.6.1.4.1.23128.1.3.3.9.x
MB
472064
Espacio libre de la unidad
de disco duro disponible
para la base de datos del
receptor
1.3.6.1.4.1.23128.1.3.3.10.x
Segundos
desde
01/01/1970
00:00:0.0
(GMT)
1283889234
Hora actual del sistema en
el receptor
1.3.6.1.4.1.23128.1.3.3.11.x
7.1.3
20070518091421a
Versión y compilación del
receptor
1.3.6.1.4.1.23128.1.3.3.12.x
5EEE:CCC6
ID de equipo del receptor
1.3.6.1.4.1.23128.1.3.3.13.x
Receiver
Número de modelo del
receptor
1.3.6.1.4.1.23128.1.3.3.14.x
Alertas por
minuto
1
Tasa de alertas (por
minuto) durante un
mínimo de 10 minutos
1.3.6.1.4.1.23128.1.3.3.15.x
Flujos por
minuto
2
Tasa de flujos (por
minuto) durante un
mínimo de 10 minutos
x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema |
Configuración SNMP y haga clic en Ver ID de dispositivos.
Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de
información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos
podría tener un aspecto similar al siguiente:
276
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.1
780
ID de alerta del ESM
1.3.6.1.4.1.23128.1.1.2
6136598
ID de alerta del dispositivo
1.3.6.1.4.1.23128.1.1.3
Interno
Nombre de dispositivo
1.3.6.1.4.1.23128.1.1.4
2
ID de dispositivo
1.3.6.1.4.1.23128.1.1.5
10.0.0.69
IP de origen
1.3.6.1.4.1.23128.1.1.6
27078
Puerto de origen
1.3.6.1.4.1.23128.1.1.7
AB:CD:EF:01:23:45
MAC de origen
1.3.6.1.4.1.23128.1.1.8
10.0.0.68
IP de destino
1.3.6.1.4.1.23128.1.1.9
37258
Puerto de destino
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Configuración de los servicios auxiliares
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF
MAC de destino
1.3.6.1.4.1.23128.1.1.11 17
Protocolo
1.3.6.1.4.1.23128.1.1.12 0
VLAN
1.3.6.1.4.1.23128.1.1.13 Dirección
1.3.6.1.4.1.23128.1.1.14 20
Recuento de eventos
1.3.6.1.4.1.23128.1.1.15 1201791100
Primera vez
1.3.6.1.4.1.23128.1.1.16 1201794638
Última vez
1.3.6.1.4.1.23128.1.1.17 288448
Última vez (microsegundos)
1.3.6.1.4.1.23128.1.1.18 2000002
ID de firma
1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to
High
Descripción de firma
1.3.6.1.4.1.23128.1.1.20 5
Acción realizada
1.3.6.1.4.1.23128.1.1.21 1
Gravedad
1.3.6.1.4.1.23128.1.1.22 201
Resultado o tipo de origen de datos
1.3.6.1.4.1.23128.1.1.23 0
ID de firma normalizado
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0
Dirección IPv6 de origen
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0
Dirección IPv6 de destino
1.3.6.1.4.1.23128.1.1.26
Aplicación
1.3.6.1.4.1.23128.1.1.27
Dominio
1.3.6.1.4.1.23128.1.1.28
Host
1.3.6.1.4.1.23128.1.1.29
Usuario (origen)
1.3.6.1.4.1.23128.1.1.30
Usuario (destino)
1.3.6.1.4.1.23128.1.1.31
Comando
1.3.6.1.4.1.23128.1.1.32
Objeto
1.3.6.1.4.1.23128.1.1.33
Número de secuencia
1.3.6.1.4.1.23128.1.1.34
Indica si se ha generado en un entorno
de confianza o no de confianza.
1.3.6.1.4.1.23128.1.1.35
ID de la sesión que generó la alerta
Los números significan lo siguiente:
•
1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA.
•
1.1: una solicitud de estado de Nitro IPS.
•
El número final (1–35): para informar de las diversas características de la alerta.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
277
3
Configuración del ESM
Administración de la base de datos
Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/
BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM.
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
Extracción de la MIB de ESM en la página 278
Extracción de la MIB de ESM
Permite ver los objetos y las notificaciones para crear una interfaz con el ESM.
Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes:
•
A un ESM para administrar las listas negras y las listas de cuarentena de uno o varios dispositivos
IPS.
•
A un ESM que solicita información de estado del propio ESM o de los dispositivos IPS y receptores.
•
A un dispositivo para solicitar su información de estado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
2
.
Haga clic en Configuración SNMP y, después, en Ver MIB.
Aparecerá una lista de definiciones de MIB.
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Administración de la base de datos
El objetivo de la administración de la base de datos del ESM es proporcionar información y opciones de
configuración a medida que se establecen las funciones en el sistema.
Es posible administrar la configuración de indización de la base de datos, ver e imprimir información
sobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones de
almacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventos
y flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos.
Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento
adicional para almacenamiento del sistema, de datos y de alto rendimiento.
Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas
las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de
realizar este proceso.
278
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de la base de datos
3
Configuración del almacenamiento de datos de ESM
Si tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipos
pequeños de Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS
(Direct-attached storage, almacenamiento conectado directamente) conectado al ESM, puede
configurarlo para el almacenamiento de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Almacenamiento de datos.
2
Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada.
Las fichas disponibles dependen de los tipos de almacenamiento conectados al ESM.
3
Haga clic en Cancelar para cerrar la página.
Véase también
Página Configuración iSCSI en la página 163
Página Configuración iSCSI
Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.
Tabla 3-151 Definiciones de opciones
Opción
Definición
Nombre
Escriba el nombre del dispositivo iSCSI.
Dirección IP
Escriba la dirección IP del dispositivo iSCSI.
Puerto
Seleccione el puerto del dispositivo iSCSI.
Véase también
Adición de un dispositivo iSCSI en la página 162
Configuración del almacenamiento de datos de ESM en la página 279
Configuración del almacenamiento de datos de máquina virtual
de ESM
Si su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtual
en la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para el
almacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual.
Cada una de las listas desplegables de la página Asignación de datos incluye las unidades de
almacenamiento disponibles que se montan en la máquina virtual.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Datos de máquina virtual.
2
En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es
posible seleccionar una vez cada unidad.
3
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
279
3
Configuración del ESM
Administración de la base de datos
Aumento del número de índices de acumulación disponibles
Debido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a un
campo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice
en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino,
zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva
alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le
notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice
afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine
que es absolutamente necesario.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
2
Haga clic en Configuración y, después, en la ficha Indización de acumulación.
3
En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar.
Los índices estándar se muestran en el área Activado.
4
Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para
moverlos al área Disponible.
El número de la indicación restante(s), situada en la esquina superior derecha de la página,
aumentará con cada índice estándar desactivado.
Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado
(véase Administración de la indización de acumulación).
Configuración de un archivo de particiones inactivas
ESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estar
inactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particiones
inactivas de forma que no se eliminen.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Archivado.
2
Rellene los campos, que variarán en función del tipo seleccionado.
3
Haga clic en Aceptar para guardar la configuración.
A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en
las fichas Particiones de eventos y Particiones de flujos.
Véase también
Página Particiones inactivas en la página 281
280
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de la base de datos
Página Particiones inactivas
Permite configurar una ubicación de almacenamiento para particiones inactivas de manera que no se
eliminen del sistema.
Tabla 3-152 Definiciones de opciones
Opción
Definición
Activado
Permite activar el archivado de particiones inactivas.
Tipo
Seleccione el tipo de almacenamiento. Las opciones son CIFS, NFS, iSCSI y, si
dispone de una tarjeta SAN instalada, SAN.
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
Tamaño
Seleccione la cantidad máxima de espacio de almacenamiento que desee
asignar en el dispositivo.
Volumen SAN
Si ha seleccionado el tipo SAN, seleccione el volumen de SAN. Aparecerán todos
los volúmenes listos para almacenar datos.
Editar
Puede aplicar formato a otros volúmenes y agregarlos a la lista de volúmenes
SAN.
Dirección IP remota,
Punto de montaje
remoto, Ruta remota
Si ha seleccionado CIFS o NFS, escriba la información sobre el dispositivo de
almacenamiento en cada uno de estos campos.
Nombre de usuario,
Contraseña
Si ha seleccionado CIFS, deberá introducir el nombre de usuario y la contraseña
para el dispositivo de almacenamiento.
A fin de conectar con un recurso compartido CIFS, no utilice comas en la
contraseña.
Dispositivo iSCSI e IQN
de iSCSI
Seleccione el dispositivo de almacenamiento iSCSI y el nombre completo de
iSCSI (IQN).
El intento de conectar varios dispositivos a un IQN puede provocar la fuga de
datos y otros problemas de configuración.
En el caso de un dispositivo todo en uno ESM/Event Receiver/ELM, el dispositivo
y sus nombres completos de iSCSI (IQN) aparecerán en estos campos si ya ha
configurado la conexión con la SAN iSCSI del ELM (véase Página Configuración
iSCSI). Si dispone de dispositivos ESM y ELM dedicados, configure la conexión
con el dispositivo iSCSI (véase Página Configuración iSCSI).
Conectar
Permite probar la conexión.
Asignación de datos
Ajuste el número total de registros de eventos, flujos y registros que se pueden
guardar en este dispositivo en los campos Eventos, Flujos y Registros.
Fichas Particiones de
eventos, Particiones de
flujos o Particiones de
registro
Permiten ver las particiones inactivas de eventos, flujos o registros. Es posible
reactivar hasta 10 particiones mediante su selección en la columna Activo.
Véase también
Configuración de un archivo de particiones inactivas en la página 280
Configuración de límites de retención de datos
Si cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidad
de tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datos
históricos insertados.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
281
3
Configuración del ESM
Administración de la base de datos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Retención de datos.
2
Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea
restringir los datos históricos.
3
Haga clic en Aceptar.
Véase también
Página Retención de datos en la página 282
Página Retención de datos
Seleccione la cantidad de tiempo que desea que se mantengan los eventos y los flujos, y si desea
limitar los datos históricos.
Tabla 3-153 Definiciones de opciones
Opción
Definición
Guardar todos los datos que permita el Seleccione esta opción para mantener el número máximo de eventos
sistema
o flujos que permita el sistema.
Guardar datos de los últimos
Seleccione esta opción si solo desea mantener los eventos y flujos
durante la cantidad de tiempo especificada.
Restringir inserción de datos históricos Seleccione esta opción si desea restringir los datos históricos;
indique la antigüedad que pueden tener los datos en el campo No
insertar datos anteriores a.
Véase también
Configuración de límites de retención de datos en la página 281
Definición de los límites de asignación de datos
El número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. La
asignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registros
deben incluirse en las búsquedas para optimizar las consultas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Asignación de datos.
2
Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien
haga clic en las flechas de los campos Eventos y Flujos.
3
Haga clic en Aceptar.
Véase también
Página Asignación de datos en la página 283
282
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de la base de datos
Página Asignación de datos
Permite establecer cuánto espacio se debe asignar a los eventos y los flujos, así como cuántos
registros se deben emplear para optimizar la búsqueda.
Tabla 3-154 Definiciones de opciones
Opción
Definición
Control deslizante
superior
Indique qué parte del espacio total se debe asignar a los eventos y qué
parte a los flujos.
Control deslizante
inferior
Defina la cantidad de registros de eventos y flujos en los que se buscará
cuando se realice una consulta.
Este control deslizante no aparece si no existe un dispositivo SSD.
Véase también
Definición de los límites de asignación de datos en la página 282
Administración de la configuración de índice de la base de
datos
Es posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datos
se almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de las
consultas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Configuración.
2
Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que
desee cambiar y seleccione una nueva configuración en la lista desplegable.
3
Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder
seleccionar o agregar un nuevo valor de puerto.
4
Haga clic en Aceptar.
Véase también
Página Indización de base de datos en la página 284
Página Valores de puerto en la página 284
McAfee Enterprise Security Manager 9.6.0
Guía del producto
283
3
Configuración del ESM
Administración de la base de datos
Página Indización de base de datos
Permite indicar si la información de puertos y direcciones MAC se debe almacenar o no en los índices
de la base de datos.
Tabla 3-155 Definiciones de opciones
Opción
Definición
Tabla
Permite ver la configuración de indización del ESM y sus dispositivos.
Columnas Dirección MAC Seleccione la configuración actual y elija una de las opciones. Si la
configuración de un dispositivo es Heredar, empleará la configuración del
sistema.
Columnas Puerto
Haga clic en la configuración actual y seleccione una de las opciones. Si
selecciona Personalizado, se abrirá la página Valores de puerto para que pueda
seleccionar o agregar un valor de puerto.
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Página Valores de puerto
Permite seleccionar un puerto existente o agregar un nuevo valor de puerto.
Tabla 3-156 Definiciones de opciones
Opción
Definición
Agregar valor Permite agregar el valor seleccionado al campo Valor actual.
Nuevo
Permite agregar un nuevo valor de puerto; para ello, escriba un nombre y su valor. Se
agregará a la lista y se podrá utilizar en el futuro.
Editar
Permite cambiar el nombre o el valor de un puerto personalizado.
Eliminar
Permite eliminar un puerto personalizado de la lista de puertos.
Valor actual
Introduzca un valor de puerto; para ello, escríbalo o resáltelo y haga clic en Agregar valor.
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Administración de la indización de acumulación
Si cuenta con campos personalizados que extraen datos numéricos de un origen, la indización de
acumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible
acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor de
tendencia.
Antes de empezar
Configure un tipo personalizado de indización de acumulación (véase Creación de tipos
personalizados).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
284
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
2
Haga clic en Configuración y, después, en la ficha Indización de acumulación.
3
Seleccione los índices y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de la base de datos
Ahora ya es posible configurar una consulta acumulativa para ver los resultados.
Véase también
Ficha Indización de acumulación en la página 285
Ficha Indización de acumulación
Permite seleccionar los índices de acumulación. Puede seleccionar cinco índices para el campo
acumulativo seleccionado. Si necesita más de cinco, puede desactivar los índices estándar y, después,
agregar más índices de acumulación al campo.
Tabla 3-157 Definiciones de opciones
Opción
Definición
Lista desplegable
Seleccione el campo de acumulación al que desee agregar índices. Si necesita
más de cinco índices, seleccione Índices estándar.
Mostrar índices estándar
Seleccione esta opción para ver los índices estándar en las listas Activado y
Disponible.
Lista Disponible
Si ha seleccionado un campo de acumulación, seleccione los índices que
activar y haga clic en la flecha para moverlos a la lista Activado. La indicación
restante(s) en la esquina superior derecha de la página le permitirá saber
cuántos índices más puede seleccionar para el campo.
Lista Activado
Permite ver los índices activados. Si ha seleccionado Mostrar índices estándar, se
mostrarán los índices estándar. Para eliminar uno, selecciónelo y haga clic en
la flecha a fin de moverlo de nuevo a la lista Disponible. Si elimina un índice
estándar, aumentará el número de índices de acumulación que se pueden
agregar al campo acumulativo.
Desde este punto en
adelante
Seleccione esta opción si desea usar los índices en los datos generados a
partir de este momento.
Reconstruir datos antiguos Seleccione esta opción si desea usar los índices en los datos pasados; a
continuación, seleccione la fecha de inicio de su elección.
Si lo hace, será necesario reconstruir las particiones que contienen los datos.
Véase también
Administración de la indización de acumulación en la página 284
Visualización de la utilización de memoria de la base de datos
Es posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base de
datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Uso de memoria.
Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos.
2
Para imprimir los informes, haga clic en el icono Imprimir
.
Véase también
Página Información de la base de datos en la página 286
McAfee Enterprise Security Manager 9.6.0
Guía del producto
285
3
Configuración del ESM
Uso de usuarios y grupos
Página Información de la base de datos
Permite ver o imprimir tablas que muestran el uso de memoria de la base de datos.
Tabla 3-158 Definiciones de opciones
Opción
Definición
Tabla Eventos
Ver el uso de memoria para eventos por nombre de índice.
Tabla flujos
Ver el uso de memoria para flujos por nombre de índice.
Es posible imprimir un informe de utilización de memoria.
Véase también
Visualización de la utilización de memoria de la base de datos en la página 285
Uso de usuarios y grupos
Los usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, sus
dispositivos, sus directivas y sus privilegios asociados.
En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administrador
de claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos de
cuentas de usuario: Administrador del sistema y Usuario general.
La página Usuarios y grupos tiene dos secciones:
•
Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada
usuario y los grupos a los que pertenecen.
•
Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada
uno.
Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.
Privilegios de grupo
Cuando se configura un grupo, se establecen los privilegios de sus miembros.
Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema |
Agregar grupo), el acceso a estas funciones queda limitado.
286
•
Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de
dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos.
•
Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de
alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas.
•
Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.
•
Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.
•
ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni
acceder a las propiedades de dispositivos ELM.
•
Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory,
Activos, Grupos de activos ni Etiquetas.
•
Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo
electrónico.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Uso de usuarios y grupos
•
Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.
•
Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.
•
Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.
3
Adición de un usuario
Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que
tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la
configuración del usuario se puede editar o eliminar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
2
Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar.
3
En la sección Usuarios, haga clic en Agregar y rellene la información solicitada.
4
Haga clic en Aceptar.
Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan.
Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un
icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene
privilegios de administrador, aparecerá un icono de monarca
junto a su nombre.
Véase también
Página Agregar usuario en la página 287
Página Usuarios y grupos en la página 289
Página Agregar usuario
Permite agregar un usuario para permitirle el acceso al ESM.
Tabla 3-159 Definiciones de opciones
Opción
Definición
Nombre de usuario
Especifique un nombre de usuario. Si va a emplear la configuración de CAC (véase
Configuración del inicio de sesión mediante CAC), el nombre de usuario
corresponde al EDI-PI de 10 dígitos del usuario.
Alias de usuario
(Opcional) Introduzca un alias si no desea que el nombre de usuario resulte
visible. Si emplea la configuración de CAC, podría corresponder al nombre de
usuario.
Contraseña
Haga clic en Establecer contraseña, introduzca una contraseña exclusiva para la
cuenta, confírmela y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
287
3
Configuración del ESM
Uso de usuarios y grupos
Tabla 3-159 Definiciones de opciones (continuación)
Opción
Definición
Función (solo
modo FIPS)
Seleccione una función para este usuario. Las opciones son las siguientes:
• Usuario: estos usuarios no se pueden agregar a un grupo con privilegios de Usuario
avanzado.
• Usuario avanzado: estos usuarios se consideran administradores del sistema para
fines de UCAPL, pero podrían no disponer de todos los privilegios de un
administrador del sistema. Esta función es necesaria para asignar un usuario a
un grupo con cualquiera de estos privilegios:
• Administración del sistema
• Agregar/eliminar directivas
• Administración de usuarios
• Variables y reglas personalizadas
• Administración de directivas
• Lista negra global
• Administrador de claves y certificados: esta función es necesaria para llevar a cabo
funciones de administración de claves. Un usuario con esta función no se puede
agregar a un grupo con privilegios de Usuario avanzado.
• Administrador de auditorías: esta función es necesaria para configurar los registros.
Un usuario con esta función no se puede agregar a un grupo con privilegios de
Usuario avanzado.
Derechos de
administrador (no
en modo FIPS)
Seleccione esta opción si desea que el usuario tenga privilegios de administrador.
El administrador del sistema puede otorgar privilegios a los usuarios generales
mediante la creación de grupos de acceso y la asignación de usuarios a estos
grupos. El administrador del sistema es el único usuario que tiene acceso a todas
las áreas del sistema, incluida el área de usuarios y grupos.
Desactivar cuenta
Seleccione esta opción si desea bloquear el acceso por parte del usuario a su
cuenta en el ESM (véase Desactivación o reactivación de usuarios).
Dirección de correo
electrónico
Agregue la dirección de correo electrónico del usuario, que es opcional a menos
que el usuario reciba notificaciones de informe o alarma.
• Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la
lista desplegable Dirección de correo electrónico.
• Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico y
agréguela al sistema.
SMS móvil
Agregue el número de SMS (mensaje de texto) del usuario.
• Si el número de envío de SMS ya existe en el sistema, selecciónelo en la lista
desplegable SMS móvil.
• Si el número no existe en el sistema, haga clic en SMS móvil y agréguelo al
sistema.
El usuario es
miembro de
Seleccione los grupos a los que debe pertenecer el usuario.
Véase también
Adición de un usuario en la página 287
288
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Página Usuarios y grupos
Si dispone de privilegios de administrador del sistema, puede agregar usuarios al sistema y
organizarlos en grupos con privilegios específicos. Estos privilegios limitan las funciones a las que
tendrán acceso.
Tabla 3-160 Definiciones de opciones
Opción
Definición
Tabla Usuarios
Incluye los usuarios con acceso al ESM.
Tabla Grupos
Incluye los grupos que hay configurados en el ESM.
Agregar, Editar y Quitar • A la derecha de la tabla Usuarios, permiten agregar usuarios nuevos y editar o
quitar los existentes.
Antes de quitar un usuario, asegúrese de que no esté establecido como
usuario asignado en una alarma.
• A la derecha de la tabla Grupos, permiten agregar grupos nuevos, así como
asignarles usuarios y privilegios.
Véase también
Adición de un usuario en la página 287
Selección de la configuración de usuario
La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se
puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el
idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha
Alarmas y la ficha Casos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.
2
Verifique que esté seleccionada la opción Configuración de usuario.
3
Realice cambios en la configuración según proceda y, después, haga clic en Aceptar.
La consola cambiará de aspecto en función de la configuración establecida.
Véase también
Página Configuración de usuario en la página 290
McAfee Enterprise Security Manager 9.6.0
Guía del producto
289
3
Configuración del ESM
Uso de usuarios y grupos
Página Configuración de usuario
Permite definir las opciones de configuración de la consola de ESM de forma que se adapte a sus
necesidades.
Tabla 3-161 Definiciones de opciones
Opción
Definición
Seleccione una zona horaria y
un formato de fecha
Cambie la zona horaria en la primera lista desplegable o el formato de los
datos en la segunda.
Todas las vistas, consultas y opciones de configuración muestran datos de
eventos, flujos y registro relativos a esta zona horaria y con este formato
de fecha a menos que se indique lo contrario de forma explícita. Si cambia
esta zona horaria, podrían generarse datos incorrectos. Por tanto, se
recomienda dejar siempre el valor GMT.
Cambiar contraseña
En la página Cambiar nombre de usuario y contraseña, cambie el nombre de
usuario y la contraseña para acceder a la consola de ESM. Si no desea que
su nombre aparezca en la barra de navegación de la consola, introduzca
otro nombre de usuario en el campo Alias.
Pantalla predeterminada
Seleccione el tipo de pantalla del árbol de navegación del sistema que
desee que aparezca de forma predeterminada al abrir el sistema.
Idioma
Seleccione el idioma para la consola.
Mostrar orígenes de datos
desactivados en el árbol de
sistemas
Seleccione esta opción si desea que los orígenes de datos desactivados se
muestren en el árbol de navegación del sistema. Se indicarán mediante
este icono: .
Mostrar panel de alarmas
Seleccione esta opción si desea que el panel Alarmas aparezca en la
consola.
Mostrar panel de administración Seleccione esta opción si desea que el panel Casos aparezca en la consola.
de casos
Véase también
Selección de la configuración de usuario en la página 289
Configuración de la seguridad
Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar,
establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC).
También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP
(solo disponible si se dispone de privilegios de administrador del sistema).
Funciones de seguridad de ESM
La familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en una
red e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de forma
predeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS.
La comunicación con un dispositivo Nitro IPS se lleva a cabo mediante la tecnología Secure Encrypted
Management (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en banda
que mitiga el riesgo de ataques de reproducción o de intermediario.
Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM
autorizado. No inicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM
también se envía mediante una conexión cifrada, la cual es conforme con FIPS.
290
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Uso de usuarios y grupos
3
El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor
central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de
hardware como de software, para garantizar que los dispositivos se administren únicamente desde un
ESM debidamente autorizado.
Definición de la configuración de inicio de sesión estándar
Es posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante la
definición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo de
tiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con las
contraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2
Defina las opciones en la ficha Estándar.
3
Haga clic en Aceptar o en Aplicar.
Véase también
Ficha Estándar en la página 291
Ficha Estándar
Permite definir la configuración de inicio de sesión general para el sistema.
Tabla 3-162 Definiciones de opciones
Opción
Definición
Intentos de inicio de sesión
fallidos permitidos
Especifique el número de inicios de sesión fallidos consecutivos que se
permiten en una única sesión. Si se supera este número en el tiempo
especificado, la cuenta se bloqueará y el administrador del sistema tendrá
que desbloquearla mediante Usuarios y grupos. El valor 0 indica que se permite
un número infinito de intentos de inicio de sesión.
La cuenta principal no se puede bloquear.
Espacio de tiempo de intentos Defina el espacio de tiempo para los intentos de inicio de sesión fallidos
de inicio de sesión fallidos
consecutivos. El intervalo oscila entre 0 y 1440 minutos. Este campo
funciona junto con Intentos de inicio de sesión fallidos permitidos. Cuando se alcanza
el número de intentos fallidos permitido en el espacio de tiempo
especificado, la cuenta se bloquea. Permanecerá bloqueada durante el
tiempo definido en el campo Duración de bloqueo en error de inicio de sesión o hasta
que la desbloquee el administrador del sistema.
Duración de bloqueo en error
de inicio de sesión
Especifique la cantidad de tiempo que debe permanecer bloqueada una
cuenta si se bloquea automáticamente debido a los inicios de sesión fallidos.
El valor máximo es 1440 minutos; 0 significa que no se debe desbloquear
automáticamente. Transcurrido ese tiempo, la cuenta se desbloquea
automáticamente. Esto no afecta a las cuentas que se han bloqueado
manualmente. Los administradores pueden desbloquear la cuenta en
cualquier momento.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
291
3
Configuración del ESM
Uso de usuarios y grupos
Tabla 3-162 Definiciones de opciones (continuación)
Opción
Definición
Valor de tiempo de espera de
interfaz de usuario
Especifique la cantidad de tiempo que debe transcurrir sin actividad de
forma que aparezca la pantalla de inicio de sesión para la sesión actual. Por
ejemplo, si el valor se establece en 30 minutos, la aplicación muestra
automáticamente la pantalla de inicio de sesión tras 30 minutos de
inactividad, lo cual obliga a iniciar sesión de nuevo para poder reanudar las
actividades. El valor 0 significa que no existe límite.
Bloquear automáticamente las Configure el ESM para que bloquee las cuentas de usuario que no tengan
cuentas inactivas después de derechos de administrador tras el número especificado de días de
inactividad. El valor máximo es 365 días; el mínimo es 0, que equivale a
desactivar esta función. El bloqueo permanece hasta que un administrador
desbloquea la cuenta.
Sesiones activas de un
usuario
Establezca el número de sesiones activas que puede tener un usuario
simultáneamente. El máximo es 10; el valor 0 desactiva la restricción.
Mostrar el último ID de
usuario al iniciar sesión
Indique si desea que el campo de nombre de usuario se rellene
automáticamente con el utilizado en el último inicio de sesión correcto.
Configuración de la ACL
Seleccione esta opción si desea establecer una lista de direcciones IP que
pueden acceder al sistema o que tienen el acceso bloqueado.
Véase también
Definición de la configuración de inicio de sesión estándar en la página 291
Definición de la configuración de contraseña de inicio de sesión
Existen varias opciones de configuración que se pueden definir en relación con la contraseña de inicio
de sesión del sistema.
Antes de empezar
Debe tener derechos de administrador del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad
de inicio de sesión.
2
Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar.
Véase también
Ficha Contraseñas en la página 293
292
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Ficha Contraseñas
Si dispone de privilegios de administrador, puede definir diversas opciones de configuración para las
contraseñas del sistema.
Tabla 3-163 Definiciones de opciones
Opción
Definición
Contraseña avanzada
requerida
Seleccione esta opción si desea que el sistema exija que todas las contraseñas
cumplan los siguientes requisitos de longitud y caracteres. Como mínimo:
• 15 caracteres de longitud
• 2 números
• 2 símbolos o signos de puntuación
• 2 letras minúsculas
• 2 letras mayúsculas
• No se permiten 4 o más caracteres repetidos consecutivos
Si una contraseña no cumple estos requisitos, no se acepta.
Caducidad de la
contraseña
Especifique con qué frecuencia se debe cambiar la contraseña. El intervalo oscila
entre 0 y 365 días. Si se selecciona 0, la contraseña no caduca.
Notificación previa a
caducar la contraseña
Seleccione el número de días antes de la caducidad de la contraseña para
recordarle al usuario que debe cambiar la contraseña. El valor máximo es 30 y el
mínimo 1.
Período de gracia de
caducidad de
contraseña
Seleccione el período de tiempo tras caducar la contraseña de un usuario en que
aún podrá iniciar sesión. Tras el período de gracia, la cuenta se bloquea y es
necesario que la desbloquee el administrador.
Inicios de sesión en
período de gracia
Seleccione las veces que un usuario podrá iniciar sesión durante el período de
tiempo especificado tras caducar la contraseña. Tras este número de inicios de
sesión en el período de gracia, la cuenta se bloquea y es necesario que la
desbloquee el administrador.
Número de historiales
de contraseñas
Indique si el historial de contraseñas utilizadas por una persona debe
almacenarse en el sistema y cuántos historiales se deben almacenar por cada
usuario. El intervalo oscila entre 0 y 100 contraseñas. Si se indica 0, no se
almacena el historial. Si existe un historial, se comprueba cuando un usuario
modifica una contraseña. En caso de no ser exclusiva, se devuelve un error y la
contraseña no se actualiza. Si es exclusiva, la contraseña se cambia y se agrega
una entrada nueva al historial. Si se alcanza el límite de almacenamiento, se
borra la contraseña más antigua.
Restringir cambios de
contraseña una vez
cada
Permite restringir la frecuencia con que un usuario puede cambiar la contraseña.
Por ejemplo, si selecciona 12, los usuarios no podrán cambiar sus contraseñas
más de una vez cada 12 horas.
Véase también
Definición de la configuración de contraseña de inicio de sesión en la página 292
Configuración de las opciones de autenticación RADIUS
Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
293
3
Configuración del ESM
Uso de usuarios y grupos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2
Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor
secundario es opcional.
3
Haga clic en Aceptar o en Aplicar.
Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a
través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación
mediante RADIUS no pueden acceder a ESM.
Véase también
Página Configuración de autenticación RADIUS en la página 294
Página Configuración de autenticación RADIUS
Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.
RADIUS no es conforme a FIPS. Si está obligado a cumplir las normas de FIPS, se recomienda no utilizar
esta función.
Tabla 3-164 Definiciones de opciones
Opción
Definición
Activado
Seleccione esta opción para activar la autenticación RADIUS. Cuando
está activada, todos los usuarios excepto el administrador del sistema
se deben autenticar a través del servidor RADIUS. Si la autenticación
está desactivada, los usuarios configurados para la autenticación
mediante RADIUS no pueden acceder al sistema.
Dirección IP del servidor principal y
Dirección IP del servidor secundario
Introduzca la dirección IP del servidor RADIUS. No es necesario
indicar la dirección IP, el puerto de servidor y el secreto compartido
secundarios.
Puerto del servidor principal y Puerto Introduzca el puerto del servidor RADIUS.
del servidor secundario
Secreto compartido principal y
Secreto compartido secundario
Introduzca el secreto compartido (similar a una contraseña)
correspondiente al servidor RADIUS.
Véase también
Configuración de las opciones de autenticación RADIUS en la página 293
Configuración de la lista de control de acceso
Es posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen el
acceso bloqueado.
294
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2
Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista.
3
Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso.
Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL.
Véase también
Página Lista de control de acceso en la página 295
Página Lista de control de acceso
Permite configurar una lista de direcciones IP que pueden acceder al ESM o a un dispositivo, o bien
que tienen el acceso bloqueado.
Tabla 3-165 Definiciones de opciones
Opción
Definición
Permitir estas direcciones
Seleccione esta opción si desea permitir el acceso de las direcciones IP al
sistema.
Rechazar estas direcciones
Seleccione esta opción si desea bloquear el acceso de las direcciones IP al
ESM.
Tabla Dirección/máscara IP Permite ver las direcciones IP ya agregadas a la lista.
Agregar
Permite agregar una dirección IP o máscara a la lista.
Editar
Permite cambiar la dirección IP resaltada en la lista.
Quitar
Permite eliminar la dirección IP resaltada en la lista.
Véase también
Configuración de la lista de control de acceso en la página 294
Configuración de CAC
Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar
de introduciendo un nombre de usuario y una contraseña.
Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado
de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado
con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con
esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico
de datos (EDI-PI) asociado con las CAC.
Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan
una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar
manualmente un archivo .zip con archivos CRL.
ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la
autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient
instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las
credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más
probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles
McAfee Enterprise Security Manager 9.6.0
Guía del producto
295
3
Configuración del ESM
Uso de usuarios y grupos
con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su
descarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de su
organización.
Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema
depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los
inicios de sesión mediante CAC también lo estarán.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
Configuración del inicio de sesión mediante CAC
A fin de configurar el inicio de sesión CAC, es necesario cargar los certificados raíz de CA, activar la
función de inicio de sesión mediante CAC y activar un usuario CAC mediante el establecimiento del
nombre distintivo completo (FQDN) del titular de la tarjeta como nombre de usuario. El titular de la
tarjeta puede entonces acceder al ESM mediante un navegador compatible con CAC sin tener que
introducir un nombre de usuario y una contraseña.
ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte técnico si
necesita ayuda con su lector de tarjetas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Cargue el certificado raíz de CA.
a
En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados |
Entidades de certificación raíz de confianza.
b
Seleccione su CA raíz actual y haga clic en Exportar.
c
En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y haga
clic en Siguiente.
d
Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y,
después, en Finalizar.
e
En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, haga
clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC.
f
Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en el ESM.
2
En la ficha Seguridad de inicio de sesión | CAC, introduzca la información y realice las selecciones
solicitadas; a continuación, haga clic en Aceptar.
3
Active cada uno de los usuarios CAC.
a
En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema.
b
En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.
c
Sustituya el nombre del campo Nombre de usuario por el FQDN.
d
(Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar.
Véase también
Configuración de CAC en la página 295
Página Configuración de Common Access Card en la página 297
296
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Página Configuración de Common Access Card
Permite configurar los usuarios de forma que puedan acceder a la consola de ESM mediante un
navegador compatible con CAC sin que se les solicite el nombre de usuario y la contraseña.
Tabla 3-166 Definiciones de opciones
Opción
Definición
El modo CAC está
actualmente
establecido en
Seleccione el modo correspondiente a Common Access Card (CAC). Las opciones
son las siguientes:
• DESACTIVADO: esta es la opción predeterminada. El inicio de sesión CAC está
desactivado, así que los usuarios deben iniciar sesión mediante el cuadro de
inicio de sesión de ESM.
• OPCIONAL: la autenticación CAC está disponible, pero si el usuario no
proporciona un certificado, aparece el cuadro de inicio de sesión de ESM como
si el modo CAC estuviera desactivado.
• REQUERIDO: solo se puede acceder al sistema mediante el inicio de sesión CAC.
El cuadro de inicio de sesión no se muestra nunca. Si selecciona esta opción,
introduzca un código PIN de seguridad en Código PIN de seguridad para modo requerido
(IPv4). Se trata del código PIN que se introduce en el panel LCD si es necesario
cambiar el modo CAC a OPCIONAL en caso de que se bloquee el acceso al
sistema de todos los usuarios. El código PIN debe tener el formato IPv4
(10.0.0.0) porque así lo reconoce el panel LCD.
Los certificados y las autoridades de certificación caducan, así que el modo
REQUERIDO podría llegar a bloquear el acceso de todos los usuarios al ESM. Existe
un botón de modo a prueba de errores situado en el panel LCD, en la parte
delantera del ESM, que cambia el modo CAC de nuevo a OPCIONAL.
Credenciales de
certificado
Permite cargar la cadena de certificados raíz de CA de forma que el ESM tenga
acceso a ellos. Es posible ver el archivo de certificado o descargarlo a una
ubicación seleccionada.
Lista de revocación de
certificados
Cargue la lista de certificados revocados o descárguelos a la ubicación de su
elección.
Configurar un
programa de
recuperación
Configure una planificación de recuperación automática; para ello, escriba la
dirección URL y la frecuencia con la que el ESM debería buscar actualizaciones de
archivos de revocación.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
Configuración de las opciones de autenticación de Active Directory
Es posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuando
está activada esta opción, todos los usuarios excepto el administrador del sistema se autentican a
través de Active Directory. Si la autenticación está desactivada, los usuarios configurados para la
autenticación mediante Active Directory no pueden acceder al sistema.
Antes de empezar
•
Configure un Active Directory al que se pueda acceder desde ESM.
•
Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el
grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el
nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos y
agregar un grupo con el nombre "Usuarios de McAfee".
McAfee Enterprise Security Manager 9.6.0
Guía del producto
297
3
Configuración del ESM
Uso de usuarios y grupos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2
Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.
3
Haga clic en Agregar y agregue la información solicitada para configurar la conexión.
4
Haga clic en Aceptar en la página Conexión de Active Directory.
Véase también
Página Autenticación de Active Directory en la página 298
Página Conexión de Active Directory en la página 298
Página Autenticación de Active Directory
Permite ver la lista de dominios de Active Directory y configurar el ESM para autenticar los usuarios
mediante Active Directory.
Tabla 3-167 Definiciones de opciones
Opción
Definición
Activar autenticación de Active
Directory
Seleccione esta opción o anule su selección para activar o desactivar la
autenticación de usuarios mediante Active Directory. Si anula la selección
de la autenticación, los usuarios configurados para la autenticación
mediante Active Directory no podrán acceder al sistema.
Agregar
Permite configurar la conexión con Active Directory.
Editar
Realizar cambios en el dominio seleccionado en la lista.
Eliminar
Eliminar el dominio seleccionado en la lista.
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Página Conexión de Active Directory
Permite configurar la conexión entre el ESM y Active Directory.
Tabla 3-168 Definiciones de opciones
Opción
Definición
Usar como
predeterminado
Seleccione esta opción si desea usar este dominio como predeterminado.
Nombre de dominio
Escriba el nombre del dominio.
Cuando se inicia sesión en el sistema, se puede utilizar este nombre de
dominio como nombre de usuario. Si inicia sesión mediante su nombre de
usuario, se empleará el dominio designado como predeterminado.
298
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Tabla 3-168 Definiciones de opciones (continuación)
Opción
Definición
Botón Agregar
Permite agregar direcciones IP utilizadas para Active Directory.
• Servidor de administración: seleccione esta opción si se trata de la dirección del
servidor de administración. De lo contrario, anule su selección.
Una de las direcciones introducidas debe identificar el host donde se ejecuta
el servidor de administración.
• Dirección IP: escriba la dirección IP para Active Directory.
• Puerto y Puerto LDAP: permite cambiar los valores predeterminados, si procede.
• Usar TLS: seleccione esta opción a fin de utilizar el protocolo de cifrado TLS
para los datos.
Botón Editar
Realizar cambios en la configuración existente de direcciones IP.
Botón Eliminar
Eliminar una dirección IP existente.
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Configuración de credenciales para McAfee ePO
Es posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales de
usuario.
Antes de empezar
El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de
usuario global (véase Configuración de la autenticación de usuarios global).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione
Credenciales de ePO.
2
Haga clic en el dispositivo y, después, en Editar.
Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la
autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo
(véase Cambio de la conexión con ESM).
3
Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar.
Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña
agregados.
Véase también
Página Credenciales de McAfee ePO en la página 300
McAfee Enterprise Security Manager 9.6.0
Guía del producto
299
3
Configuración del ESM
Uso de usuarios y grupos
Página Credenciales de McAfee ePO
Permite establecer las credenciales de usuario a fin de limitar el acceso a un dispositivo McAfee ePO.
Tabla 3-169 Definiciones de opciones
Opción Definición
Tabla
Ver los dispositivos McAfee ePO del ESM. Si la columna Estado indica No necesario, el
dispositivo está configurado para la autenticación de usuarios global. Si indica Sin credenciales,
el dispositivo está configurado para requerir la autenticación individual de los usuarios.
Para cambiar la configuración de autenticación de los usuarios, acceda al cuadro de diálogo
Propiedades del dispositivo McAfee ePO, haga clic en Conectar y cambie la configuración en el
campo Solicitar autenticación de usuario.
Editar
Haga clic en esta opción para agregar o cambiar las credenciales necesarias para que una
persona acceda al dispositivo McAfee ePO seleccionado. Escriba el nombre de usuario y la
contraseña; a continuación, haga clic en Probar conexión.
Eliminar
Haga clic en esta opción para eliminar las credenciales del dispositivo seleccionado. Se le
pedirá confirmación.
Véase también
Configuración de credenciales para McAfee ePO en la página 299
Desactivación o reactivación de usuarios
Si un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido en
Seguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función si
es necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo del
sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
2
En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.
3
Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar.
El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.
Autenticación de usuarios mediante un servidor LDAP
Es posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
300
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2
Haga clic en la ficha LDAP.
3
Rellene los campos y, después, haga clic en Aplicar o en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Uso de usuarios y grupos
3
Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben
autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la
autenticación LDAP no pueden acceder al sistema.
Véase también
Página Autenticación LDAP en la página 301
Página Autenticación LDAP
Permite configurar los usuarios para la autenticación con un servidor LDAP.
Tabla 3-170 Definiciones de opciones
Opción
Definición
Activar
Si desea que todos los usuarios excepto el administrador del sistema se
autentiquen mediante el servidor LDAP, seleccione Activar. Si la autenticación
está desactivada, los usuarios configurados para la autenticación mediante
LDAP no pueden acceder al sistema.
Dirección IP
Escriba la dirección IP del servidor LDAP.
Puerto
Cambie el puerto del servidor, si procede.
Usar TLS o Usar SSL
Seleccione estas opciones si desea emplear un protocolo de cifrado para los
datos.
Nombre del dominio base Escriba el dominio en el que se deben comprobar las credenciales.
Atributo de grupo
Atributo donde se almacena la información sobre el grupo del usuario.
Normalmente, no es necesario modificar este campo.
Filtro de grupo
Filtro utilizado para recopilar información de grupo. Puede incluir o excluir
grupos específicos de los resultados de la búsqueda.
Filtro de usuario
Filtro utilizado para recopilar información de usuario. Puede incluir o excluir
usuarios específicos de los resultados de la búsqueda.
Véase también
Autenticación de usuarios mediante un servidor LDAP en la página 300
Configuración de grupos de usuarios
Los grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega un
grupo, se le deben asignar dispositivos, directivas y privilegios.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Usuarios y grupos | Agregar.
2
Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar.
El grupo se agregará a la tabla Grupos de la página Usuarios y grupos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
301
3
Configuración del ESM
Uso de usuarios y grupos
Véase también
Página Agregar grupo en la página 302
Página Usuarios en la página 303
Página Privilegios en la página 303
Página Permisos en la página 304
Página Dispositivos en la página 305
Página Directivas en la página 305
Página Filtros de dirección IP en la página 305
Página Agregar zonas de grupo en la página 306
Página Reenvío de eventos en la página 306
Página Restricciones de tiempo para grupo en la página 306
Página Informes en la página 307
Página de acceso a Vistas en la página 307
Página de acceso Listas de vigilancia en la página 307
Página Agregar grupo
Permite configurar grupos con privilegios específicos para poder asignarles usuarios y asegurarse de
que tienen acceso a las funciones necesarias.
Tabla 3-171 Definiciones de opciones
Opción
Definición
Nombre y descripción
Escriba el nombre para este grupo y una descripción.
Usuarios
Seleccione los usuarios que formarán parte de este grupo.
Privilegios
Seleccione los privilegios asociados con este grupo. Cuando resalte un privilegio,
podrá ver una descripción en el cuadro Descripción.
Dispositivos
Permite seleccionar los dispositivos a los que podrán acceder los usuarios. Si
selecciona todos los dispositivos, los usuarios también tendrán acceso a los
dispositivos nuevos que se agreguen al sistema.
Directivas
Seleccione las directivas que los usuarios pueden usar y modificar.
Filtros de dirección IP
Si desea restringir el acceso por parte de los usuarios a datos de informes o
alarmas únicamente en el caso de una dirección IP concreta, haga clic en Agregar y
escriba la dirección.
Zonas
Seleccione las zonas a las que los usuarios pueden acceder y modificar.
Reenvío de eventos
Seleccione los destinos de reenvío de eventos a los que los usuarios pueden
acceder y modificar. Esto define los dispositivos desde los que un usuario puede
reenviar datos, en caso de que el grupo también disponga del privilegio de
reenvío de eventos, así como los filtros que especifican los tipos de eventos que
se reenvían. Cuando se agrega un destino de reenvío de eventos a un usuario
concreto, se agrega a todos los grupos de los que forma parte el usuario, siempre
que los grupos tengan el privilegio de reenvío de eventos.
Si un destino de reenvío de eventos no pertenece a un grupo de acceso, cuenta
con acceso a todos los dispositivos.
302
Restricciones de
tiempo para grupo
Permite agregar restricciones de día y hora a fin de limitar el acceso por parte del
grupo al ESM.
Informes
Permite seleccionar los informes que pueden ver y modificar los usuarios de este
grupo. El grupo debe tener el privilegio Informes.
Vistas
Permite seleccionar las vistas que pueden ver y modificar los usuarios de este
grupo. También puede compartir la visibilidad con otros usuarios y grupos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Uso de usuarios y grupos
3
Tabla 3-171 Definiciones de opciones (continuación)
Opción
Definición
Listas de vigilancia
Permite seleccionar las listas de vigilancia que pueden ver y modificar los usuarios
de este grupo. También puede compartir la visibilidad con otros usuarios y
grupos.
Filtros
Seleccione los conjuntos de filtros que los usuarios de este grupo podrán ver,
modificar o ambas cosas.
Véase también
Configuración de grupos de usuarios en la página 301
Página Usuarios
Seleccione los usuarios que formarán parte de este grupo.
Tabla 3-172 Definiciones de opciones
Opción
Definición
Tabla
Muestra todos los usuarios que se han agregado al sistema. Seleccione los usuarios
que desee agregar al grupo.
Seleccionar todo
Selecciona todos los usuarios. Después, podrá anular la selección de los usuarios
que no formarán parte del grupo.
No seleccionar nada Anula la selección de todos los usuarios. Después, podrá seleccionar los usuarios
que formarán parte del grupo.
Véase también
Configuración de grupos de usuarios en la página 301
Página Privilegios
Permite agregar o eliminar los privilegios asociados a este grupo.
Tabla 3-173 Definiciones de opciones
Opción
Definición
Limitar el acceso de este grupo Limita los privilegios del grupo (véase Uso de usuarios y grupos).
Lista Privilegios
Incluye todos los privilegios disponibles en el ESM. Selecciónelos o anule su
selección de forma individual, o bien haga clic en Seleccionar todo o No
seleccionar nada.
Descripción
Muestra una descripción sobre el privilegio seleccionado.
Véase también
Configuración de grupos de usuarios en la página 301
McAfee Enterprise Security Manager 9.6.0
Guía del producto
303
3
Configuración del ESM
Uso de usuarios y grupos
Página Permisos
Seleccione los usuarios y los grupos que deben tener permiso para leer y modificar las vistas, las listas
de vigilancia o los informes resaltados. Los permisos de los elementos personalizados de solo lectura
solo los puede cambiar el creador de los elementos.
Tabla 3-174 Definiciones de opciones
Opción
(Solo vistas)
Heredar permisos de
la carpeta principal
Definición
Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o
desactivar esta opción.
Esta opción está seleccionada de forma predeterminada. Si no desea que se
hereden los permisos del elemento principal, anule la selección de esta opción. Se
activarán las fichas Grupos y Usuarios.
(Solo informes y
Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o
listas de
desactivar esta opción.
vigilancia)
Heredar
Esta opción está seleccionada de forma predeterminada. Los usuarios heredan los
configuración de
privilegios de Modificar. Anule la selección de esta opción si desea cambiar la
modificación
configuración predeterminada.
Ficha Grupos
Incluye todos los grupos a los que tiene acceso en función de su pertenencia a
ellos (véase Configuración de grupos de usuarios). Indique los grupos que deben
tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura, Modificar o
ninguna de las dos opciones. Si no selecciona ninguna, el grupo dispondrá de
derechos de denegación. Si selecciona Modificar, se selecciona automáticamente Solo
lectura.
Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios de
tipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán este
privilegio.
Ficha Usuarios
Incluye todos los usuarios a los que tiene acceso en función de su pertenencia a
grupos (véase Configuración de grupos de usuarios). Indique los usuarios que
deben tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura,
Modificar o ninguna de las dos opciones. Si no selecciona ninguna, el usuario
dispondrá de derechos de denegación. Si selecciona Modificar, se selecciona
automáticamente Solo lectura.
Los privilegios de usuario tienen prioridad sobre los privilegios de grupo. Por
ejemplo, si a un usuario solo se le asigna acceso de Lectura a un recurso pero su
grupo tiene acceso para Modificar, el usuario solo podrá Leer los elementos
seleccionados.
Es posible agregar usuarios a la lista o eliminarlos de ella.
1 Haga clic en Agregar, haga clic en los usuarios y, después, haga clic en Aceptar.
2 Por cada usuario, seleccione Leer o Modificar y, después, haga clic en Aceptar.
Si un usuario no está en la lista, el sistema utiliza los privilegios de grupo del
usuario. Si un usuario está en la lista pero no tiene marcadas las opciones Leer o
Modificar, el usuario tendrá derechos de denegación explícitos para el recurso.
Si ha seleccionado más de una vista, lista de vigilancia o informe, una casilla de verificación de triple
estado
en la columna Leer o Modificar de la ficha Grupos o Usuarios indica que existe un conflicto en esa
configuración de los elementos seleccionados. No podrá guardar y cerrar la página hasta que resuelva el
conflicto. Haga clic en la casilla de verificación para resolver la configuración de todos los elementos
seleccionados.
304
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Véase también
Configuración de grupos de usuarios en la página 301
Página Dispositivos
Permite seleccionar los dispositivos a los que podrá acceder este grupo.
Tabla 3-175 Definiciones de opciones
Opción
Definición
Lista de dispositivos Incluye todos los dispositivos del ESM. Seleccione los dispositivos a los que
debe tener acceso este grupo.
Seleccionar todo
Permite seleccionar todos los dispositivos de la lista.
Si selecciona todos los dispositivos, los miembros de este grupo tendrán acceso
automáticamente a los dispositivos nuevos agregados al ESM.
No seleccionar nada
Permite anular la selección de todos los dispositivos de la lista.
Véase también
Configuración de grupos de usuarios en la página 301
Página Directivas
Permite seleccionar las directivas a las que pueden acceder los usuarios del grupo.
Tabla 3-176 Definiciones de opciones
Opción
Definición
Lista de directivas Incluye las directivas del ESM. Seleccione las directivas a las que puede acceder
este grupo.
Seleccionar todo
Seleccionar todas las directivas.
No seleccionar nada
Anular la selección de todas las directivas.
Véase también
Configuración de grupos de usuarios en la página 301
Página Filtros de dirección IP
Permite aplicar filtros de dirección IP al grupo. Esto limita los datos que ve un usuario al ejecutar
informes o cuando se selecciona un usuario como destinatario de un informe o una alarma.
Tabla 3-177 Definiciones de opciones
Opción
Definición
Lista
Ver las direcciones IP de la lista.
Agregar
Agregar una dirección IP a la lista.
Editar
Modificar la dirección IP seleccionada.
Quitar
Eliminar la dirección seleccionada de la lista.
Véase también
Configuración de grupos de usuarios en la página 301
McAfee Enterprise Security Manager 9.6.0
Guía del producto
305
3
Configuración del ESM
Uso de usuarios y grupos
Página Agregar zonas de grupo
Seleccione las zonas a las que puede acceder este grupo.
Tabla 3-178 Definiciones de opciones
Opción
Definición
Lista de zonas
Enumera las zonas que se han agregado al ESM. Permite seleccionar las zonas a las
que puede acceder este grupo.
Seleccionar todo
Permite seleccionar todas las zonas de la lista.
No seleccionar nada Permite anular la selección de todas las zonas de la lista.
Véase también
Configuración de grupos de usuarios en la página 301
Página Reenvío de eventos
Permite seleccionar los destinos de reenvío de eventos a los que puede acceder este grupo. De esta
forma, se definen los dispositivos desde los que un usuario puede reenviar eventos y los filtros que
especifican los tipos de eventos que se pueden reenviar.
Tabla 3-179 Definiciones de opciones
Opción
Definición
Lista de destinos de reenvío Enumera los destinos que se han agregado al ESM. Seleccione los
de eventos
destinos a los que podrá acceder este grupo.
Si un destino no pertenece a un grupo de acceso, debe disponer de
acceso a todos los dispositivos.
Seleccionar todo
Permite seleccionar todos los destinos de la lista.
No seleccionar nada
Permite anular la selección de todos los destinos de la lista.
Véase también
Configuración de grupos de usuarios en la página 301
Página Restricciones de tiempo para grupo
Permite establecer restricciones para limitar los días y las horas en los que este grupo puede acceder
al ESM. Los usuarios reciben una notificación visual que informa de que la sesión va a caducar 15, 5 y
1 minuto(s) antes de que la sesión caduque.
Tabla 3-180 Definiciones de opciones
Opción
Definición
Activar restricciones
Permite activar restricciones para el grupo.
Zona horaria
Seleccione la zona horaria en la que se encuentra el grupo.
Hora de inicio / Hora de fin Seleccione la hora del día de inicio y fin para el acceso por parte del grupo. Si
debe disponer de acceso las 24 horas en los días seleccionados, seleccione
00:00 en ambos campos.
Días de la semana
Seleccione los días de la semana que los miembros del grupo pueden acceder
al ESM.
Véase también
Configuración de grupos de usuarios en la página 301
306
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de usuarios y grupos
Página Informes
Permite seleccionar los informes que pueden ver y modificar los usuarios de este grupo. También
puede seleccionar grupos o usuarios con los que compartir los informes.
Tabla 3-181 Definiciones de opciones
Opción
Definición
Columna Nombre
Incluye los informes del ESM.
Columna Leer
Seleccione los informes que este grupo podrá leer. Si selecciona Modificar, también
se selecciona Leer.
Columna Modificar Seleccione los informes que este grupo podrá modificar.
Compartir
Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de
compartir la visibilidad de los informes seleccionados.
Véase también
Configuración de grupos de usuarios en la página 301
Página de acceso a Vistas
Permite elegir las vistas que el grupo seleccionado podrá leer y modificar.
Tabla 3-182 Definiciones de opciones
Opción
Definición
Columna Nombre
Incluye todas las vistas del ESM.
Columna Leer
Seleccione las vistas que este grupo podrá leer.
Columna Modificar Seleccione las vistas que este grupo podrá modificar.
Compartir
Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de
compartir la visibilidad de los elementos seleccionados.
Véase también
Configuración de grupos de usuarios en la página 301
Página de acceso Listas de vigilancia
Permite elegir las listas de vigilancia que el grupo seleccionado podrá leer y modificar.
Tabla 3-183 Definiciones de opciones
Opción
Definición
Columna Nombre
Incluye todas las listas de vigilancia del ESM.
Columna Leer
Seleccione las listas de vigilancia que este grupo podrá leer. Si selecciona Modificar,
también se selecciona Leer.
Columna Modificar Seleccione las listas de vigilancia que este grupo podrá modificar.
Compartir
Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de
compartir la visibilidad de los elementos seleccionados.
Véase también
Configuración de grupos de usuarios en la página 301
Adición de un grupo con acceso limitado
Para restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichos
usuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas de
vigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y
McAfee Enterprise Security Manager 9.6.0
Guía del producto
307
3
Configuración del ESM
Copia de seguridad y restauración de la configuración del sistema
barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán
desactivadas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
2
Haga clic en Usuarios y grupos y escriba la contraseña del sistema.
3
Siga uno de estos procedimientos:
4
•
Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar.
•
Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la
descripción y, a continuación, seleccione los usuarios.
.
Haga clic en Privilegios y seleccione Limitar el acceso de este grupo.
Casi todos los privilegios están desactivados.
5
Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.
6
Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.
Copia de seguridad y restauración de la configuración del
sistema
Guarde las opciones de configuración actuales del sistema de forma automática o manual de manera
que se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer y
guardar la configuración actual en un ESM redundante.
Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las
correspondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega un
dispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada
siete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el
sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente se
guardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan
los datos a partir del momento de la última copia de seguridad.
Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se
reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del
ESM local.
Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM,
un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado
anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración
tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y
desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de
seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los
eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se
sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente.
308
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Copia de seguridad y restauración de la configuración del sistema
Véase también
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Copias de seguridad de la configuración y los datos de sistema
de ESM
Existen varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESM
nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es
posible tanto desactivar esta opción como realizar cambios en la configuración predeterminada.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Copia de seguridad y restauración.
2
Defina la configuración de cualquiera de estos elementos:
3
•
Copia de seguridad automática
•
Copia de seguridad manual
•
ESM redundante
•
Restauración del sistema a una copia de seguridad anterior
Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Página Copia de seguridad y restauración en la página 309
Página Copia de seguridad y restauración
Permite configurar el ESM a fin de crear una copia de seguridad de la configuración del sistema, o bien
restaurar el sistema a una configuración anterior.
Tabla 3-184 Definiciones de opciones
Opción
Definición
Frecuencia de copia de
seguridad
Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia de
seguridad y restauración está activada para crear una copia de seguridad cada siete
días. Es posible cambiar la frecuencia o desactivar las copias de seguridad.
Hacer copia de seguridad Seleccione lo que desee incluir en la copia de seguridad.
de datos para
McAfee Enterprise Security Manager 9.6.0
Guía del producto
309
3
Configuración del ESM
Copia de seguridad y restauración de la configuración del sistema
Tabla 3-184 Definiciones de opciones (continuación)
Opción
Definición
Ubicación de copia de
seguridad
Seleccione dónde desea guardar la copia de seguridad:
• ESM: se guarda en el ESM y se accede a ella mediante la página Mantenimiento de
archivos.
• Ubicación remota: se guarda en la ubicación definida en los campos que se
activan. Si va a guardar una copia del ESM y todos los datos del sistema
manualmente, deberá seleccionar esta opción.
Cuando cree una copia de seguridad en un recurso compartido CIFS, escriba
una barra (/) en el campo de ruta remota.
Hacer una copia de
seguridad ahora
Permite crear manualmente una copia de seguridad de la configuración del ESM,
así como de los eventos, flujos y registros (si se selecciona esta opción). Haga
clic en Cerrar cuando finalice la copia de seguridad correctamente.
Copia de seguridad
completa ahora
Guardar manualmente una copia de la configuración y los datos del sistema del
dispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionar
Ubicación remota en el campo Ubicación de copia de seguridad e introducir la información
sobre la ubicación.
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
Restaurar copia de
seguridad
Restaurar la configuración según una copia de seguridad anterior. Se abrirá la
página Restaurar para que pueda seleccionar la copia de seguridad.
Redundancia
Configure un ESM redundante, el cual creará copias de seguridad de todos los
datos del ESM principal (véase ESM redundante).
Véase también
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM
En caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anterior
mediante la selección de un archivo de copia de seguridad.
Procedimiento
Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar
están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos
fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de
partición inactiva (véase Configuración de límites de retención de datos).
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad.
2
Seleccione el tipo de restauración que desee realizar.
3
Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y,
después, haga clic en Aceptar.
La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del
archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo.
310
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Copia de seguridad y restauración de la configuración del sistema
3
Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se
abre la página Inicio de sesión.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Página Restaurar en la página 311
Página Restaurar
Permite restaurar el sistema a la configuración de una copia de seguridad anterior. Esto resulta útil en
caso de fallo del sistema o fuga de datos.
Tabla 3-185 Definiciones de opciones
Opción
Definición
Tipo de
restauración
Seleccione el tipo de restauración que necesite llevar a cabo:
• Archivos de copia de seguridad de ESM locales: restaurar un archivo de copia de
seguridad en el ESM. Seleccione uno en la lista y haga clic en Aceptar.
• Archivos de copia de seguridad remotos: restaurar una copia de la configuración del ESM
y una copia de seguridad incremental de los datos desde una ubicación remota.
• Carpetas de copia de seguridad completa remotas: restaurar una copia de la configuración
del ESM y una copia de seguridad completa de los datos desde una ubicación
remota.
• Buscar archivo que cargar: localizar un archivo de copia de seguridad guardado en el
sistema.
Ver los detalles del archivo de copia de seguridad seleccionado en la lista de
archivos de copia de seguridad de ESM locales. Es posible descargar este archivo.
Detalles
Véase también
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de
seguridad
Es posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de
seguridad creadas en el ESM para cada dispositivo.
Antes de empezar
Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de
seguridad de la configuración y los datos de sistema de ESM).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de
Propiedades
2
.
Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,
finalmente, haga clic en Sí en la página de confirmación.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
311
3
Configuración del ESM
Copia de seguridad y restauración de la configuración del sistema
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Uso de los archivos de copia de seguridad en ESM
Los archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar.
También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
2
En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad.
3
Seleccione la acción que desee realizar.
4
Haga clic en Aceptar.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Administración del mantenimiento de archivos en la página 312
Administración del mantenimiento de archivos
El ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas y
registros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
2
En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de
software, Archivos de registro de alarmas o Archivos de registros de informes.
3
Seleccione los archivos y haga clic en una de las opciones disponibles.
4
Haga clic en Aplicar o en Aceptar.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Página Mantenimiento de archivos en la página 313
312
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
ESM redundante
Página Mantenimiento de archivos
Permite administrar los archivos de copias de seguridad, actualizaciones de software, registros de
alarmas y registros de informes.
Tabla 3-186 Definiciones de opciones
Opción
Definición
Seleccionar tipo de archivo
Seleccionar el tipo de archivo que se desea administrar.
Descargar
Guardar el archivo seleccionado en una ubicación ajena al ESM.
Cargar
Permite agregar un archivo al ESM.
Quitar
Eliminar el archivo seleccionado para que ya no se encuentre en el
ESM.
Actualizar
Actualizar la lista de archivos a fin de reflejar los cambios recientes.
Detalles (solo para archivos de
copia de seguridad)
Ver los detalles de la copia de seguridad seleccionada.
Configuración (solo para archivos
de copia de seguridad)
Acceder a la página Copia de seguridad y restauración (véase Copias de
seguridad de la configuración y los datos de sistema de ESM).
Véase también
Administración del mantenimiento de archivos en la página 312
ESM redundante
La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes
que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función
solo está disponible para los usuarios con privilegios de administrador del sistema.
Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se
sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM
redundante, es necesario definir la configuración del dispositivo redundante, que recibe la
configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo
principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El
ESM redundante se debe configurar antes de conectarlo al ESM principal.
La función de ESM redundante no está disponible en los dispositivos combinados ESMREC.
Véase también
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Configuración de un ESM redundante
Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno de
los ESM de forma que se comuniquen entre ellos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
313
3
Configuración del ESM
ESM redundante
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Active SSH en el ESM principal y todos los redundantes.
a
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
de red.
b
Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar.
Configure los ESM redundantes.
a
Inicie sesión, acceda a Propiedades del sistema en el árbol de navegación y haga clic en Información del
sistema | Copia de seguridad y restauración | Redundancia.
b
En el campo Tipo de ESM, seleccione Redundante, escriba la dirección IP y el puerto SSH del ESM
principal y haga clic en Aceptar.
c
Cuando se le advierta de que es necesario reiniciar el servicio, lo cual hace que todos los
usuarios pierdan la conexión con el ESM, haga clic en Sí.
La consola del ESM redundante se cerrará.
3
Inicie sesión en el ESM principal.
4
En el árbol de navegación del sistema, acceda a Propiedades del sistema y haga clic en Información del
sistema | Copia de seguridad y restauración | Redundancia.
5
En el campo de tipo de ESM, seleccione Principal, seleccione el puerto SSH para el ESM principal,
agregue una dirección de correo electrónico y seleccione o agregue el ESM redundante a la tabla.
Puede agregar un máximo de cinco ESM redundantes.
6
Haga clic en Aceptar.
Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan
la conexión con el ESM.
7
8
Haga clic en Sí para continuar con la sincronización.
•
Si ha especificado una dirección de correo electrónico para las notificaciones, se enviará un
mensaje de correo electrónico cuando el ESM esté listo para la finalización.
•
Si no ha proporcionado un correo electrónico, vuelva a iniciar sesión y compruebe el estado.
Finalice la configuración.
a
Acceda a la página Configuración de redundancia de nuevo (Paso 2a).
b
Haga clic en Finalizar.
Los ESM principal y secundarios se desactivarán para la sincronización final. El sistema volverá a
activarse cuando el proceso termine.
Véase también
ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Página Configuración de redundancia en la página 315
314
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
ESM redundante
Página Configuración de redundancia
Permite configurar un ESM principal y otro secundario para guardar la configuración del sistema.
Tabla 3-187 Definiciones de opciones
Opción
Definición
Tipo de ESM
Seleccione si este ESM es el principal o el ESM redundante. Si es el principal,
rellene el resto de los campos. Si es el redundante, introduzca el puerto SSH y la
dirección IP del ESM principal.
Puerto SSH
Seleccione el puerto SSH a través del cual se comunican los dispositivos.
Correo electrónico para Escriba la dirección de correo electrónico de la persona que deba recibir la
notificaciones
notificación cuando el ESM esté listo para la sincronización final.
Dirección IP del ESM
principal
(Cuando se selecciona Redundante) Escriba la dirección IP del ESM principal con el
que se va a sincronizar el ESM redundante.
Tabla
(Cuando se ha seleccionado Principal) Permite administrar la lista de ESM
redundantes. Se pueden agregar hasta cinco ESM para la sincronización con el
ESM principal. Si ha recibido la notificación para finalizar una sincronización,
haga clic en el ESM y, después, en Finalizar.
Mientras la sincronización final está en curso, los usuarios pierden la conexión
con el ESM.
Exportar archivos
incrementales
Utilice esta función solamente si el ESM primario y el redundante no pueden
comunicarse entre sí.
(Cuando se ha seleccionado Principal) Exporte los archivos del ESM principal a una
ubicación remota. Después, podrá transferirlos manualmente al ESM redundante.
Si el perfil de la ubicación remota ya se ha definido, podrá seleccionarlo en la
lista desplegable. De lo contrario, haga clic en Exportar archivos incrementales y
agregue el perfil al ESM.
Véase también
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante
Si un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo.
Antes de empezar
Agregue el nuevo ESM redundante al sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2
Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva dirección
IP redundante en el campo Dirección IP de ESM redundante.
3
Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
315
3
Configuración del ESM
Administración de ESM
4
Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos
dispositivos.
5
Seleccione Sincronizar todo el ESM y haga clic en Aceptar.
Véase también
ESM redundante en la página 313
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Desactivación de las consultas compartidas
La función de consultas compartidas reduce la carga sobre el ESM principal en un sistema redundante.
La reducción se logra mediante la ejecución de consultas en los ESM redundantes cuando el intervalo
de fechas especificado de la consulta indica que los datos de la consulta están presentes en un ESM
redundante.
Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Cuando
la función Consultas compartidas está activada, se envían consultas al ESM redundante si los datos
solicitados abarcan más de 30 días o la hora de inicio de la consulta supera las 12 horas desde la hora
actual del ESM. Los resultados de estas consultas siempre se devuelven al ESM principal.
La opción Consultas compartidas está activada de forma predeterminada. Si el ESM redundante es de un
modelo anterior, es posible que se tarde más en procesar las consultas. Si necesita que las consultas
se procesen con mayor rapidez, puede desactivar esta función.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades
.
2
Haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia.
3
En la página Configuración de redundancia, anule la selección de Consultas compartidas y, después, haga clic
en Aceptar.
Se produce un reinicio de CPService.
Administración de ESM
Existen varias operaciones que se pueden realizar para administrar el software, los registros, los
certificados, los archivos de funciones y las claves de comunicación de ESM.
316
Ficha
Opción
Definición
Configuración
Administrar
registros
Configurar los tipos de eventos que se almacenan en el registro de
eventos.
Jerarquía de ESM
Configurar las opciones de datos cuando se emplean dispositivos
ESM jerárquicos.
Camuflaje
Definir la configuración global para enmascarar ciertos datos en
cualquier registro de alerta enviado mediante el reenvío de eventos
o enviado a un ESM principal.
Registro
Enviar eventos internos al ELM para su almacenamiento. Estos datos
se pueden usar con fines de auditoría.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de ESM
Ficha
Administración
de claves
Mantenimiento
Opción
Definición
Configuración
regional del sistema
Seleccionar el idioma del sistema que se usará para registrar
eventos, como en el caso del registro de dispositivos y el monitor de
estado.
Asignación de
nombre
Permite anular la selección de los puertos y los protocolos de forma
que muestren números sin procesar en lugar de nombres. Por
ejemplo, si se anula la selección de Puerto de origen o Puerto de destino,
http:80 se mostrará como 80. Si se selecciona Protocolos, el número
sin procesar 17 aparecerá como udp.
Certificado
Instalar un nuevo certificado de Secure Socket Layer (SSL).
Regenerar SSH
Volver a generar el par de claves privada/pública de SSH utilizado
para comunicarse con todos los dispositivos.
Exportar todas las
claves
Exportar las claves de comunicación de todos los dispositivos del
sistema en lugar de tener que exportarlas una a una.
Restaurar todas las
claves
Restaurar las claves de comunicación de todos los dispositivos o los
dispositivos seleccionados que se exportaron mediante la función
Exportar todas las claves.
Actualizar ESM
Actualizar el software del ESM mediante el servidor de reglas y las
reglas de McAfee o a través de un ingeniero de seguridad de
McAfee.
Datos de ESM
Permite descargar un archivo .tgz que contiene información sobre el
estado del ESM. Este estado puede ayudar al Soporte de McAfee a
solucionar problemas y corregir errores.
Administrador de
tareas
Ver las consultas en ejecución en el ESM y detenerlas, si procede.
Apagar
Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida
de comunicación de todos los usuarios con el ESM.
Reiniciar
Detener y reiniciar el ESM. Se le advertirá de que esta acción
provoca la pérdida de comunicación de todos los usuarios con el
ESM.
Terminal
Esta función está destinada únicamente a usuarios avanzados.
Introducir comandos de Linux en el ESM. El terminal es solo un
emulador parcial del modo por lotes, por lo que no están disponibles
todos los comandos.
• El terminal no mantiene un directorio de trabajo actual.
• No se puede utilizar cd para ir a otro directorio.
• Se deben emplear los nombres de rutas completos.
• Los operadores > y >> no funcionan; todos los resultados se
muestran en pantalla.
Obtener funciones
Si ha adquirido funciones adicionales, actívelas en el ESM mediante
la descarga de un archivo cifrado que contiene información sobre las
funciones que admite el ESM.
Establecer funciones Instalar el archivo descargado mediante Obtener funciones.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
317
3
Configuración del ESM
Administración de ESM
Ficha
Opción
Definición
Conectar
Sirve para otorgar al Soporte de McAfee acceso a su sistema cuando
solicita ayuda.
Esta opción no es conforme a FIPS, así que no está disponible
cuando se emplea el modo FIPS.
Ver estadísticas
Permite acceder a la información siguiente sobre cualquier
dispositivo ESM:
• Estadísticas de utilización de memoria y espacio de intercambio
• Uso de la CPU
• Actividad de conmutación del sistema
• Estadísticas de velocidad de transferencia y entrada/salida
• Promedios de longitud de cola y carga
Véase también
Página Administración de ESM en la página 318
Página Administración de ESM
Permite administrar el software, los registros, las estadísticas de dispositivos, los certificados, los
archivos de funciones y las claves de comunicación del ESM.
Ficha
Opción
Descripción
Ficha
Configuración
Administrar
registros
Configurar los tipos de eventos que se almacenan en el registro de
eventos.
Jerarquía de ESM
Configurar las opciones de datos cuando se emplean dispositivos
ESM jerárquicos.
Camuflaje
Enmascarar los campos seleccionados en cualquier registro de alerta
enviado mediante el reenvío de eventos o enviado a un ESM
principal.
Registro
Enviar eventos internos al ELM para su almacenamiento. Estos datos
se pueden usar con fines de auditoría.
Configuración
regional del sistema
Seleccione el idioma que se usará para los registros de eventos,
como el monitor de estado y el registro de dispositivos.
Asignación de
nombre
Permite anular la selección de los puertos y los protocolos de forma
que muestren números sin procesar en lugar de nombres. Por
ejemplo, si se anula la selección de Puerto de origen o Puerto de destino,
http:80 se mostrará como 80. Si se selecciona Protocolos, el
número sin procesar 17 aparecerá como udp.
Certificado
Instalar un nuevo certificado SSL.
Regenerar SSH
Volver a generar el par de claves privada/pública de SSH utilizado
para comunicarse con todos los dispositivos. Cuando se regenere la
clave, se sustituirá el par de claves anterior en todos los dispositivos
administrados por el ESM.
Exportar todas las
claves
Exportar las claves de comunicación de todos los dispositivos del
sistema en lugar de tener que exportarlas una a una.
Restaurar todas las
claves
Restaurar las claves de comunicación de todos los dispositivos o los
dispositivos seleccionados que se exportaron mediante la función
Exportar todas las claves.
Ficha
Administración
de claves
318
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de ESM
Ficha
Opción
Descripción
Mantenimiento
Actualizar ESM
Actualizar el software del ESM mediante el servidor de reglas y las
reglas de McAfee o a través de un ingeniero de seguridad de
McAfee.
Datos de ESM
Permite descargar un archivo .tgz que contiene información sobre el
estado del ESM. Este estado puede ayudar al Soporte de McAfee a
solucionar problemas y corregir errores.
Administrador de
tareas
Permite ver y administrar las consultas que se están ejecutando en
el ESM.
Apagar
Apagar el ESM. Se le advertirá de que esta acción provoca la
pérdida de comunicación de todos los usuarios con el ESM.
Reiniciar
Iniciar el ESM. Se le advertirá de que esta acción provoca la pérdida
de comunicación de todos los usuarios con el ESM.
Terminal
Introducir comandos de Linux en el ESM. El terminal es solo un
emulador parcial del modo por lotes, así que no estarán disponibles
todos los comandos (véase Comandos de Linux disponibles). El
terminal no identifica un directorio de trabajo actual. No se puede
utilizar cd para cambiar de directorio. Es necesario utilizar los
nombres de ruta completos. Los operadores > y >> no funcionan. El
sistema muestra todos los resultados en la pantalla.
Esta función está destinada únicamente a usuarios avanzados.
Obtener funciones
Para activar las funciones nuevas de ESM adquiridas, descargue en
primer lugar un archivo cifrado que contiene información sobre las
funciones de ESM admitidas en su caso actualmente.
Establecer funciones Instalar el archivo descargado mediante Obtener funciones.
Conectar o
Desconectar
Otorgar al personal de soporte técnico acceso a su sistema cuando
se llama a McAfee para solicitar ayuda.
Esta opción no es conforme a FIPS, así que no está disponible
cuando se emplea el modo FIPS.
Ver estadísticas
Permite acceder a la información siguiente sobre cualquier
dispositivo ESM:
• Estadísticas de utilización de memoria y espacio de intercambio
• Uso de la CPU
• Actividad de conmutación del sistema
• Estadísticas de velocidad de transferencia y entrada/salida
• Promedios de longitud de cola y carga
Véase también
Administración de ESM en la página 316
Administración de registros
Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea
guardar en el registro de eventos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
319
3
Configuración del ESM
Administración de ESM
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.
3
Haga clic en Aceptar.
Véase también
Página Administración de registro eventos en la página 320
Página Administración de registro eventos
Permite seleccionar los tipos de registros de eventos que debe generar el dispositivo.
Tabla 3-188 Definiciones de opciones
Opción
Definición
Especifique qué tipos de registros de eventos se
deben generar en este dispositivo
Seleccione tipos o anule su selección para especificar qué
tipos de registros de eventos desea que recopile este ESM. Al
hacer clic en un tipo, aparece una descripción.
Véase también
Administración de registros en la página 319
Tipos de eventos
Estos son los tipos de registros de eventos generados en el ESM.
Tipo de evento Eventos registrados
Autenticación
Inicio de sesión, cierre de sesión y cambios de cuentas de usuario.
Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre
debe establecerse con el valor Ninguno.
Copia de seguridad
Proceso de copia de seguridad de la base de datos.
Lista negra
Envío de entradas de lista negra al dispositivo.
Dispositivo
Cualquier cambio de dispositivo o de comunicación, como obtención de eventos,
flujos y registros.
Reenvío de eventos
Cambios o errores de reenvío de eventos.
Monitor de estado
Eventos de estado de dispositivo.
Notificaciones
Cambios o errores de notificación.
Directiva
Administración y aplicación de directivas.
Servidor de reglas
Descarga y validación de reglas descargadas del servidor de reglas.
En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas.
320
Sistema
Cambios de configuración del sistema y registro de reinicio de tablas.
Vistas
Cambios en vistas y consultas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de ESM
Enmascaramiento de direcciones IP
Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el
reenvío de eventos a un ESM principal.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Administración de ESM | Jerarquía de ESM.
2
Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos.
Se abrirá la página Selección de campos de ocultación.
3
Seleccione los campos que desee enmascarar.
4
Haga clic en Aceptar.
Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario,
los datos seleccionados se ocultarán.
Véase
Página
Página
Página
Página
también
ESM jerárquicos en la página 321
Selección de campos de ocultación en la página 322
Configuración de ocultación en la página 322
Red local en la página 322
Página ESM jerárquicos
Apruebe el ESM principal para permitirle extraer eventos del DESM. Sin esta aprobación, el principal
solo puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados en el
DESM.
Tabla 3-189 Definiciones de opciones
Opción
Definición
Tabla ESM jerárquicos Permite ver la lista de los ESM principales que acceden a un ESM secundario.
Aprobado
Seleccione esta opción para aprobar la comunicación SSH entre el ESM
principal y el DESM.
Camuflar
Seleccione esta opción para ocultar los datos elegidos. Se abrirá el cuadro de
diálogo Selección de campos de ocultación.
Haga clic aquí para editar la configuración de ocultación.
Haga clic aquí para eliminar el ESM principal de la tabla. Si lo hace, ya no
podrá recuperar datos del DESM. Un administrador del sistema puede cortar
la comunicación entre un ESM principal y un DESM en cualquier momento.
Véase también
Enmascaramiento de direcciones IP en la página 321
McAfee Enterprise Security Manager 9.6.0
Guía del producto
321
3
Configuración del ESM
Administración de ESM
Página Selección de campos de ocultación
Seleccione los datos de eventos de DESM que el ESM principal no debería ver.
Tabla 3-190 Definiciones de opciones
Opción
Definición
Lista Disponible para ocultación
Muestra los campos que se pueden ocultar. Esta lista incluye campos
que podrían contener datos confidenciales, así como todos los tipos
personalizados. Para localizar un campo en la lista, escriba el nombre
en el campo de búsqueda.
Lista Campos seleccionados
Muestra los campos ocultos actualmente.
Flechas
Permiten mover los campos seleccionados de una lista a otra.
Vínculo Configurar las opciones de Haga clic en esta opción para agregar o cambiar la configuración de
ocultamiento globales
ocultación para el sistema.
Véase también
Enmascaramiento de direcciones IP en la página 321
Página Configuración de ocultación
Permite enmascarar las direcciones IP que no pertenecen a la red local.
Tabla 3-191 Definiciones de opciones
Opción
Definición
Valor de origen
Si desea asegurarse de que el camuflaje se lleve a cabo de la misma forma
siempre, introduzca un origen en el campo Valor de origen o haga clic en Generar
para generar un origen aleatorio. Esto resulta útil cuando se ocultan las
direcciones IP de varios ESM y se desea mantener los valores sincronizados.
Incluir red local
Seleccione esta opción para ocultar las direcciones IP de dentro y fuera de la
red local. Esto abarca los tipos personalizados de IP, tales como las
direcciones IPv4 e IPv6.
Modificar configuración de
red local
Haga clic en esta opción para editar las direcciones IP de la red local.
Véase también
Enmascaramiento de direcciones IP en la página 321
Página Red local
Permite establecer los detalles de la red local.
Tabla 3-192 Definiciones de opciones
Opción
Definición
Campo Red local Introduzca una lista de las direcciones IP o subredes incluidas en la red local,
separadas por comas. Este campo admite un máximo de 2000 caracteres. Si su red
local es más larga, puede consolidar varias subredes en una red local más corta
gracias a la notación CIDR.
Véase también
Enmascaramiento de direcciones IP en la página 321
Descubrimiento de red en la página 485
322
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de ESM
Configuración del registro de ESM
Si tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventos
internos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registro
predeterminado.
Antes de empezar
Agregue un dispositivo ELM al sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
En la ficha Configuración, haga clic en Registro.
3
Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar.
Véase también
Páginas de Registro en la página 323
Páginas de Registro
Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar los
datos de eventos internos de ESM.
Tabla 3-193 Definiciones de opciones
Opción
Definición
Página Configuración de registro
Seleccione Registro.
Página Asociación dispositivo ELM
Si no ha asociado un ELM con este ESM, se le preguntará si desea
hacerlo. Haga clic en Sí.
Página Seleccionar ELM para
registro
Si dispone de más de un dispositivo ELM en el sistema, seleccione el
ELM donde desee almacenar los datos. Este ESM siempre registrará los
datos en el ELM seleccionado.
Página Seleccionar dirección IP de Seleccione la dirección IP mediante la cual desee que se comunique el
ELM
ESM con el ELM. Se le notificará cuando el ELM seleccionado esté
correctamente asociado con el dispositivo.
Página No hay grupos de ELM
Si no se han configurado grupos de almacenamiento en el ELM, se le
informará de que es necesario agregar grupos de almacenamiento al
ELM antes de activar el registro.
Página Opciones de registro de
ELM
Seleccione el grupo de almacenamiento donde se deben registrar los
datos.
Véase también
Configuración del registro de ESM en la página 323
Exportación y restauración de claves de comunicación
Es posible exportar las claves de comunicación de todos los dispositivos del sistema a un único
archivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si es
necesario.
•
En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; a
continuación, haga clic en la ficha Administración de claves.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
323
3
Configuración del ESM
Administración de ESM
Para...
Haga esto...
Exportar todas las
claves de comunicación
1 Haga clic en Exportar todas las claves.
2 Establezca la contraseña del archivo de claves y haga clic en Aceptar.
3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar.
Restaurar todas las
claves de comunicación
1 Haga clic en Restaurar todas las claves.
2 Localice el archivo creado al exportar las claves y haga clic en Abrir.
3 Haga clic en Cargar e introduzca la contraseña establecida.
4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar.
Regeneración de una clave SSH
Es posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con
todos los dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
En la ficha Administración de claves, haga clic en Regenerar SSH.
Se le advertirá de que la nueva clave sustituirá a la anterior.
3
Haga clic en Sí.
Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos
administrados por el ESM.
Administrador de tareas de consultas
Si cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, que
muestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultas
concretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen más
probabilidades de afectar al rendimiento.
La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrar
consultas. Utilice esta función con la ayuda del Soporte de McAfee.
Entre las características del administrador de tareas se encuentran:
324
•
Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación,
alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema.
•
Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta.
•
De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona
una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los
detalles. Si la consulta se completa, deja de aparecer en la lista.
•
Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar lista
automáticamente.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Administración de ESM
•
Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la
selección de Ocultar tareas del sistema.
•
Las columnas de la tabla se pueden ordenar.
•
Es posible seleccionar y copiar los datos del área Detalles de consulta.
•
Si una consulta se puede cerrar, aparece un icono de eliminación
clic en él, se solicita confirmación mediante un cuadro de diálogo.
en la última columna. Al hacer
Administración de consultas en ejecución en ESM
El Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible
ver su estado y eliminarlas si afectan al rendimiento del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
2
Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de
tareas.
3
Revise la lista de consultas en ejecución y realice las acciones necesarias.
.
Véase también
Página Administrador de tareas en la página 325
Página Administrador de tareas
Permite ver y administrar las consultas que se están ejecutando en el ESM.
Tabla 3-194 Definiciones de opciones
Opción
Definición
Tabla
Ver una lista de las consultas que se están ejecutando en el ESM. Las
columnas de la tabla se pueden ordenar.
Detalles de consulta
Ver los detalles sobre la tarea seleccionada en la tabla. Es posible
seleccionar y copiar este texto.
Ocultar tareas del sistema
Anule la selección de esta opción para ver las tareas del sistema, que son
las tareas que aún no se han identificado.
Actualizar lista
automáticamente
Anule la selección de esta opción si no desea que la lista se actualice
automáticamente cada cinco segundos. Si selecciona una consulta y la lista
se actualiza automáticamente, permanece seleccionada y se actualizan los
detalles. Si la consulta se completa, deja de aparecer en la lista.
Haga clic para eliminar la tarea.
Tenga cuidado a la hora de eliminar tareas.
Véase también
Administración de consultas en ejecución en ESM en la página 325
Actualización de un ESM principal o redundante
Si va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitar
perder los datos de eventos, flujos y registros.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
325
3
Configuración del ESM
Administración de ESM
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Desactive la recopilación de alertas, flujos y registros.
a
En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos y
registros.
b
Anule la selección de Intervalo de comprobación automática.
2
Actualice el ESM principal.
3
Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que
procesar.
4
Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobación
automática una vez más.
Si la actualización falla, véase Ampliación a ESM 9.3.
Acceso a un dispositivo remoto
Si un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutar
comandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debe
emplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia.
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
En la ficha Mantenimiento, haga clic en Terminal.
3
Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.
4
Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido
en un archivo.
La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal
en curso.
5
Haga clic en Cerrar.
Véase también
Página Terminal en la página 327
Página Terminal de dispositivo en la página 327
326
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Administración de ESM
3
Página Terminal
Permite ejecutar comandos de Linux para acceder a un dispositivo remoto. Esta función es para
usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee.
Tabla 3-195 Definiciones de opciones
Opción
Definición
Introducir comando Introduzca comandos de Linux y pulse Intro.
Esto es solo un emulador del modo por lotes, así que no estarán disponibles todos los
comandos (véase Comandos de Linux disponibles).
Borrar
Permite borrar el contenido del cuadro de texto Terminal.
Exportar
Permite guardar el contenido del cuadro de texto.
Véase también
Acceso a un dispositivo remoto en la página 326
Página Terminal de dispositivo
Si es un usuario avanzado y está colaborando con el Soporte de McAfee, use esta opción para
introducir comandos de Linux en el dispositivo seleccionado.
Tabla 3-196 Definiciones de opciones
Opción
Definición
Introducir comando
Escriba el comando. Al pulsar la tecla Retorno, el comando se agregará a la
página Terminal. Véase Comandos de Linux disponibles para ver una lista de los
comandos que puede utilizar.
Borrar
Haga clic para eliminar el contenido de la página.
Exportar
Permite guardar el contenido de la página en un archivo. La exportación no
incluirá los resultados borrados de la página de terminal durante la sesión de
terminal en curso.
Transferencia de archivos Transfiere archivos entre el ESM y este dispositivo.
Véase también
Acceso a un dispositivo remoto en la página 326
Utilización de comandos de Linux
Es posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función está
destinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee en
caso de emergencia.
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2
Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después,
haga clic en Aceptar.
3
Escriba los comandos Linux (véase Comandos de Linux disponibles).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
327
3
Configuración del ESM
Administración de ESM
4
Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario.
5
(Opcional) Haga clic en Exportar para guardar el contenido en un archivo.
La exportación no incluye los resultados borrados de la página de terminal durante la sesión en
curso.
Comandos de Linux disponibles
Estos son los comandos disponibles en la página Terminal.
comandos de la página Terminal
•
getstatsdata
•
echo
•
ps
•
date
•
grep
•
ethtool
•
ifconfig
•
df
•
kill
•
tar
•
sensors
•
netstat
•
service
•
sar
•
cat
•
tail
•
rm
•
locate
•
iptables
•
tcpdump -c -w
•
updatedb
•
ip6tables
•
cp
Estos son los comandos disponibles que se modifican antes de la ejecución.
Este comando...
Cambia a...
II
ll--classify
ping
ping -c 1
ls
ls--classify
top
top -b -n 1
ping6
ping6 -c 1
Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos
para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos,
consulte http://www.linuxmanpages.com.
328
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Uso de una lista negra global
Uso de una lista negra global
Una lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS o
virtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice.
Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivos
Nitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicable
a todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de lista
negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de Nitro
IPS.
Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está
desactivada en todos los dispositivos hasta que se activa.
La página Editor de la lista negra global incluye tres fichas:
•
Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
•
Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
•
Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las
exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las
estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
A la hora de agregar entradas:
•
La opción Agregar se activa cuando se cambia la dirección IP o el puerto.
•
Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en
la lista negra en todos los puertos o en un puerto específico.
•
Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
•
Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que
ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en
el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se
rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo
Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP
y se rellenará el campo Descripción con los resultados de la búsqueda.
Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No
confíe en esta herramienta para garantizar el bloqueo de algunos sitios web.
Véase también
Establecimiento de una lista negra global en la página 329
Establecimiento de una lista negra global
Se puede establecer una lista negra global común para todos los dispositivos seleccionados, de forma
que no sea necesario introducir la misma información en varios dispositivos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
329
3
Configuración del ESM
Uso de una lista negra global
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.
2
Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la
lista negra.
3
Seleccione los dispositivos que deben usar la lista negra global.
4
Haga clic en Aplicar o en Aceptar.
Procedimientos
•
Página Administrar listas negras globales en la página 331
Seleccione los dispositivos Nitro IPS que utilizan la lista negra global.
Véase también
Uso de una lista negra global en la página 329
Página Lista negra global en la página 330
Página Administrar listas negras globales en la página 331
Página Lista negra global
Permite configurar una lista negra global para bloquear el acceso de tráfico específico a todos los
dispositivos virtuales y Nitro IPS.
Tabla 3-197 Definiciones de opciones
330
Opción
Definición
Ficha Orígenes
bloqueados
Permite administrar las direcciones IP de origen que se desea bloquear.
Ficha Destinos
bloqueados
Permite administrar las direcciones IP de destino que se desea bloquear.
Ficha Exclusiones
Permite administrar la lista de direcciones IP que nunca se deben incluir en la
lista negra de forma automática, como los servidores DNS o de otro tipo, o bien
la estación de trabajo del administrador del sistema.
Dirección IP
A la hora de agregar un elemento a una lista, escriba la dirección IP.
Búsqueda
Permite buscar la descripción correspondiente a la dirección IP introducida.
Agregar
Tras escribir la dirección IP, haga clic aquí para agregarla a la lista.
Puerto
Escriba un número de puerto si desea restringir el efecto de la lista negra a un
puerto de destino específico. La configuración predeterminada es cero (0), lo cual
permite cualquier puerto.
Modificar
Puede cambiar la descripción de un elemento de lista negra existente y, después,
hacer clic en esta opción.
Descripción
(Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda
para localizar una descripción. A fin de cambiar la descripción de una dirección
existente, realice los cambios y haga clic en Modificar.
Administrar
Haga clic aquí para abrir una lista de dispositivos virtuales y Nitro IPS del ESM y,
a continuación, seleccione los dispositivos que deberían utilizar la lista negra
global.
Icono Escribir
Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si
sale de la página de lista negra antes de escribir los cambios, no se guardarán.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Configuración del ESM
Enriquecimiento de datos
3
Tabla 3-197 Definiciones de opciones (continuación)
Opción
Definición
Icono Leer
Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y
las exclusiones.
Icono Quitar
Permite quitar el elemento seleccionado de la lista negra. El campo Estado
cambiará a Eliminar en la siguiente operación de escritura.
Icono Ver eventos
Permite generar un informe de eventos procedentes de las direcciones IP que los
provocan. El informe se mostrará a modo de vista en la consola.
Véase también
Establecimiento de una lista negra global en la página 329
Página Administrar listas negras globales
Seleccione los dispositivos Nitro IPS que utilizan la lista negra global.
Tabla 3-198 Definiciones de opciones
Opción
Definición
Tabla
Permite ver una lista de los dispositivos Nitro IPS del ESM y si tienen o no activada
la lista negra global.
Columna Activado Seleccione los dispositivos que utilicen la lista negra global.
Véase también
Establecimiento de una lista negra global en la página 329
Enriquecimiento de datos
Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con
contexto no presente en el evento original como, por ejemplo, una dirección de correo electrónico, un
número de teléfono o información sobre la ubicación del host. Estos datos enriquecidos pasan a formar
parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos
originales.
Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar
con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A
continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos,
tanto para eventos como para flujos.
También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la
página Enriquecimiento de datos.
Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM,
no en los dispositivos.
Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares de
clave-valor del origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer a
un receptor de forma regular para enriquecer los eventos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
331
3
Configuración del ESM
Enriquecimiento de datos
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Adición de orígenes de enriquecimiento de datos
Agregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Enriquecimiento de datos | Agregar.
Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de
enriquecimiento seleccionado.
2
En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.
3
Haga clic en Finalizar y, después, en Escribir.
4
Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga
clic en Aceptar.
Véase también
Enriquecimiento de datos en la página 331
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Página Enriquecimiento de datos en la página 332
Página Asistente de enriquecimiento de datos en la página 333
Página Dispositivos y regla en la página 335
Página Enriquecimiento de datos
Permite administrar los orígenes de enriquecimiento de datos. Podrá ver los orígenes del sistema, lo
cual incluye su frecuencia de extracción y si están o no activados.
Tabla 3-199 Definiciones de opciones
Opción
Definición
Agregar
Permite agregar un nuevo origen de enriquecimiento de datos.
Editar
Realizar cambios en un origen existente.
Quitar
Eliminar un origen existente.
Ejecutar ahora Ejecutar una consulta en el origen de enriquecimiento de datos seleccionado.
332
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Enriquecimiento de datos
Tabla 3-199 Definiciones de opciones (continuación)
Opción
Definición
Activado
Activar o desactivar el origen de datos de enriquecimiento de datos seleccionado.
Escribir
Haga clic aquí para escribir la configuración en los dispositivos seleccionados en la ficha
Destino al agregar o editar los orígenes.
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Página Asistente de enriquecimiento de datos
Para agregar un origen de enriquecimiento de datos, defina la forma de conectar con la base de datos
y acceder a una o dos columnas de una tabla contenida en esa base de datos. Al hacerlo, se
enriquecen los eventos enviados por el origen de datos situado en sentido ascendente con contexto no
presente en el evento original.
Tabla 3-200 Definiciones de opciones
Ficha
Opción
Definición
Ficha
Principal
Nombre
Escriba un nombre para el origen.
Activar
Indique si desea activar este origen o no.
Tipo de búsqueda
Seleccione el tipo de datos que utilizar para la búsqueda.
Tipo de enriquecimiento
Seleccione el tipo de datos que desee enriquecer.
Frecuencia de extracción Seleccione la frecuencia con que se debe ejecutar este origen de
enriquecimiento de datos.
Ficha Origen • Los tipos de orígenes CIFS, NFS, FTP, SFTP y SCP solo pueden utilizar archivos
externos para el enriquecimiento. El resto de tipos de orígenes requieren la escritura
de una consulta para una base de datos o una expresión regular.
• El archivo extraído para el enriquecimiento de datos debe tener el formato
ValorBúsqueda=ValorEnriquecimiento.
• Cada entrada debe encontrarse en una línea distinta.
• En el caso del enriquecimiento de una única columna, solo se necesitan entradas de
valor de búsqueda.
• Para el enriquecimiento de dos columnas, el valor de búsqueda debe estar separado
del valor de enriquecimiento mediante el signo igual (=).
Por ejemplo, un archivo que emplea direcciones IP correspondientes a nombres de host
podría tener un aspecto similar a este:
10.5.2.3=Nueva York
10.5.2.4=Houston
Tipo
Tipo de controlador de base de datos para el origen.
Autenticación
Si se selecciona Básica, indique el nombre de usuario y la
contraseña para el sitio web en caso de que requiera el inicio de
sesión. La configuración predeterminada es Ninguno.
Nombre de base de datos Nombre de la base de datos.
Host
El nombre del equipo que ejecuta la base de datos.
Ignorar certificados no
válidos
Si el sitio web en el que intenta realizar la búsqueda está en una
dirección URL HTTPS, seleccione esta opción para ignorar los
certificados SSL no válidos.
Dirección IP
Dirección IP de la base de datos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
333
3
Configuración del ESM
Enriquecimiento de datos
Tabla 3-200 Definiciones de opciones (continuación)
Ficha
Ficha
Análisis
Opción
Definición
Host de Jobtracker
Dirección de host o dirección IP de Jobtracker de Apache Hadoop.
No es obligatorio indicarlo; si se deja en blanco, el sistema utiliza
el host de Namenode.
Puerto de Jobtracker
Puerto de escucha del host de Jobtracker. No es obligatorio
indicarlo; si se deja en blanco, el sistema utiliza el host de
Namenode.
Método
Si se selecciona POST, pueden ser necesarios el contenido o
argumento correspondientes para navegar a la página web que
incluye el contenido en el que se desea buscar. La configuración
predeterminada es GET.
Punto de montaje
El directorio para los archivos.
Host de Namenode
Dirección de host o dirección IP de Namenode de Apache Hadoop.
No incluya el protocolo.
Puerto de Namenode
Puerto de escucha del host de Namenode. No es obligatorio
indicarlo; si se deja en blanco, el sistema utiliza el host de
Namenode.
Contraseña
La contraseña para acceder a la base de datos.
Ruta
La ruta de acceso a la base de datos. Si selecciona FTP en el campo
Tipo, la ruta hará referencia al directorio de inicio. A fin de
especificar una ruta absoluta en el servidor FTP, inserte una barra
diagonal adicional (/) al principio de la ruta. Por ejemplo, //var/
local/ruta.
Puerto
El puerto de la base de datos.
Nombre de recurso
compartido
El directorio para los archivos.
Nombre de usuario
El nombre del usuario que puede acceder a la base de datos. En el
caso de LDAP, introduzca un nombre de dominio completo sin
espacios. Por ejemplo,
uid=blas,ou=Usuarios,dc=ejemplo,dc=com o
[email protected].
Datos sin procesar
Cuando se selecciona HTTP/HTTPS como tipo de origen, permite
ver las primeras 200 líneas del código fuente HTML correspondiente
a la URL introducida en el campo URL de la ficha Origen. Se trata
solo de una vista previa del sitio web, pero es suficiente a fin de
escribir una expresión regular para la coincidencia.
Una actualización planificada o ejecutada mediante Ejecutar ahora del
origen de enriquecimiento de datos incluye todas las coincidencias
correspondientes a la búsqueda mediante la expresión regular. Esta
función es compatible con expresiones regulares de la sintaxis RE2,
tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).
334
Líneas de encabezado
que omitir
Normalmente, un sitio de Internet tiene un código de encabezado
en el que no es necesario buscar. Especifique cuántas líneas del
principio del sitio desea omitir para que la búsqueda no incluya los
datos del encabezado.
Delimitador de línea
nueva
Escriba lo que se utiliza en el sitio para separar los valores en los
que esté interesado. Este campo tiene el valor predeterminado \n,
que indica que el delimitador es una línea nueva. El otro
delimitador más habitual es la coma.
Ignorar expresión
Escriba una expresión regular que elimine los valores no deseados
de los resultados de la búsqueda realizada mediante una expresión
regular.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Enriquecimiento de datos
Tabla 3-200 Definiciones de opciones (continuación)
Ficha
Opción
Definición
Expresión regular
(Obligatorio) Escriba la lógica empleada para buscar una
coincidencia y extraer los valores del sitio.
Los casos de uso más comunes son crear una expresión que
coincida con una lista de direcciones IP o sumas MD5 maliciosas
conocidas incluidas en un sitio.
Si ha proporcionado dos grupos de coincidencia en la expresión
regular, puede asignar los resultados de cada coincidencia de regex
a Valor de búsqueda o a Valor de enriquecimiento.
Valor de búsqueda o
El valor que buscar en los eventos recopilados del ESM donde se
desea agregar más valores. Está asignado al Campo de búsqueda de la
ficha Destino.
Valor de enriquecimiento El valor enriquecido o insertado en los eventos de origen que
coincide con el valor de búsqueda. Está asignado al Campo de
enriquecimiento de la ficha Destino.
Ficha
Consulta
Permite configurar la consulta para los tipos Hadoop HBase (REST), Hive, LDAP, MSSQL,
MySQL, Oracle, PIG o McAfee Real Time for McAfee ePO.
Ficha
Calificación
Ajuste la calificación para cada valor devuelto por una consulta de una única columna.
Seleccione el campo de origen y el campo de destino donde desee aplicar la calificación
y haga clic en Ejecutar consulta.
Ficha
Destino
Valor
Muestra los valores devueltos.
Calificación
Muestra el stepper numérico que se puede utilizar a fin de
establecer la calificación de riesgo para el valor. Realice cambios si
procede y, después, haga clic en Actualizar lista.
Permite ver los dispositivos y la regla para la asignación de campos correspondiente a
los dispositivos alimentados por este origen de enriquecimiento de datos.
Agregar
Permite seleccionar los dispositivos y las reglas.
Editar
Permite cambiar la configuración de los dispositivos o las reglas.
Quitar
Permite eliminar la configuración de dispositivos o reglas.
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Página Dispositivos y regla
Seleccione los dispositivos que desee enriquecer y cree una regla de asociación de campos para los
dispositivos.
Tabla 3-201 Definiciones de opciones
Opción
Definición
Campo de búsqueda
Seleccione el campo por el que se buscará.
Campo de enriquecimiento Seleccione el campo que se enriquecerá.
Usar valor estático
Seleccione esta opción si desea usar un valor estático.
Valor de enriquecimiento
Si ha seleccionado Usar valor estático, deberá introducir el valor de
enriquecimiento.
Modificar gravedad
Seleccione esta opción si desea utilizar la gravedad como campo de
enriquecimiento y, después, seleccione el porcentaje de aumento o reducción.
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
McAfee Enterprise Security Manager 9.6.0
Guía del producto
335
3
Configuración del ESM
Enriquecimiento de datos
Configuración del enriquecimiento de datos de McAfee Real
Time for McAfee ePO
™
Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos,
es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
.
2
Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal.
3
En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic en
la ficha Consulta.
4
Agregue la información solicitada y haga clic en Prueba.
Si la consulta no genera la información que necesita, realice ajustes en la configuración.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Adición de un origen de enriquecimiento de datos de Hadoop
HBase
Es posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los
eventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
336
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de
datos.
2
En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga
clic en la ficha Origen.
3
En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el
puerto y el nombre de la tabla.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Enriquecimiento de datos
4
En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:
a
La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.
b
Rellene la consulta mediante un filtro de analizador con los valores codificados mediante
Base64. Por ejemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
Complete la información de las fichas Calificación y Destino.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Adición de un origen de enriquecimiento de datos de Hadoop
Pig
Es posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop
Pig.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema.
2
Haga clic en Enriquecimiento de datos y, después, en Agregar.
3
En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo
Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de
Jobtracker y Puerto de Jobtracker.
La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se
utilizan el host y el puerto de Namenode de forma predeterminada.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
337
3
Configuración del ESM
Enriquecimiento de datos
4
En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente:
a
En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, /
user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla
HCatalog (por ejemplo, sample_07).
b
En Columnas, indique cómo enriquecer los datos de columna.
Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para
número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el
siguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de
datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog.
c
En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase
la documentación de Apache Pig.
d
Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos
de columnas. Se requiere información en los campos Origen y Columna. El resto de campos
pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de
grupos.
5
En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig.
6
En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna
única.
7
En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Adición de enriquecimiento de datos de Active Directory para
nombres de usuario
Es posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombres
de pantalla de usuario completos.
Antes de empezar
Verifique que dispone del privilegio Administración del sistema.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
338
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema.
2
Haga clic en Enriquecimiento de datos y, después, en Agregar.
3
En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formato
Nombre_Completo_De_ID_Usuario.
4
Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
3
Configuración del ESM
Enriquecimiento de datos
5
Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice
con una frecuencia mayor.
6
Haga clic en Siguiente o en la ficha Origen.
7
8
a
En el campo Tipo, seleccione LDAP.
b
Rellene la dirección IP, el nombre de usuario y la contraseña.
Haga clic en Siguiente o en la ficha Consulta.
a
En el campo Atributo de búsqueda, introduzca sAMAccountName.
b
En el campo Atributo de enriquecimiento, introduzca displayName.
c
En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de
Active Directory clasificados como personas.
d
Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del
número de entradas reales.
Haga clic en Siguiente o en la ficha Destino.
a
Haga clic en Agregar.
b
Seleccione su origen de datos de Microsoft Windows.
c
En Campo de búsqueda, seleccione el campo Usuario de origen.
Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.
d
9
Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formato
Alias_Usuario o Nombre_Contacto.
Haga clic en Finalizar para guardar los cambios.
10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para
recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de
activación diaria.
El Nombre completo se escribe en el campo Contact_Name.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
McAfee Enterprise Security Manager 9.6.0
Guía del producto
339
3
Configuración del ESM
Enriquecimiento de datos
340
McAfee Enterprise Security Manager 9.6.0
Guía del producto
4
Administración de Cyber Threat
McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con
rapidez a la actividad de IOC relacionada en su entorno.
La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de
vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por
ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a
listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes
que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber
Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su
entorno.
Contenido
Configuración de la administración de Cyber Threat
Visualización de resultados de fuentes de Cyber Threat
Tipos de indicadores compatibles
Errores en la carga manual de un archivo IOC STIX XML
Configuración de la administración de Cyber Threat
Configure las fuentes para recuperar archivos XML con formato STIX correspondientes a indicadores
de compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar
listas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC
relacionada en su entorno.
Antes de empezar
Verifique que dispone de los permisos siguientes.
•
Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber
Threat.
•
Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en Propiedades del sistema.
2
Haga clic en Fuentes de Cyber Threat y, después, en Agregar.
3
En la ficha Principal, introduzca el nombre de la fuente.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
341
4
Administración de Cyber Threat
Visualización de resultados de fuentes de Cyber Threat
4
En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en
Conectar para probar la conexión.
Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat
Information Exchange (TAXII).
5
En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de
extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada
hora, cada semana y cada mes. Especifique la hora de activación diaria.
6
En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una
lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o
campo admitidos.
Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.
7
En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos
coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.
a
Elija si desea analizar los eventos, los flujos o ambos.
b
Indique la antigüedad (en días) para analizar los eventos y los flujos.
c
Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de
datos.
d
En el caso de las alarmas, seleccione un usuario asignado y una gravedad.
8
Vuelva a la ficha Principal y seleccione Activado para activar esta fuente.
9
Haga clic en Finalizar.
Se le informará cuando el proceso finalice correctamente.
Se han agregado nuevas validaciones de archivos e indicadores al tipo de origen de carga manual. Si
recibe un error al seleccionar este tipo de origen, véase Errores en la carga manual de un archivo IOC
STIX XML para solucionar el problema.
Véase también
Visualización de resultados de fuentes de Cyber Threat en la página 342
Tipos de indicadores compatibles en la página 343
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Visualización de resultados de fuentes de Cyber Threat
Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos
identificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez a
información detallada sobre las amenazas, las descripciones de los archivos y los eventos
correspondientes a cada origen de indicadores.
Antes de empezar
Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de
las fuentes de Cyber Threat de su organización.
342
McAfee Enterprise Security Manager 9.6.0
Guía del producto
4
Administración de Cyber Threat
Tipos de indicadores compatibles
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento |
Indicadores de Cyber Threat.
2
En la lista de espacios de tiempo, seleccione el periodo de tiempo para la vista.
3
Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.
4
Lleve a cabo cualquier acción de vista estándar, tales como:
5
•
Crear una lista de vigilancia o anexar datos a una existente.
•
Crear una alarma.
•
Ejecutar un comando remoto.
•
Crear un caso.
•
Buscar o repetir la última búsqueda.
•
Exportar el indicador a un archivo CSV o HTML.
Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos
de origen y Flujos de origen.
Véase también
Configuración de la administración de Cyber Threat en la página 341
Tipos de indicadores compatibles en la página 343
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Tipos de indicadores compatibles
Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured
Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su
procesamiento. Si el archivo no contiene un indicador normalizado para el ESM, recibirá un mensaje
de error.
Tabla 4-1
Tipos de indicadores normalizados para el ESM
Tipo de indicador
Tipo de lista de vigilancia
Dirección de correo electrónico
Para, De, CCO, CC, ID_Correo, ID_Destinatario
Nombre de archivo, Ruta de archivo
Ruta_Archivo, Nombre de archivo, Nombre de
archivo_Destino, Directorio_Destino, Directorio
(Flujos) IPv4, IPv6
Dirección IP, IP de origen, IP de destino
(Flujos) Dirección MAC
Dirección MAC, MAC de origen, MAC de destino
Nombre de dominio completo,
Host, Nombre de host_Destino, Nombre de host_Externo,
Nombre de host, Nombre de dominio Dominio, Dominio_Web
IPv4, IPv6
Dirección IP, IP de origen, IP de destino, IP_Atacante,
IP_Grid_Master, IP_Dispositivo, IP_Víctima
Dirección MAC
Dirección MAC, MAC de origen, MAC de destino
Hash MD5
Hash_Archivo, Hash_Archivo_Principal
Hash SHA1
SHA1
McAfee Enterprise Security Manager 9.6.0
Guía del producto
343
4
Administración de Cyber Threat
Errores en la carga manual de un archivo IOC STIX XML
Tabla 4-1
Tipos de indicadores normalizados para el ESM (continuación)
Tipo de indicador
Tipo de lista de vigilancia
Asunto
Asunto
URL
URL
Nombre de usuario
Usuario de origen, Usuario de destino, Alias_Usuario
Clave de Registro de Windows
Clave_Registro, Clave.Registro (subtipo del Registro)
Valor de Registro de Windows
Valor_Registro, Valor.Registro (subtipo del Registro)
Véase también
Configuración de la administración de Cyber Threat en la página 341
Visualización de resultados de fuentes de Cyber Threat en la página 342
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Errores en la carga manual de un archivo IOC STIX XML
Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured
Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su
procesamiento.
Si se produce un problema con la carga, recibirá uno de estos errores.
Tabla 4-2
Errores de carga manual de Cyber Threat
Error
Descripción
Solución de problemas
ER328: Formato
STIX no válido.
El formato de
archivo no es
correcto.
• Asegúrese de que el archivo cargado sea un archivo
STIX. El motor es compatible con la versión 1.1 de STIX.
• Lea la documentación de STIX para verificar que el
esquema sea válido.
• Open Standards for Information Society (OASIS):
organización que se encarga de los estándares STIX
(https://www.oasis-open.org/).
• STIX Project: contiene los diversos modelos de datos,
esquemas y documentos xsd de STIX (https://
stixproject.github.io/).
ER329: No se han
encontrado
indicadores IOC
admitidos.
El archivo STIX
cargado no contiene
indicadores
normalizados para el
ESM.
Si necesita procesar un indicador específico, póngase en
contacto con el Soporte de McAfee a fin de que lo
normalicen para el ESM. Véase Tipos de indicadores
compatibles para ver una lista de los tipos de indicadores
compatibles con el ESM.
Véase también
Configuración de la administración de Cyber Threat en la página 341
Visualización de resultados de fuentes de Cyber Threat en la página 342
Tipos de indicadores compatibles en la página 343
344
McAfee Enterprise Security Manager 9.6.0
Guía del producto
5
Uso de paquetes de contenido
Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e
instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido
incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan
en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de
contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero.
Importación de paquetes de contenido
McAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación,
alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malware
específica.
Antes de empezar
Verifique que dispone de los permisos siguientes.
•
Administración del sistema
•
Administración de usuarios
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Comprobación de la existencia de actualizaciones de reglas en la página 32
Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de
las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de
contenido individuales de forma manual desde el sitio donde se alojan las reglas.
2
En el árbol de navegación del sistema, haga clic en Propiedades del sistema.
3
Haga clic en Paquetes de contenido.
4
Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar.
Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetes
de contenido nuevos o actualizados.
a
Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar.
b
Haga clic en Cargar.
Aparecerá un mensaje que indica el estado de la importación.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
345
5
Uso de paquetes de contenido
Importación de paquetes de contenido
5
c
Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye.
d
Seleccione el paquete de su elección y, después, instale ese paquete de contenido.
A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestión
y haga clic en Actualizar o Desinstalar.
Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente ha
personalizado algún elemento del paquete de contenido, la actualización podría sobrescribir los
elementos personalizados.
6
346
Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en
Desinstalar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante para
obtener información detallada paso a paso.
Contenido
Preparación para la creación de alarmas
Creación de alarmas
Supervisión y respuesta para alarmas
Ajuste de alarmas
Preparación para la creación de alarmas
Antes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESM
contenga los siguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios de
mensajes, conexión con el servidor de correo, archivos de audio de alarma, cola de informes de
alarma y ficha de alarmas visible en el panel.
Antes de empezar
Para ver las alarmas activadas en el panel, véase Selección de la configuración de usuario
en la página 289.
Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para las
alarmas.
Procedimientos
•
Configuración de mensajes de alarma en la página 347
Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo
electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP)
o syslog.
•
Administración de archivos de audio para las alarmas en la página 353
Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas
sonoras de las alarmas.
Configuración de mensajes de alarma
Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
347
6
Flujo de trabajo de alarmas
Preparación para la creación de alarmas
Procedimientos
•
Creación de plantillas de mensajes de alarma en la página 348
Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog.
Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios de
mensajes específicos.
•
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Para incluir la información sobre los eventos de origen en los resultados de alarma,
configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un
evento de correlación como coincidencia.
•
Administración de los destinatarios de alarmas en la página 351
Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de
dichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS),
Simple Network Management Protocol (SNMP) o syslog.
Definición de la configuración de los mensajes
Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede
optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de
correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.
ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo
de transporte para transmitir datos entre los administradores y los agentes. En una configuración
SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de
administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de
la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las
limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una
captura distinta.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Creación de plantillas de mensajes de alarma
Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services
(SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar las
plantillas con acciones de alarma y destinatarios de mensajes específicos.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
348
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Flujo de trabajo de alarmas
Preparación para la creación de alarmas
6
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
.
Propiedades
2
Haga clic en Alarmas.
3
Haga clic en la ficha Configuración y, después, en Plantillas.
•
Para crear plantillas personalizadas, haga clic en Agregar.
•
Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar.
No se pueden editar las plantillas predefinidas.
•
Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar.
No se pueden eliminar las plantillas predefinidas.
4
•
Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiada
con otro nombre.
•
Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela y
haga clic en Convertir en predeterminado.
Agregue o cambie la siguiente información de plantilla.
Opción
Descripción
Tipo
Indique si esta plantilla es para un mensaje de correo electrónico o un SMS.
Los mensajes SMS se envían a modo de correo electrónico a un teléfono y el
operador los convierte en SMS. Los mensajes SMS tienen un límite de 140
caracteres.
Nombre
Escriba el nombre de esta plantilla.
Descripción
Escriba una descripción de lo que incluye la plantilla.
Convertir en
predeterminado
Permite utilizar la plantilla actual como predeterminada al enviar mensajes.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
349
6
Flujo de trabajo de alarmas
Preparación para la creación de alarmas
Opción
Descripción
Asunto
En el caso de las plantillas de correo electrónico, seleccione el asunto del
mensaje. Haga clic en el icono Insertar campo y seleccione la información que
desee incluir en la línea de asunto del mensaje.
Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.
En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje a
menos de 950 bytes. ESM no puede enviar mensajes de syslog que superen los
950 bytes.
• Elimine cualquiera de los campos incluidos de forma predeterminada si no
desea que aparezcan en el mensaje.
• Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar un
campo de datos. Haga clic en el icono Insertar campo, situado sobre el campo
Asunto. A continuación, seleccione el tipo de información que desee que
muestre este campo.
• Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterar
los registros. Inserte los campos que desee incluir por cada registro entre los
marcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá esta
información en el mensaje para un máximo de diez registros.
• Configuración de alarmas de correlación para la inclusión de eventos de origen
en la página 350 Para incluir los eventos de origen en las alarmas que utilizan
un evento de correlación como coincidencia ( ), haga clic en el icono Insertar
campo y seleccione Bloque de eventos de origen.
Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo de
alarma, el ESM incluye los datos del campo de evento en el mensaje de correo
electrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con el
origen de datos, las cuales se ejecutan en el receptor en lugar de en el ESM.
Seleccione alarmas de Coincidencia de evento interno, las cuales se ejecutan en el ESM
y fuerzan la ejecución de una consulta cada vez que caduca la frecuencia de la
alarma.
Véase también
Definición de la configuración de los mensajes en la página 239
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Configuración de alarmas de correlación para la inclusión de eventos de
origen
Para incluir la información sobre los eventos de origen en los resultados de alarma, configure una
alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlación
como coincidencia.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
350
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Flujo de trabajo de alarmas
Preparación para la creación de alarmas
6
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
Haga clic en la ficha Configuración y, después, en Plantillas.
4
En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada.
5
En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el
icono Insertar campo
6
y seleccione Bloque de eventos de origen.
Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después,
seleccione la información que desee incluir cuando se active la alarma de correlación.
En el ejemplo siguiente se ilustra el aspecto de una plantilla de mensaje de alarma cuando se insertan
campos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:
Alarma: [$Nombre de alarma]
Usuario asignado: [$Usuario asignado de alarma]
Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma]
[$SOURCE_EVENTS_START] IP de origen: [$IP de origen]
IP de destino: [$IP de destino]
Gravedad: [$Promedio de gravedad]
[$SOURCE_EVENTS_END]
Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos.
Véase también
Definición de la configuración de los mensajes en la página 239
Creación de plantillas de mensajes de alarma en la página 348
Administración de los destinatarios de alarmas en la página 351
Administración de los destinatarios de alarmas
Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichos
mensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple Network
Management Protocol (SNMP) o syslog.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP en
la página 269 y Configuración de perfiles en la página 266.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
351
6
Flujo de trabajo de alarmas
Preparación para la creación de alarmas
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
Haga clic en la ficha Configuración y, después, en Destinatarios.
•
Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de los
destinatarios individuales.
•
Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.
•
Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones.
•
Haga clic en SNMP para ver o actualizar la siguiente información de SNMP:
Opción
Descripción
Perfil
Seleccione un perfil de destinatario SNMP existente de la lista desplegable.
Para agregar un perfil, haga clic en Perfil.
Tipo de captura
concreto
Seleccione el tipo de captura específico. El tipo de captura general siempre se
establece en 6 (Específico de empresa).
OID de empresa
Introduzca el identificador de objeto de empresa (OID) completo de la captura
que se enviará. Incluya todo desde el primer 1 hasta el número de empresa,
incluidos los posibles subárboles de la empresa.
Contenido
Incluir enlaces de datos informativos: la captura contiene enlaces de variable con
información extra, incluido el número de línea del informe procesado, una
cadena que identifica el origen de la captura, el nombre de la notificación que
ha generado la captura y el ID del ESM que envía la captura.
Incluir solo datos de informe: los enlaces de variable extra no se incluirán en la
captura.
Formato
Cada captura SNMP generada a partir de un informe contiene una línea de
datos del informe.
• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal
cual en un único enlace de variable. El sistema construye los OID de enlace
de datos mediante la concatenación del ID de empresa, el tipo de captura
concreta y un número que aumenta automáticamente a partir del 1.
• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informe
y envía cada campo en un enlace de datos distinto.
Lista de
Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datos
identificadores OID personalizados.
de enlace
• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID
de enlace.
• Si no especifica suficientes OID de variable para todos los campos de datos
del informe, el ESM iniciará el incremento a partir del último OID
especificado en la lista.
4
352
Haga clic en Syslog para ver o actualizar la siguiente información de syslog:
Opción
Descripción
IP del host y Puerto
Introduzca la dirección IP del host y el puerto de cada destinatario.
Función y Gravedad
Seleccione la función y la gravedad del mensaje.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Creación de alarmas
Véase también
Definición de la configuración de los mensajes en la página 239
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de archivos de audio para las alarmas
Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de las
alarmas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en la ficha Configuración y, después, en Audio.
3
Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar.
ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audio
personalizados.
Creación de alarmas
Las alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de un
número excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo de
distracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización.
McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiar
alarmas existentes y cambiarlas o crear alarmas específicas para su organización.
Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.
Procedimientos
•
Activación o desactivación de la supervisión de alarmas en la página 354
Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas.
La supervisión de alarmas de ESM está activada de forma predeterminada.
•
Cómo copiar una alarma en la página 354
Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se
copia y se guarda con un nombre distinto.
•
Creación de alarmas en la página 355
Cree una alarma para que se active cuando se cumplan las condiciones definidas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
353
6
Flujo de trabajo de alarmas
Creación de alarmas
Activación o desactivación de la supervisión de alarmas
Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. La
supervisión de alarmas de ESM está activada de forma predeterminada.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Si desactiva la supervisión de alarmas para el sistema, el ESM no genera alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la ficha
Configuración y, después, en Desactivar o Activar.
4
Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica si
las alarmas están activadas o desactivadas.
5
•
Para activar una alarma específica, resáltela y seleccione Activado.
•
Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará de
generar esta alarma.
Haga clic en Aceptar.
Véase también
Cómo copiar una alarma en la página 354
Creación de alarmas en la página 355
Cómo copiar una alarma
Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se
guarda con un nombre distinto.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
2
354
.
Haga clic en Alarmas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Creación de alarmas
3
Seleccione una alarma activada y haga clic en Copiar.
En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.
Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.
4
Cambie el nombre y haga clic en Aceptar.
5
Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en
Editar.
6
Cambie la configuración según proceda.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Creación de alarmas en la página 355
Creación de alarmas
Cree una alarma para que se active cuando se cumplan las condiciones definidas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas y, después, en Agregar.
3
Haga clic en la ficha Resumen para definir la configuración general de alarma.
4
•
Asigne un nombre a la alarma.
•
En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Esta
lista incluye todos los usuarios y grupos con el privilegio Administración de alarmas.
•
En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65
es media y 1–32 es baja).
•
Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar la
alarma.
En la ficha Condición, identifique las condiciones que activan la alarma.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
355
6
Flujo de trabajo de alarmas
Creación de alarmas
Condición
Descripción
Tasa de
comprobación
Seleccione la frecuencia con la que el sistema debe comprobar esta condición.
Desviación
Especifique un umbral de porcentaje para la comprobación por encima de la
referencia y un porcentaje distinto por debajo de la referencia.
• Consulta: seleccione el tipo de datos de la consulta.
• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.
• Espacio de tiempo: indique si desea que se consulte el último periodo de tiempo
seleccionado en el campo de número o el anterior.
• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y por
debajo de la referencia para que el ESM active la alarma.
Tasa de eventos
• Recuento de eventos: introduzca el número de eventos que deben producirse antes
de que ESM genere la alarma.
• Icono Filtros: seleccione los valores a fin de filtrar los datos.
• Espacio de tiempo: seleccione en qué intervalo se debe producir el número de
eventos seleccionado para que el ESM active la alarma.
• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma que
la alarma no incluya el brusco aumento al final provocado por la agregación. Por
ejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de los
eventos recuperados contiene los eventos agregados. Haga coincidir la
diferencia del espacio de tiempo con esa cantidad para que el último minuto no
se incluya en la medición de los datos. De lo contrario, el ESM incluirá los
valores de los datos agregados en el recuento de eventos y provocarán un falso
positivo.
Coincidencia de
campo
1 Arrastre y coloque los iconos AND u OR (véase Elementos lógicos en la página
377) para configurar la lógica de la condición de alarma.
2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y,
después, rellene la página Agregar campo de filtro.
3 Limite el número de notificaciones recibidas mediante la configuración de la
Frecuencia máxima de activación de condición. Cada desencadenador contiene el primer
evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de la condición. Los
eventos nuevos que coinciden con la condición de activación no activan la
alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia
de activación máxima. Por ejemplo, si establece la frecuencia en diez minutos y
se activa una alarma cinco veces en un periodo de diez minutos, el ESM envía
un único aviso que contiene cinco alarmas.
Si establece el intervalo en cero, cada evento que coincida con una condición
activará una alarma. En el caso de las alarmas de alta frecuencia, un intervalo
de cero puede producir muchas alarmas.
Estado del
Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, si
monitor de estado selecciona solo Crítico, no se le notificará si se produce un cambio de estado del
monitor de estado con el nivel Advertencia (véase ID de firma del monitor de estado
en la página 367).
356
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Creación de alarmas
Condición
Descripción
Coincidencia de
evento interno
• Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma se
active cuando el valor no coincida con la configuración.
• Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de esta
alarma.
Los valores que contienen comas deben encontrarse en una lista de vigilancia o
delimitados por comillas.
• Campo: seleccione el tipo de datos que supervisará esta alarma.
Para las alarmas que se activan cuando se genera un evento del monitor de
estado, véase Adición de alarmas de eventos del monitor de estado en la página
366.
• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de
1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP de
origen reales que activen esta alarma.
Frecuencia
máxima de
activación de
condición
Seleccione la cantidad de tiempo que debe transcurrir entre condiciones para
evitar un aluvión de notificaciones.
Umbral
Solo tipo de condición Diferencia de eventos: seleccione la diferencia máxima
permitida para los eventos analizados antes de que se active la alarma.
Tipo
Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.
5
En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma.
6
En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma.
Acción
Descripción
Registrar evento
Crear un evento en el ESM.
Confirmar alarma
automáticamente
Confirmar la alarma automáticamente tras su activación. Como resultado, la
alarma no aparece en el panel Alarmas, pero el sistema la agrega a la vista
Alarmas activadas.
Alerta visual
Se genera una notificación de alarma en la parte inferior derecha de la consola.
Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido y
seleccione un archivo de audio.
Crear caso
Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurar
para identificar el propietario del caso y para seleccionar los campos que incluir
en el resumen del caso.
Si planea escalar las alarmas, no cree casos.
Actualizar lista de
vigilancia
Cambiar las listas de vigilancia mediante la adición o eliminación de valores en
función de la información contenida en un máximo de diez eventos que activan
alarmas. Haga clic en Configurar y seleccione qué campo del evento activador se
debe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando esta
configuración modifica una lista de vigilancia, la ficha Acciones de la vista Alarma
activada muestra el cambio.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
357
6
Flujo de trabajo de alarmas
Creación de alarmas
Acción
Descripción
Enviar mensaje
Enviar un mensaje de correo electrónico o SMS a los destinatarios
seleccionados.
• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.
• Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes de
correo electrónico, SMS, SNMP o syslog), así como la zona horaria y el
formato de fecha que utilizar en el mensaje.
Si se emplean los siguientes caracteres en el nombre de una alarma, podrían
producirse problemas al enviar mensajes SMS: coma (,), comillas ("),
paréntesis ( ), barra diagonal o barra diagonal invertida (/ \), punto y coma
(;), signo de interrogación (?), arroba (@), corchetes ([ ]), signos de mayor y
menor que (< >) y signo de igual (=).
Generar informes
Generar un informe, una vista o una consulta. Haga clic en Configurar y
seleccione un informe en la página Configuración de informe o haga clic en Agregar
para diseñar un informe nuevo.
Si pretende enviar por correo electrónico un informe a modo de datos adjuntos,
consulte con su administrador de correo para determinar el tamaño máximo de
los datos adjuntos. Los datos adjuntos de correo electrónico de gran tamaño
pueden impedir el envío de un informe.
Ejecutar comando
remoto
Ejecutar un comando remoto en cualquier dispositivo que acepte conexiones
SSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar para
seleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha,
y también el host, el puerto, la contraseña del nombre de usuario y la cadena
de comando para la conexión SSH.
Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos
específicos. Haga clic en el icono Insertar variable
y seleccione las variables.
Enviar a Remedy
Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurar
para establecer la información necesaria a fin de comunicarse con Remedy:
datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envían
eventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la ficha
Acciones de la vista Alarma activada. Esta acción requiere que el tipo de condición
sea Coincidencia de evento interno.
Asignar etiqueta con
ePO
Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP que
activan esta alarma. Haga clic en Configurar y seleccione la información siguiente.
• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.
• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetas
disponibles en el dispositivo seleccionado).
• Seleccionar el campo: campo en el que basar el etiquetado.
• Activar cliente: aplicar las etiquetas de inmediato.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
Acciones de Real
Time for ePO
Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivo
McAfee ePO seleccionado.
Esta opción requiere el complemento de McAfee Real Time for McAfee ePO
(versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca el
dispositivo como uno de sus endpoints.
358
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Supervisión y respuesta para alarmas
Acción
Descripción
Lista negra
Seleccionar las direcciones IP que se incluirán en la lista negra cuando se active
una alarma. Haga clic en Configurar y seleccione la información siguiente.
• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El
tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como la
de destino.
• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en la
lista negra. La opción Global agrega el dispositivo a la Lista negra global.
• Duración: seleccione cuánto tiempo se deben incluir en la lista negra las
direcciones IP.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
Resumen de alarma
personalizada
7
Personalizar los campos incluidos en el resumen de una alarma de tipo
Coincidencia de campo o Coincidencia de evento interno.
En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirme en un período de
tiempo específico.
Escalación
Descripción
Escalar después de
Indique el tiempo tras el cual desea que se escale la alarma.
Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.
Gravedad de escalado
Seleccione la gravedad de la alarma una vez escalada.
Registrar evento
Indique si desea registrar el escalado como un evento.
Alerta visual
Indique si la notificación debe ser una alerta visual. Haga clic en Reproducir
sonido y seleccione un archivo si desea que la notificación visual se
acompañe de un sonido.
Enviar mensaje
Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregar
destinatario, seleccione el tipo de mensaje y, después, seleccione el
destinatario.
Generar informes
Indique si desea generar un informe. Haga clic en Configurar para seleccionar
el informe.
Ejecutar comando remoto
Indique si desea ejecutar un script en cualquier dispositivo que acepte
conexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, el
nombre de usuario, la contraseña y la cadena de comando.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Cómo copiar una alarma en la página 354
Supervisión y respuesta para alarmas
Es posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles de
alarmas, filtros e informes.
Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmas
activadas y responder a ellas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
359
6
Flujo de trabajo de alarmas
Supervisión y respuesta para alarmas
•
Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total de
alarmas clasificadas por gravedad.
Símbolo
Gravedad
Intervalo
Alta
66–100
Media
33–65
Baja
1–32
•
Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmas
confirmadas se conservan en la vista Alarmas activadas.
•
Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmas
activadas.
Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual se
cerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra,
confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta.
Procedimientos
•
Visualización y administración de alarmas activadas en la página 360
Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.
•
Administración de la cola de informes de alarma en la página 362
Si una acción de alarma genera informes, es posible ver la cola de informes generados y
cancelar uno o varios de ellos.
Visualización y administración de alarmas activadas
Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.
Antes de empezar
•
Verifique con su administrador que pertenece a un grupo de acceso con privilegios de
administración de alarmas.
•
Verifique con su administrador si su consola está configurada para mostrar el panel de
registro Alarmas (véase Selección de la configuración de usuario en la página 289).
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:
•
Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol de
navegación del sistema.
•
Alerta visual emergente: se abre cuando se activa una alarma.
•
2
360
Página Detalles: se abre al hacer clic en el icono Detalles
del panel de registro Alarmas.
Siga uno de los procedimientos siguientes:
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Supervisión y respuesta para alarmas
Para...
Haga esto...
Confirmar una
alarma
• Para confirmar una alarma, haga clic en la casilla de verificación de la
primera columna de la alarma activada que desee confirmar.
• Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma
de la parte inferior de la vista.
El sistema elimina las alarmas confirmadas del panel Alarmas, pero se
conservan en la vista Alarmas activadas.
Eliminar una
• Seleccione la alarma activada que desee eliminar y haga clic en el icono
alarma del sistema
Eliminar alarma
Filtrar las alarmas
.
• Introduzca la información que desee usar como filtro en el panel Filtros y
haga clic en el icono Actualizar
Cambiar el usuario
asignado de las
alarmas
1
.
Haga clic en el icono Ver detalles de datos
alarma en la parte inferior del panel.
para mostrar los detalles de
2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo
usuario asignado.
Crear un caso para 1
las alarmas
Haga clic en el icono Ver detalles de datos
alarma en la parte inferior del panel.
para mostrar los detalles de
2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones
necesarias.
Ver detalles sobre
una alarma
1
Haga clic en el icono Ver detalles de datos
alarma en la parte inferior del panel.
para mostrar los detalles de
2 Seleccione la alarma y realice una de las acciones siguientes:
• Haga clic en la ficha Evento activador para ver el evento que activó la alarma
seleccionada. Haga doble clic en el evento para ver su descripción.
Si un único evento no cumple las condiciones de alarma, es posible que
no aparezca la ficha Evento activador.
• Haga clic en la ficha Condición para ver la condición que activó el evento.
• Haga clic en la ficha Acción para ver las acciones resultantes de la alarma
y las etiquetas de ePolicy Orchestrator asignadas al evento.
Editar la
configuración de
una alarma
activada
1
Haga clic en la alarma activada, después en el icono Menú
Editar alarma.
y seleccione
2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.
Véase también
Administración de la cola de informes de alarma en la página 362
McAfee Enterprise Security Manager 9.6.0
Guía del producto
361
6
Flujo de trabajo de alarmas
Supervisión y respuesta para alarmas
Administración de la cola de informes de alarma
Si una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar uno
o varios de ellos.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
Haga clic en la ficha Configuración.
4
Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta un
máximo de cinco informes de forma simultánea.
•
Vea los informes generados por alarmas.
•
Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informes
restantes se moverán hacia arriba en la cola.
Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera de
ejecución en el ESM, lo que permite cancelar cualquiera de ellos.
5
Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informes
de la lista.
6
Haga clic en Cerrar.
Véase también
Visualización y administración de alarmas activadas en la página 360
Página Ver informes en la página 362
Página Lista de archivos en la página 363
Página Ver informes
Permite ver la cola de informes que se han generado y que se están ejecutando o en espera de
ejecución.
Tabla 6-1 Definiciones de opciones
Opción Definición
Tabla
Ver los informes generados por el ESM que están a la espera de ejecución.
Cancelar
Haga clic en esta opción para evitar que los informes seleccionados se ejecuten. Los
informes seleccionados se cancelarán y el resto de informes avanzarán en la cola.
Véase también
Administración de la cola de informes de alarma en la página 362
362
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Flujo de trabajo de alarmas
Ajuste de alarmas
6
Página Lista de archivos
Permite ver y administrar la lista de informes generados en el ESM.
Tabla 6-2 Definiciones de opciones
Opción
Definición
Tabla
Ver una lista de los archivos de informe generados.
Descargar
Guardar los informes seleccionados en otra ubicación.
Cargar
Agregar un informe a la lista.
Quitar
Eliminar un informe de la lista.
Actualizar
Actualizar la lista para reflejar cualquier cambio realizado.
Véase también
Administración de la cola de informes de alarma en la página 362
Ajuste de alarmas
Perfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.
Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estos
procedimientos describen cómo crear tipos concretos de alarmas.
Procedimientos
•
Creación de alarmas UCAPL en la página 364
Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved
Products List, lista de productos aprobados con capacidades unificadas).
•
Adición de alarmas de eventos del monitor de estado en la página 366
Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la
generación de un informe de Resumen de eventos de monitor de estado.
•
Adición de una alarma de Coincidencia de campo en la página 375
Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa
cuando el dispositivo recibe y analiza el evento.
•
Resumen personalizado para alarmas activadas y casos en la página 378
Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas
de tipo Coincidencia de campo y Coincidencia de evento interno.
•
Adición de una alarma a las reglas en la página 378
Si desea recibir una notificación cuando se generen eventos a través de reglas específicas,
es posible agregar una alarma a esas reglas.
•
Creación de capturas SNMP a modo de acciones de alarma en la página 379
Es posible enviar capturas SNMP a modo de acciones de alarma.
•
Adición de una alarma de notificación sobre fallos de alimentación en la página 380
Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las
fuentes de alimentación del ESM.
•
Administración de orígenes de datos no sincronizados en la página 380
Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de
forma que pueda ver una lista de orígenes de datos, editar su configuración y exportar la
lista.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
363
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Creación de alarmas UCAPL
Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved Products
List, lista de productos aprobados con capacidades unificadas).
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Revise los pasos para Creación de alarmas en la página 355.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
•
Configure los tipos de alarma aplicables:
Tipo de alarma
Descripción
Umbral ajustable de
errores de inicio de
sesión alcanzado
Se activa una alarma cuando el número de errores de inicio de sesión de un
mismo usuario alcanza un umbral que se puede ajustar.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-36.
Umbral de
inactividad
alcanzado
Activar una alarma cuando se bloquee una cuenta de usuario porque se ha
alcanzado el umbral de inactividad.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-35.
Número de sesiones Activar una alarma si un usuario intenta iniciar sesión en el sistema
simultáneas
después de alcanzar el número máximo de sesiones simultáneas.
permitidas
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
alcanzado
firma.
2 Introduzca el valor 306-37.
Error en la
comprobación de
integridad de
archivo del sistema
Activar una alarma cuando falle la comprobación de integridad de un
archivo del sistema.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-50085.
Certificados a punto
de caducar
Activar una alarma cuando haya certificados Common Access Card (CAC) o
de servidor web a punto de caducar.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.
La alarma se activará 60 días antes de la fecha de caducidad del certificado
y, después, semanalmente. No es posible cambiar el número de días.
364
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Tipo de alarma
Descripción
Envío de captura
SNMP cuando el
estado del sistema
no sea aprobado
Configurar una captura SNMP de modo que la alarma envíe una captura al
NMS cuando detecte que el sistema ha dejado de funcionar en un estado
aprobado o seguro.
1 Cree una alarma que coincida con cualquier condición y, después, acceda
a la ficha Acciones y seleccione Enviar mensaje.
2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clic
en Aceptar.
3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por
último, en Agregar.
4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y,
a continuación, haga clic en Aceptar.
5 En la página Administración de plantillas, seleccione la plantilla nueva y haga
clic en Aceptar.
6 Configure el resto de opciones de alarma.
Envío de mensaje
de syslog cuando el
estado del sistema
no es aprobado
Configurar un mensaje de syslog de modo que la alarma envíe un mensaje
de syslog al NMS cuando detecte que el sistema ha dejado de funcionar en
un estado aprobado o seguro.
1 Cree una alarma que coincida con cualquier condición, acceda a la ficha
Acciones y seleccione Enviar mensaje.
2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic
en Aceptar.
3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por
último, en Agregar.
4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y,
a continuación, haga clic en Aceptar.
5 En la página Administración de plantillas, seleccione la plantilla nueva y haga
clic en Aceptar.
6 Configure el resto de opciones de alarma.
El registro de
seguridad no
registra los eventos
necesarios
Configurar una captura SNMP de modo que la alarma envíe una notificación
a un centro de operaciones de red (NOC) apropiado en un plazo de 30
segundos si un registro de seguridad no está registrando los eventos
necesarios.
1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades
del dispositivo | Configuración del dispositivo | SNMP.
2 Seleccione la captura de error del registro de seguridad, configure uno o
varios perfiles para el envío de capturas y haga clic en Aplicar.
ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensaje
Error al escribir en el registro de seguridad.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
365
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Tipo de alarma
Descripción
Inicio o fin de
funciones de
auditoría
Configurar una captura SNMP de modo que la alarma envíe una notificación
cuando las funciones de auditoría (como las de base de datos, cpservice o
IPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP o
Configuración SNMP y seleccione Capturas de base de datos activa/inactiva. Configure
uno o varios perfiles para el envío de las capturas y haga clic en Aplicar.
Existencia de una
sesión por cada
función
administrativa
Activar una alarma cuando exista una sesión administrativa por cada una de
las funciones administrativas definidas.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39
para Administrador de criptografía y 306–40 para Usuario avanzado.
También es posible configurar alarmas independientes.
Adición de alarmas de eventos del monitor de estado
Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación de
un informe de Resumen de eventos de monitor de estado.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Revise los ID de firma del monitor de estado en la página 367 disponibles.
•
Revise los pasos para Creación de alarmas en la página 355.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Para configurar una alarma antes de que se genere un evento del monitor de estado:
a
Configure una Condición de alarma con el tipo Coincidencia de evento interno.
b
En la línea Campo, seleccione ID de firma.
c
En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado.
d
Rellene el resto de opciones de configuración de la alarma.
Para configurar una alarma si existe un evento del monitor de estado:
a
En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema
y seleccione una vista que muestre el evento del monitor de estado
(Análisis de eventos o Resumen predeterminado).
b
Haga clic en el evento y, después, haga clic en el icono Menú
.
c
Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma.
d
Rellene el resto de opciones de configuración de la alarma.
Véase también
ID de firma del monitor de estado en la página 367
366
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
ID de firma del monitor de estado
En esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivo
y gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificación
cuando se genere un evento de regla del monitor de estado.
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Se ha realizado o
eliminado una
conexión de interfaz
de red física
306-50080
Cambio de la
configuración de interfaz
de red mediante una
sesión SSH.
Monitor de
software
ESM
Media
Se ha producido un
error de RAID
306-50054
Detección de errores de
RAID.
Monitor de
hardware
Todos
Alta
Cuenta desactivada
debido a la
inactividad
306-35
La cuenta de usuario se
ha desactivado debido a
la inactividad.
Monitor de
software
ESM
Media
Cuenta desactivada
debido al máximo de
fallos de inicio de
sesión
306-36
La cuenta de usuario se
ha desactivado porque
se ha alcanzado el
máximo de fallos de
inicio de sesión.
Monitor de
software
ESM
Alta
Agregar/Editar
comando remoto
306-60
Adición o eliminación de
un comando remoto de
alarma.
Monitor de
software
ESM
Baja
Alerta de cambio de
estado del
recopilador del
analizador de syslog
avanzado
306-50029
El analizador de ASP se
ha detenido o iniciado.
Monitor de
software
Receptor
Media
Proceso de destilador 306-50066
de APM
El motor de extracción
de texto PDF/DOC de
ADM se ha detenido o
iniciado.
Monitor de
software
APM
Media
Discrepancia con
configuración
aprobada
146-7
Cambio de dispositivo de Monitor de
descubrimiento de red
software
aprobado.
ESM
Baja
Cambio de
configuración de
archivado
306-3
Cambio de la
configuración de
archivado de ESM.
Monitor de
software
ESM
Baja
Alerta de cambio de
306-50051
estado del proceso de
archivado
El proceso de archivado
del receptor se ha
detenido o iniciado.
Monitor de
software
APM/REC/
Media
Activo vulnerable a
evento
Evento de vulnerabilidad
creado.
Monitor de
software
ESM
Baja
Inicio de sesión de
306-38
usuario administrador
de auditoría
Evento UCAPL, inicio de
sesión de administrador
de auditoría.
Monitor de
software
ESM
Baja
Cambio de
configuración de
copias de seguridad
306-1
Cambio de la
configuración de copias
de seguridad de ESM.
Monitor de
software
ESM
Baja
Copia de seguridad
realizada
306-2
Copia de seguridad
realizada en el sistema.
Monitor de
software
ESM
Baja
Alerta del analizador
de Blue Martini
306-50071
El analizador de Blue
Martini se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
146-10,
306-10
McAfee Enterprise Security Manager 9.6.0
IPS/DBM
Guía del producto
367
6
368
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Alerta de estado de
NIC de omisión
306-50001
En el NIC se ha activado
o desactivado el estado
de omisión.
Monitor de
software
IPA/ADM/IPS Media
El certificado de la
autoridad de
certificación ha
caducado
306-50082
El certificado de la
Monitor de
autoridad de certificación software
de ESM ha caducado.
ESM
Alta
El certificado de la
306-50081
autoridad de
certificación caducará
pronto
El certificado de la
Monitor de
autoridad de certificación software
de ESM caducará pronto.
ESM
Media
Cambio de caso
306-70
El caso ha cambiado.
Monitor de
software
ESM
Baja
Estado de caso
306-73
agregado/
modificado/eliminado
El estado del caso ha
cambiado.
Monitor de
software
ESM
Baja
Alerta de cambio de
estado de canal de
comunicación
306-50013
El canal de control se ha
detenido o iniciado.
Monitor de
software
Todos
Media
Error de captura de
configuración (error
de dispositivo)
146-4
Error del dispositivo de
descubrimiento de red.
Monitor de
software
ESM
Baja
Error de captura de
configuración
(dispositivo
inaccesible)
146-3
Dispositivo de
descubrimiento de red
inaccesible.
Monitor de
software
ESM
Baja
Configuración
capturada
146-5
La configuración de
Monitor de
descubrimiento de red se software
ha comprobado
correctamente.
ESM
Baja
Error de directiva de
configuración
146-8
No se usa en el sistema.
Monitor de
software
ESM
Baja
Directiva de
configuración
correcta
146-9
No se usa en el sistema.
Monitor de
software
ESM
Baja
Cambio de
configuración de
asignación de datos
306-7
La configuración de
asignación de datos de
ESM ha cambiado.
Monitor de
software
ESM
Alta
Alerta de espacio
libre en el disco en
partición de datos
306-50005
El espacio libre de cada
partición se está
agotando (por ejemplo,
hada_hd tiene un 10 %
de espacio libre).
Monitor de
software
Todos
Media
Cambio de
configuración de
conservación de
datos
306-6
La configuración de
Monitor de
conservación de datos de software
ESM ha cambiado.
ESM
Alta
Alerta de estado de
servicios de
detección de bases
de datos
306-50036
El servicio de detección
automática de DBM se
ha detenido o iniciado.
Todos
Media
McAfee Enterprise Security Manager 9.6.0
Monitor de
software
Gravedad
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Alerta de cambio de
estado de DPI
306-50008
El motor de inspección
profunda de paquetes
del IPS o ADM se ha
detenido o iniciado.
Monitor de
software
Todos
Media
Eliminar comando
remoto
306-61
Comando remoto de
alarma eliminado.
Monitor de
software
ESM
Baja
Eventos eliminados
306-74
El usuario ha eliminado
eventos de ESM.
Monitor de
software
ESM
Baja
Flujos eliminados
306-75
El usuario ha eliminado
flujos de ESM.
Monitor de
software
ESM
Baja
Adición de dispositivo 306-18
Se ha agregado un
nuevo dispositivo al
sistema.
Monitor de
software
ESM
Baja
Eliminación de
dispositivo
Un dispositivo existente
se ha eliminado del
sistema.
Monitor de
software
ESM
Baja
Dispositivo
146-2
posiblemente inactivo
Evento de
Monitor de
descubrimiento de red
software
que indica que es posible
que un dispositivo no
funcione.
ESM
Baja
Dispositivo
inaccesible
146-1
Un dispositivo de
descubrimiento de red
agregado a ESM no está
accesible.
Monitor de
software
ESM
Baja
Alerta de error de
unidad de disco
306-50018
Comprueba y verifica la
integridad de todos los
discos duros (internos o
de DAS).
Monitor de
hardware
Todos
Alta
Media
306-19
Alerta de cambio de
306-50045
estado del proceso de
archivado de ELM
El motor de compresión Monitor de
del ELM se ha detenido o software
iniciado.
APM/REC/
ELM EDS FTP
306-50074
El programa SFTP del
ELM se ha detenido o
iniciado.
Monitor de
software
ELM
Media
Proceso de archivo
de ELM
306-50065
El motor de reinserción
Monitor de
del ELM se ha detenido o software
iniciado.
ELM
Media
IPS/DBM
Si un registro falla por
algún motivo, intentará
de nuevo la inserción. Si
el proceso de reinserción
falla, se activa esta
regla.
Alerta de cambio de
estado del punto de
montaje de ELM
306-50053
El almacenamiento
remoto (CIFS, NFS,
ISCSI, SAN) se ha
detenido o iniciado.
Monitor de
software
ELM
Media
Alerta de cambio de
estado del motor de
consultas de ELM
306-50046
El proceso de trabajos
del ELM (trabajos del
ELM, tales como
consultas, inserciones,
etc.) se ha detenido o
iniciado.
Monitor de
software
ELM
Media
McAfee Enterprise Security Manager 9.6.0
Guía del producto
369
6
370
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Almacenamiento
redundante en ELM
306-50063
Error de la base de
datos del sistema
ELM
306-50044
Dispositivo
Gravedad
La duplicación del ELM se Monitor de
ha detenido o iniciado.
software
ELM
Media
La base de datos del ELM Monitor de
se ha detenido o
software
iniciado.
ELM
Alta
Alerta de cambio de
306-50040
estado de recopilador
de correo electrónico
El recopilador MARS de
Cisco se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Etiquetas de ePO
aplicadas
306-28
Se han aplicado
etiquetas de McAfee
ePO.
Monitor de
software
ESM
Baja
Error al establecer
comunicación con
ELM
306-50047
La comunicación con el
ELM ha fallado.
Monitor de
software
APM/REC/
Alta
Error en
comunicación SSH
306-50077
Problemas del
dispositivo, tales como
diferencias de versión o
un cambio de clave.
Monitor de
software
Todos
Alta
Reinicio de ESM
306-32
ESM se ha reiniciado.
Monitor de
software
ESM
Media
Apagado de ESM
306-33
ESM se ha apagado.
Monitor de
software
ESM
Media
Alerta del recopilador 306-50070
de eStreamer
El recopilador de
eStreamer se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50041
estado de recopilador
de eStreamer
El recopilador de
eStreamer se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Separación de
partición de eventos
306-4
Se ha separado una
partición de eventos.
Monitor de
software
ESM
Baja
Ejecutar comando
remoto
306-62
Comando remoto de
alarma ejecutado.
Monitor de
software
ESM
Baja
Error de inicio de
sesión porque se ha
alcanzado el máximo
de sesiones
simultáneas
306-37
El usuario no pudo iniciar Monitor de
sesión porque se alcanzó software
el máximo de sesiones
simultáneas.
ESM
Alta
Error al aplicar
306-50057
formato al dispositivo
SAN
Se produjo un error al
aplicar formato al SAN
en ELM; el usuario debe
volver a intentarlo.
Monitor de
hardware
ESM
Alta
Error de inicio de
sesión de usuario
El usuario no ha podido
iniciar sesión.
Monitor de
software
ESM
Media
Alerta de cambio de
306-50049
estado de recopilador
de archivos
El programa de
recopilación de montaje
se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Archivo eliminado
Se ha eliminado
cualquier archivo que se
pueda agregar o
eliminar, como un
archivo de sonido o
registro de ESM.
Monitor de
software
ESM
Baja
306-31
306-50
McAfee Enterprise Security Manager 9.6.0
Tipo
IPS/DBM
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Alerta de cambio de
306-50050
estado del proceso de
filtrado
El programa de filtrado
del dispositivo se ha
detenido o iniciado
(reglas de filtrado).
Monitor de
software
Receptor
Media
Alerta de cambio de
estado de agregador
de alertas de firewall
306-50009
El agregador del firewall
del IPS o del ADM se ha
detenido o iniciado.
Monitor de
software
IPS/ADM/IPS Media
Separación de
partición de flujos
306-5
Se ha separado una
partición de flujos.
Monitor de
software
ESM
Baja
Error de obtención
datos de evaluación
de vulnerabilidades
306-52
ESM no ha podido
obtener datos de
evaluación de
vulnerabilidades.
Monitor de
software
ESM
Media
Obtención datos de
evaluación de
vulnerabilidades
correcta
306-51
ESM ha obtenido datos
de evaluación de
vulnerabilidades.
Monitor de
software
ESM
Baja
Alerta interna de
monitor de estado
306-50027
Un proceso del monitor
Monitor de
de estado se ha detenido software
o iniciado.
Todos
Media
Alerta de cambio de
306-50039
estado de recopilador
de HTTP
El recopilador de HTTP se Monitor de
ha detenido o iniciado.
software
Receptor
Media
Cambio de
configuración de
indización
306-8
La configuración de
indizado de ESM ha
cambiado.
ESM
Media
Clave SSH no válida
306-50075
El dispositivo tiene
Monitor de
problemas para
software
comunicarse con el ELM,
tales como diferencias de
versión o un cambio de
clave.
Todos
Alta
Alerta de cambio de
306-50055
estado de recopilador
de IPFIX
El recopilador de IPFIX
(flujo) se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Inicio de sesión de
306-39
usuario administrador
de claves y
certificados
Evento UCAPL, inicio de
sesión de administrador
de criptografía.
Monitor de
software
ESM
Baja
Partición de registro
sustituida
306-34
Las particiones más
antiguas de la tabla de
registro de la base de
datos se han sustituido.
Monitor de
software
ESM
Baja
Alerta de espacio
libre en el disco en
particiones de
registro
306-50004
El espacio de la partición Monitor de
de registro (/var) se está software
agotando.
Todos
Media
Alerta de cambio de
306-50010
estado de servidor de
base de datos McAfee
EDB
La base de datos se ha
detenido o iniciado.
Monitor de
software
Todos
Media
Alerta del recopilador 306-50069
de McAfee ePO
El recopilador de McAfee
ePO se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
McAfee Enterprise Security Manager 9.6.0
Monitor de
software
Guía del producto
371
6
372
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Alerta de cambio de
estado del formato
de los eventos de
McAfee
306-50031
El recopilador de
formatos de eventos de
McAfee se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Error de
comunicación del
dispositivo de la
solución SIEM de
McAfee
306-26
ESM no se puede
comunicar con otro
dispositivo.
Monitor de
software
ESM
Alta
Alerta de Microsoft
Forefront Threat
Management
Gateway
306-50068
El recopilador de
Monitor de
Forefront Threat
software
Management Gateway se
ha detenido o iniciado.
Receptor
Media
Alerta de cambio de
estado de
recuperador de
MS-SQL
306-50035
El recopilador de
Microsoft SQL se ha
detenido o iniciado
(cualquier origen de
datos de Microsoft SQL).
Monitor de
software
Receptor
Media
Alerta de registro de
varios eventos
306-50062
El recopilador de jEMAIL
se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Análisis de MVM
iniciado
306-27
Se ha iniciado un análisis Monitor de
de MVM.
software
ESM
Baja
Alerta de cambio de
306-50024
estado de recopilador
de NetFlow
El recopilador de NetFlow Monitor de
(flujo) se ha detenido o
software
iniciado.
Receptor
Media
Nueva cuenta de
usuario
Se ha agregado un
nuevo usuario al
sistema.
Monitor de
software
ESM
Baja
Alerta de cambio de
306-50048
estado de recopilador
de NFS/CIFS
El montaje remoto para
NFS o CIFS se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50026
estado de recopilador
de NitroFlow
NitroFlow (flujos del
dispositivo) se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
No se ha encontrado
una clave SSH
306-50076
El dispositivo tiene
Monitor de
problemas para
software
comunicarse con el ELM,
tales como diferencias de
versión o un cambio de
clave.
Todos
Alta
Agregar/Editar lista
negra de NSM
306-29
Una entrada de la lista
negra de NSM se ha
agregado o editado.
Monitor de
software
ESM
Baja
Eliminar lista negra
de NSM
306-30
Una entrada de la lista
negra de NSM se ha
eliminado.
Monitor de
software
ESM
Baja
Alerta de cambio de
estado de receptor
de OPSEC
306-50028
El recopilador de OPSEC
(Check Point) se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
estado de receptor
de OPSEC
306-50034
El recopilador de OPSEC
(Check Point) se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
306-13
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Alerta del recopilador 306-50072
de Oracle Identity
Management
El recopilador de Oracle
IDM se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Alerta de
sobresuscripción
El ADM o el IPS han
entrado o salido del
modo de
sobresuscripción.
Monitor de
software
IPS/ADM/IPS Media
Alerta del analizador/ 306-50073
recopilador de
complementos
El analizador/recopilador
de complementos se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Adición de directiva
306-15
Se ha agregado una
directiva al sistema.
Monitor de
software
ESM
Baja
Eliminación de
directiva
306-17
Se ha eliminado una
directiva del sistema.
Monitor de
software
ESM
Baja
Cambio de directiva
306-16
Se ha cambiado una
directiva en el sistema.
Monitor de
software
ESM
Baja
Discrepancia con
configuración previa
146-6
Ha cambiado la
configuración del
dispositivo de
descubrimiento de red.
Monitor de
software
ESM
Baja
Disponibilidad alta
del receptor
306-50058
Cualquier proceso de
disponibilidad alta se ha
detenido o iniciado
(Corosync, script de
control de disponibilidad
alta).
Monitor de
software
Receptor
Media
Configuración OPSEC
de disponibilidad alta
del receptor
306-50059
No se utiliza.
Monitor de
software
Receptor
Baja
ESM redundante sin
sincronizar
306-76
El ESM redundante no
está sincronizado.
Monitor de
software
ESM
Alta
Alerta de cambio de
estado de punto de
montaje NFS remoto
306-50020
El montaje de NFS del
ELM se ha detenido o
iniciado.
Monitor de
software
ELM
Media
Alerta de espacio
libre en el disco en
punto de montaje/
recurso compartido
remoto
306-50021
Se está agotando el
espacio libre en el punto
de montaje remoto.
Monitor de
software
ESM
Media
Alerta de cambio de
estado de recurso
compartido de SMB/
CIFS remoto
306-50019
El punto de montaje
remoto SMB/CIFS se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50061
estado de correlación
de riesgos
El motor de correlación
de riesgos se ha
detenido o iniciado.
Monitor de
software
ACE
Media
Alerta de espacio
libre en el disco en
particiones raíz
307-50002
Se está agotando el
espacio libre en las
particiones raíz.
Monitor de
software
Todos
Media
Adición de regla
306-20
Se ha agregado una
regla al sistema, por
ejemplo, de ASP, filtrado
o correlación.
Monitor de
software
ESM
Baja
306-50012
McAfee Enterprise Security Manager 9.6.0
Guía del producto
373
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Eliminación de regla
306-22
Regla eliminada del
sistema.
Monitor de
software
ESM
Baja
Cambio de regla
306-21
Se ha cambiado una
regla en el sistema.
Monitor de
software
ESM
Baja
Error de actualización 306-9
de regla
Se ha producido un error Monitor de
al actualizar una regla de software
ESM.
ESM
Media
Alerta de cambio de
306-50033
estado de
recuperador de SDEE
El recopilador de SDEE
se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50025
estado de recopilador
de sFlow
El recopilador de sFlow
(flujo) se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50023
estado de recopilador
de SNMP
El recopilador de SNMP
se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50038
estado de recopilador
de SQL
El recopilador de SQL
(anteriormente NFX) se
ha detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
306-50056
estado de recopilador
de Symantec AV
El recopilador de
Symantec AV se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Alerta de cambio de
estado del
recopilador de syslog
El recopilador de syslog
se ha detenido o
iniciado.
Monitor de
software
Receptor
Media
Inicio de sesión de
306-40
usuario administrador
del sistema
El administrador del
sistema ha iniciado
sesión.
Monitor de
software
ESM
Baja
Error de
comprobación de
integridad del
sistema
Se ha marcado un
programa o proceso
externo no ISO en
ejecución en el sistema.
Monitor de
software
Todos
Alta
Alerta de cambio de
306-50014
estado de registrador
del sistema
El proceso de registro del Monitor de
sistema se ha detenido o software
iniciado.
Todos
Media
Cierre de tarea
(consulta)
306-54
Se ha cerrado una tarea
del Administrador de
tareas.
Monitor de
software
ESM
Baja
Alerta de espacio
libre en el disco en
particiones
temporales
306-50003
La partición temporal (/
tmp) se está quedando
sin espacio en el disco.
Monitor de
software
Todos
Media
Alerta de cambio de
306-50052
estado del analizador
de registros de texto
El analizador de texto se
ha detenido o iniciado.
Monitor de
software
Receptor
Media
Cambio de cuenta de
usuario
306-14
Ha cambiado una cuenta Monitor de
de usuario.
software
ESM
Baja
Error de inicio de
sesión de dispositivo
de usuario
306-50079
Un usuario SSH no ha
podido iniciar sesión.
Monitor de
software
ESM
Baja
No se usa en el sistema.
Monitor de
software
ESM
Baja
306-50037
306-50085
Inicio de sesión de
306-50017
dispositivo de usuario
374
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Nombre de regla
ID de
firma
Descripción
Tipo
Dispositivo
Gravedad
Cierre de sesión de
306-50078
dispositivo de usuario
Un usuario SSH ha
cerrado la sesión.
Monitor de
software
ESM
Baja
Inicio de sesión de
usuario
306-11
Un usuario ha iniciado
sesión en el sistema.
Monitor de
software
ESM
Baja
Cierre de sesión de
usuario
306-12
Un usuario ha cerrado la
sesión en el sistema.
Monitor de
software
ESM
Baja
Alerta de estado del
motor de datos de
evaluación de
vulnerabilidades
306-50043
El motor de evaluación
de vulnerabilidades
(vaded.pl) se ha
detenido o iniciado.
Monitor de
software
Receptor
Media
Adición de variable
306-23
Se ha agregado una
variable de directiva.
Monitor de
software
ESM
Baja
Eliminación de
variable
306-25
Se ha eliminado una
variable de directiva.
Monitor de
software
ESM
Baja
Cambio de variable
306-24
Ha cambiado una
variable de directiva.
Monitor de
software
ESM
Baja
El certificado del
servidor web ha
caducado
306-50084
El certificado del servidor Monitor de
web de ESM ha
software
caducado.
ESM
Alta
El certificado del
servidor web
caducará pronto
306-50083
El certificado del servidor Monitor de
web de ESM caducará
software
pronto.
ESM
Media
Alerta de recopilador
de Websense
306-50067
El recopilador de
Monitor de
Websense se ha detenido software
o iniciado.
Receptor
Media
Alerta de cambio de
estado del
recopilador de WMI
Event Log
306-50030
El recopilador de WMI se Monitor de
ha detenido o iniciado.
software
Receptor
Media
Véase también
Adición de alarmas de eventos del monitor de estado en la página 366
Adición de una alarma de Coincidencia de campo
Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando el
dispositivo recibe y analiza el evento.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Revise cómo utilizar los Elementos lógicos en la página 377.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
375
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a
continuación, haga clic en la ficha Condición.
4
En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma.
a
Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma.
b
Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la
página Agregar campo de filtro.
c
En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe
transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador
contiene el primer evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que
coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el
periodo correspondiente a la frecuencia de activación máxima.
Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma.
En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.
5
Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este
tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local,
combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM).
6
Haga clic en las fichas Acciones y Escalación a fin de definir la configuración.
7
Haga clic en Finalizar.
La alarma se escribirá en el dispositivo.
Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al
dispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas.
Véase también
Resumen personalizado para alarmas activadas y casos en la página 378
Elementos lógicos en la página 377
Página Editar elemento lógico en la página 376
Página Editar elemento lógico
Permite editar la configuración de un elemento lógico.
Tabla 6-3 Definiciones de opciones
Opción
Definición
Botones de opción Permiten cambiar el tipo de elemento lógico. Esto resulta útil si tiene una regla o
un componente con varias capas de elementos lógicos y se da cuenta de que uno
de los elementos situados al principio del diagrama lógico debería ser de otro
tipo.
condiciones
376
Seleccione el número de condiciones que se deben cumplir para un elemento SET
con más de una condición.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Tabla 6-3 Definiciones de opciones (continuación)
Opción
Definición
Secuencia
Indique si desea que las condiciones de los elementos lógicos AND o SET se
produzcan en la secuencia en que aparecen en el campo Lógica de correlación para
que se active la regla.
Umbral
Defina el número de veces que deben producirse las condiciones para que se
active la regla.
Período de tiempo
Defina el límite de tiempo en el que debe alcanzarse el umbral para que la regla
se active.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Elementos lógicos
Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla
de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.
Elemento Descripción
AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo
este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta
opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de
que se active una regla.
OR
Funciona igual que un operador lógico en un lenguaje informático. Solo una de las
condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición
sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una
de las condiciones.
SET En el caso de los componentes o las reglas de correlación, SET permite definir
condiciones y seleccionar el número de condiciones que deben ser verdaderas para que
se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del
conjunto para que se active la regla, la configuración será "2 de 3".
Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:
•
Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).
•
Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos
secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.
Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,
también se eliminan todos los elementos secundarios.
•
Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y
todos sus elementos secundarios de la jerarquía.
Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones
para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para
controlar el comportamiento de la regla o el componente cuando se ejecuten.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Edición de elementos lógicos en la página 547
McAfee Enterprise Security Manager 9.6.0
Guía del producto
377
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Resumen personalizado para alarmas activadas y casos
Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo
Coincidencia de campo y Coincidencia de evento interno.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas y, después, en Agregar.
3
En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno.
4
5
6
Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables
continuación, seleccione los campos que incluir en el resumen de caso.
y, a
Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables
y, a
continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma
activada.
Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Adición de una alarma a las reglas
Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible
agregar una alarma a esas reglas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
378
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas
barra de herramientas de acciones.
2
Seleccione el tipo de regla en el panel Tipos de regla.
3
Seleccione una o varias reglas en el área de visualización de reglas.
McAfee Enterprise Security Manager 9.6.0
situado en la
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
4
5
Haga clic en el icono Alarmas
.
Crear la alarma.
Creación de capturas SNMP a modo de acciones de alarma
Es posible enviar capturas SNMP a modo de acciones de alarma.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas
SNMP).
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.
a
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el
icono Propiedades
2
3
.
b
Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.
c
Rellene los campos restantes y haga clic en Aplicar.
Configure SNMP en el ESM.
a
En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.
b
Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil
agregado en el Paso 1.
c
Haga clic en Aplicar.
Defina una alarma con Captura SNMP como acción.
a
En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar.
b
Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione
Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones.
c
Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los
mensajes SNMP.
d
Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione una
plantilla existente o haga clic en Agregar para definir una plantilla nueva.
e
Vuelva a la página Configuración de alarma y continúe con la configuración.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
379
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Adición de una alarma de notificación sobre fallos de
alimentación
Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de
alimentación del ESM.
Antes de empezar
•
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
•
Configuración de una captura SNMP para la notificación de fallos de alimentación en la
página 272
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
.
2
Haga clic en Alarmas.
3
Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clic
en la ficha Condición.
4
En el campo Tipo, seleccione Coincidencia de evento interno.
5
En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).
6
Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clic
en Finalizar.
Se activará una alarma cuando falle una fuente de alimentación.
Administración de orígenes de datos no sincronizados
Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma que
pueda ver una lista de orígenes de datos, editar su configuración y exportar la lista.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasados
o futuros, lo cual puede provocar la aparición de una marca roja en el receptor.
380
McAfee Enterprise Security Manager 9.6.0
Guía del producto
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades
2
3
.
Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado
por un origen de datos que no está sincronizado con el ESM.
a
Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en
la ficha Condición.
b
Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe
comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe
existir para que se active la alarma.
c
Rellene la información en el resto de fichas.
Vea, edite o exporte los orígenes de datos que no están sincronizados.
a
En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono de
Propiedades.
b
Haga clic en Administración del receptor y seleccione Diferencia de tiempo.
Véase también
Orígenes de datos no sincronizados en la página 381
Página Diferencia de tiempo en la página 382
Orígenes de datos no sincronizados
Como resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder la
sincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece una
marca roja junto al receptor en el árbol de navegación del sistema.
Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puede
administrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véase
Administración de orígenes de datos no sincronizados).
Los eventos no sincronizados pueden ser eventos antiguos o futuros.
Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.
1
El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de
usuario).
2
La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un
origen de datos).
3
El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado.
4
Ha configurado el sistema de esa forma a propósito.
5
El sistema no está conectado a Internet.
6
El evento está desincronizado al llegar al receptor.
Véase también
Administración de orígenes de datos no sincronizados en la página 380
McAfee Enterprise Security Manager 9.6.0
Guía del producto
381
6
Flujo de trabajo de alarmas
Ajuste de alarmas
Página Diferencia de tiempo
Esta página permite administrar los orígenes de datos que generan eventos en los que la hora y la
última hora tienen una diferencia superior al intervalo establecido. Los eventos se comprueban con la
frecuencia establecida cuando se agrega una alarma de Diferencia de eventos.
Tabla 6-4 Definiciones de las opciones
Opción Definición
Tabla
Incluye los orígenes de datos, las direcciones IP o los nombres de host, el tipo de origen de
datos y la diferencia de tiempo correspondiente a los eventos.
Editar
Abre la página Editar origen de datos correspondiente al origen de datos seleccionado. Puede
cambiar la configuración de la zona horaria para que el origen de datos genere los eventos
con la hora correcta.
Exportar
Exporta la lista de la tabla.
Actualizar Actualiza la información de la tabla para reflejar los cambios recientes.
Intervalo
Determina la antigüedad para el análisis de eventos de la base de datos.
Véase también
Administración de orígenes de datos no sincronizados en la página 380
382
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos
y flujos, además de conservar esta información disponible para fines de consulta, análisis forense,
validación de reglas y conformidad.
Contenido
Eventos, flujos y registros
Administración de informes
Descripción de los filtros contains y regex
Uso de las vistas de ESM
Filtros de tipos personalizados
Búsquedas de McAfee Active Response
Visualización de la hora del evento
®
Eventos, flujos y registros
Los eventos, flujos y registros recopilan distintos tipos de actividades que se producen en un
dispositivo.
Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un
flujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cuales
al menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que se
produce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen y
destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo
entre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre los
eventos y los flujos:
•
Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes
que los eventos.
•
Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.
•
Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.
•
Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de
origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes
transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número
de bytes y paquetes transmitidos por el destino del flujo.
•
Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red
HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una
directiva para un dispositivo Nitro IPS.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
383
7
Uso de los eventos
Eventos, flujos y registros
Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se
seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema
o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada
dispositivo.
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Configuración de descargas de eventos, flujos y registros
Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el
dispositivo de forma que lo haga automáticamente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.
3
Configure las descargas y haga clic en Aplicar.
Véase también
Eventos, flujos y registros en la página 383
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Eventos, flujos y registros en la página 384
Página Eventos, flujos y registros
Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y
Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con
eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM
trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo
seleccionado.
Tabla 7-1 Definiciones de opciones
384
Opción
Definición
Actualizar automáticamente
reglas
Si el ESM descarga automáticamente las reglas del servidor de reglas,
seleccione esta opción en caso de que desee que las reglas descargadas se
desplieguen en el dispositivo.
Descargar automáticamente...
Seleccione alguna de estas opciones si desea que el ESM compruebe la
existencia de eventos, flujos o registros de forma automática.
Obtener...
Haga clic en esta opción si desea que el ESM busque eventos, flujos o
registros de inmediato. Para ver el estado de estos trabajos, véase Obtener
eventos y flujos.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Tabla 7-1 Definiciones de opciones (continuación)
Opción
Definición
Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de
extracción de datos diario
forma que el ESM extraiga datos de cada dispositivo y envíe los datos al
ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de
datos).
Tenga cuidado al configurar esta función, ya que la planificación de la
recopilación de eventos, flujos y registros puede acarrear una fuga de
datos.
Generar eventos de
vulnerabilidad
Seleccione esta opción para que los eventos que coincidan con los datos de
origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de
eventos o Proceso de última
descarga de flujos
Permiten ver la última vez que se han recuperado eventos o flujos del
dispositivo, si el proceso ha sido correcto o no y el número de eventos o
flujos recuperados.
Último registro de eventos
descargado, Último registro de
cadena descargado o Último
registro de flujos descargado
Permiten ver la fecha y la hora del último registro de evento, cadena o
flujo descargado. Si cambia este valor, es posible establecer la fecha y la
hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad
Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización
Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Agregación de eventos o flujos en la página 391
Limitación del tiempo de recopilación de datos
Puede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos de
cada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo.
Antes de empezar
Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos
(véase Cambio de la configuración de agregación de eventos o flujos).
Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho
de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al
ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
385
7
Uso de los eventos
Eventos, flujos y registros
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y
registros puede acarrear una fuga de datos.
1
En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el
icono Propiedades
2
3
.
Seleccione una de las siguientes opciones:
•
Eventos, flujos y registros
•
Eventos y registros
•
Registros
Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de
inicio y finalización del intervalo de tiempo.
El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo
de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM
del ELM y cuándo envía los datos el ESM al ELM para su registro.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Definición de la configuración de umbral de inactividad
Cuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no se
generan eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece un
indicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
386
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté
seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros.
2
Haga clic en Configuración de inactividad.
3
Resalte el dispositivo y haga clic en Editar.
4
Realice cambios en la configuración y después haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Umbral de inactividad en la página 387
Página Editar umbral de inactividad en la página 387
Página Umbral de inactividad
Permite definir el umbral de inactividad de los dispositivos, de manera que se le notifique cuando un
dispositivo no reciba eventos o flujos durante el periodo de tiempo especificado.
Tabla 7-2 Definiciones de opciones
Opción
Definición
Columna Dispositivo Incluye todos los dispositivos del sistema.
Columna Umbral
Muestra el umbral de cada dispositivo.
Columna Heredar
Muestra si un dispositivo secundario hereda la configuración de umbral del
elemento principal. Seleccione esta opción o anule su selección para cambiar la
configuración.
Editar
Abre la página Editar umbral de inactividad para poder cambiar la configuración de
umbral.
Véase también
Definición de la configuración de umbral de inactividad en la página 386
Página Editar umbral de inactividad
Permite editar la configuración de umbral para el dispositivo seleccionado en la página Umbral de
inactividad. Si se establece en cero (0), el dispositivo no tendrá un umbral de inactividad.
Véase también
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos
Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del
sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic
en el icono Obtener eventos y flujos
2
en la barra de herramientas de acciones.
En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,
haga clic en Iniciar.
El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detalles
sobre los dispositivos resaltados en la tabla superior.
3
Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,
haga clic en el icono Actualizar vista actual
McAfee Enterprise Security Manager 9.6.0
en la barra de herramientas de vistas.
Guía del producto
387
7
Uso de los eventos
Eventos, flujos y registros
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Obtener eventos y flujos en la página 388
Página Obtener eventos y flujos
Permite recuperar manualmente eventos y flujos de los dispositivos seleccionados.
Tabla 7-3 Definiciones de opciones
Opción
Definición
Minimizar la página Obtener eventos y flujos mientras se siguen recuperando los
eventos o flujos.
TABLA SUPERIOR
Columna Nombre de
dispositivo
Ver los dispositivos para los que se pueden recuperar eventos o flujos según lo
seleccionado en el árbol de navegación del sistema. Puede seleccionar uno o
varios de estos dispositivos a fin de ver los detalles en la tabla inferior.
Columna Eventos
Seleccionar los dispositivos para los que desee recuperar eventos.
Columna Flujos
Seleccionar los dispositivos para los que desee recuperar flujos.
Columna Estado
Ver el estado de la recuperación una vez iniciada. Incluye el número de
trabajos de inserción y obtención en ejecución para un dispositivo, así como el
último trabajo de obtención ejecutado mientras la ventana estaba abierta. Se
actualiza cada dos segundos.
Iniciar
Haga clic en esta opción para iniciar la recuperación. Se debe seleccionar una
casilla de verificación como mínimo para que esta opción esté activa.
Cancelar
Cancelar el proceso una vez iniciado. El proceso se detiene cuando finaliza la
operación en curso.
TABLA INFERIOR
Columna Nombre de
dispositivo
Ver los nombres de los dispositivos seleccionados en la tabla superior.
Columna Operación
Ver la operación realizada en el dispositivo en ese momento.
Columna Hora de inicio
Ver la hora de creación del trabajo, que no es necesariamente la hora en que
se empezó a procesar en el ESM.
Columna Estado
Ver el estado del trabajo.
Actualizar
Actualizar la tabla. Se actualiza automáticamente cada cinco segundos.
Véase también
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros
Es posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de forma
automática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividad
del sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puede
especificar qué dispositivos deben buscar cada tipo de información y establecer la configuración de
umbral de inactividad para los dispositivos administrados por el ESM.
388
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y
registros.
2
Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.
3
Haga clic en Aceptar.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Definición de la configuración de geolocalización y ASN en la página 390
Página Eventos, flujos y registros en la página 389
Página Dispositivos en la página 389
Página Eventos, flujos y registros
Permite definir la configuración de eventos, flujos y registros.
Tabla 7-4 Definiciones de opciones
Opción
Definición
Intervalo de comprobación
automática
Seleccione esta opción si desea que el sistema compruebe la existencia de
eventos, flujos y registros automáticamente. Defina la frecuencia que
desee para ello.
Comprobar ahora
Permite buscar eventos, flujos y registros inmediatamente.
Mostrar dispositivos
Seleccione la configuración de descarga automática de eventos, flujos y
registros para cada dispositivo.
Configuración de inactividad
Si desea que se le notifique cuando un dispositivo no genere eventos o
flujos durante un periodo de tiempo, seleccione esta opción, resalte el
dispositivo y haga clic en Editar.
Véase también
Comprobación de eventos, flujos y registros en la página 388
Página Dispositivos
Permite establecer la configuración de recuperación de eventos, flujos y registros de cada dispositivo
del sistema.
Tabla 7-5 Definiciones de opciones
Opción
Definición
Columna Nombre de dispositivo Incluye todos los dispositivos del sistema.
Columna Eventos
Seleccione los dispositivos que desee que descarguen eventos
automáticamente.
Columna Flujos
Seleccione los dispositivos que desee que descarguen flujos
automáticamente.
Columna Registros
Seleccione los dispositivos que desee que descarguen registros
automáticamente.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
389
7
Uso de los eventos
Eventos, flujos y registros
Véase también
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN
La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El
número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que
identifica de forma exclusiva cada una de las redes de Internet.
Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible
recopilar datos de geolocalización de origen y destino para los eventos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.
3
Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.
Es posible filtrar los datos de eventos mediante esta información.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Página Configuración de geolocalización en la página 390
Página Configuración de geolocalización
Permite configurar el dispositivo para almacenar datos de geolocalización o de ASN.
Tabla 7-6 Definiciones de opciones
Opción
Definición
Recopilar datos de geolocalización Si desea recopilar datos de geolocalización para eventos o flujos,
seleccione esta opción.
Datos de origen, Datos de destino Si ha seleccionado Recopilar datos de geolocalización, seleccione si desea
recopilar ambos tipos o solo uno de ellos.
Recopilar datos ASN
Si desea recopilar datos de ASN para eventos o flujos, seleccione esta
opción.
Datos de origen, Datos de destino Si ha seleccionado Recopilar datos ASN, indique si desea recopilar ambos
tipos o solo uno de ellos.
Desactivado
Seleccione esta opción si desea detener la recopilación de datos de
geolocalización o ASN para eventos o flujos.
Actualizar
Permite volver a la configuración de dispositivo actual.
Véase también
Definición de la configuración de geolocalización y ASN en la página 390
390
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Eventos, flujos y registros
7
Agregación de eventos o flujos
Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar
miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o
flujo con un recuento que indica el número de veces que se ha producido.
El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como
en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a
las reglas para las cuales se haya activado la agregación en el Editor de directivas.
Dirección IP de destino origen y destino
Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como
"::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:
•
::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).
•
::0000:10.0.12.7 sería 10.0.12.7.
Eventos y flujos agregados
Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la
duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los
primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de
la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última
instancia del evento) y el campo Total contiene el valor 30.
Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en
el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas
individuales (véase Administración de las excepciones de agregación de eventos).
La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza
la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera
registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se
configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera
vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un
máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si
el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la
compresión en ese registro nuevo.
Véase también
Cambio de la configuración de agregación de eventos o flujos en la página 393
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos en la página 395
Página Eventos, flujos y registros en la página 384
Página Eventos, flujos y registros
Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y
Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con
eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM
McAfee Enterprise Security Manager 9.6.0
Guía del producto
391
7
Uso de los eventos
Eventos, flujos y registros
trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo
seleccionado.
Tabla 7-7 Definiciones de opciones
Opción
Definición
Actualizar automáticamente
reglas
Si el ESM descarga automáticamente las reglas del servidor de reglas,
seleccione esta opción en caso de que desee que las reglas descargadas se
desplieguen en el dispositivo.
Descargar automáticamente...
Seleccione alguna de estas opciones si desea que el ESM compruebe la
existencia de eventos, flujos o registros de forma automática.
Obtener...
Haga clic en esta opción si desea que el ESM busque eventos, flujos o
registros de inmediato. Para ver el estado de estos trabajos, véase Obtener
eventos y flujos.
Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de
extracción de datos diario
forma que el ESM extraiga datos de cada dispositivo y envíe los datos al
ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de
datos).
Tenga cuidado al configurar esta función, ya que la planificación de la
recopilación de eventos, flujos y registros puede acarrear una fuga de
datos.
Generar eventos de
vulnerabilidad
Seleccione esta opción para que los eventos que coincidan con los datos de
origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de
eventos o Proceso de última
descarga de flujos
Permiten ver la última vez que se han recuperado eventos o flujos del
dispositivo, si el proceso ha sido correcto o no y el número de eventos o
flujos recuperados.
Último registro de eventos
descargado, Último registro de
cadena descargado o Último
registro de flujos descargado
Permiten ver la fecha y la hora del último registro de evento, cadena o
flujo descargado. Si cambia este valor, es posible establecer la fecha y la
hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad
Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización
Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Agregación de eventos o flujos en la página 391
392
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Cambio de la configuración de agregación de eventos o flujos
La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es
posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se
describe en la página Agregación.
Antes de empezar
Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o
Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.
La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras
que la agregación de flujos lo está en los receptores y los dispositivos IPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Agregación de eventos o Agregación de flujos.
3
Defina la configuración y haga clic en Aceptar.
Véase también
Agregación de eventos o flujos en la página 391
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos en la página 395
Página Agregación de eventos/flujos en la página 393
Página Agregación de eventos/flujos
Permite agregar grupos de eventos o flujos idénticos o similares a un único registro con el fin de
ahorrar espacio.
Tabla 7-8 Definiciones de opciones
Opción
Definición
Actualizar
Permite leer la configuración de agregación actual del dispositivo y utilizar la tasa
de agregación correspondiente.
Usar agregación
dinámica
Permite aumentar el rendimiento de las inserciones en el ESM. Si se selecciona,
reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración
de la agregación correspondiente a Nivel 2 y Nivel 3. Recuperará registros de
acuerdo con la configuración de recuperación de Eventos, flujos y registros. Si se
configura para la recuperación automática, el dispositivo solo comprimirá un
registro hasta la primera vez que el ESM lo extraiga. Si se configura para la
recuperación manual, un registro se comprimirá un máximo de 24 horas o hasta
que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo
de compresión alcanza el límite de 24 horas, se extraerá un nuevo registro y se
iniciará la compresión en ese registro nuevo.
Control deslizante Haga clic en la flecha indicadora y arrástrela hasta la posición que desee. La
descripción de cada nivel cambia para reflejar la configuración seleccionada.
Opción
Cuando la opción Usar agregación dinámica no esté seleccionada, establezca el primer
Personalizado del
y el segundo valor de nivel 1. Antes de planificar la recopilación de eventos, flujos
control deslizante y registros (véase Limitación del tiempo de recopilación de datos), el primer valor
se debe establecer entre 240 y 360 minutos.
Aplicar
Permite actualizar el dispositivo con todas las opciones de configuración de esta
pantalla.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
393
7
Uso de los eventos
Eventos, flujos y registros
Tabla 7-8 Definiciones de opciones (continuación)
Opción
Definición
Ver (solo eventos) Permite acceder a la página Excepciones de agregación de eventos (véase Adición de
excepciones a la configuración de agregación de eventos).
Puertos (solo
flujos)
Configure los valores de agregación de puertos de flujos que sean necesarios
(véase Configuración de los valores de agregación de los puertos de flujos).
Véase también
Cambio de la configuración de agregación de eventos o flujos en la página 393
Administración de las excepciones de agregación de eventos en la página 395
Adición de excepciones a la configuración de agregación de eventos
La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible
crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos
generados por una regla.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
3
En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la
excepción.
Haga clic en el icono Menú
y seleccione Modificar configuración de agregación.
Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo
3.
Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.
Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para
reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración
de agregación de eventos definida para el dispositivo.
4
Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.
5
Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.
6
Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.
La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.
Véase también
Agregación de eventos o flujos en la página 391
Cambio de la configuración de agregación de eventos o flujos en la página 393
Administración de las excepciones de agregación de eventos en la página 395
Página Excepciones de agregación de eventos en la página 395
Página Desplegar para excepciones de agregación en la página 395
394
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Página Excepciones de agregación de eventos
Las excepciones de agregación de eventos se establecen en la vista Análisis de eventos. La página
Excepciones de agregación de eventos permite cambiar la configuración o quitar una excepción.
Tabla 7-9 Definiciones de opciones
Opción
Definición
Editar
Permite realizar cambios en la excepción seleccionada.
Quitar
Eliminar la excepción seleccionada.
Desplegar
Desplegar los cambios en el dispositivo.
Véase también
Adición de excepciones a la configuración de agregación de eventos en la página 394
Página Desplegar para excepciones de agregación
Permite desplegar cualquier cambio realizado en las excepciones de agregación.
Tabla 7-10 Definiciones de opciones
Opción
Definición
Columna Dispositivo
Ver los dispositivos del sistema.
Segunda columna
Seleccione los dispositivos en los que desee desplegar los cambios.
Columna Estado
Permite ver el estado del despliegue en cada dispositivo.
Véase también
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos
Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También
cabe la posibilidad de editar o eliminar una excepción.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
.
2
Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.
3
Realice los cambios necesarios y haga clic en Cerrar.
Véase también
Agregación de eventos o flujos en la página 391
Cambio de la configuración de agregación de eventos o flujos en la página 393
Adición de excepciones a la configuración de agregación de eventos en la página 394
Página Agregación de eventos/flujos en la página 393
Configuración del reenvío de eventos
El reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediante
syslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir el
McAfee Enterprise Security Manager 9.6.0
Guía del producto
395
7
Uso de los eventos
Eventos, flujos y registros
paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren
antes de su reenvío.
Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de
registros firmados digitalmente de cada uno de los dispositivos del entorno.
Véase también
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Configuración del reenvío de eventos
Es posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a un
servidor syslog o SNMP.
El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de
eventos recuperados por el ESM, puede afectar al rendimiento global de ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar.
3
Si ha seleccionado agregar o editar un destino, defina su configuración.
4
Haga clic en Aplicar o en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Página Reenvío de eventos en la página 396
Página Reenvío de eventos
Permite configurar las opciones de reenvío de eventos para poder reenviar datos de eventos a syslog.
Tabla 7-11 Definiciones de opciones
Opción
Definición
Destinos de reenvío de eventos Ver los destinos que ya se han agregado al sistema.
396
Agregar
Agregar un nuevo destino al sistema.
Editar
Cambiar la configuración del destino seleccionado.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Tabla 7-11 Definiciones de opciones (continuación)
Opción
Definición
Quitar
Eliminar un destino del sistema.
Configuración
Especificar la configuración que se aplica a todos los destinos de reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos
Es posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a un
servidor syslog o SNMP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
Haga clic en Agregar y rellene la información solicitada.
3
Haga clic en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Página Agregar destino de reenvío de eventos en la página 397
Página Agregar destino de reenvío de eventos
Permite agregar un nuevo destino de reenvío de eventos al ESM.
Tabla 7-12 Definiciones de opciones
Opción
Definición
Nombre
Introduzca un nombre para este destino.
Activado
Seleccione esta opción para activar el reenvío de eventos a este destino.
Usar perfil del sistema
Seleccione esta opción si desea usar un perfil existente; después, seleccione un
perfil en la lista desplegable o haga clic en Usar perfil del sistema a fin de agregar un
perfil nuevo.
Formato
Seleccione el formato en la lista desplegable. Véase Agentes de reenvío de
eventos para obtener una lista detallada de los agentes y la información
contenidos en los paquetes.
Dirección IP de destino Escriba la dirección IP de destino de syslog.
Puerto de destino
Seleccione el puerto de destino en el que escucha syslog.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
397
7
Uso de los eventos
Eventos, flujos y registros
Tabla 7-12 Definiciones de opciones (continuación)
Opción
Definición
Protocolo
Elija entre los protocolos de transporte UDP y TCP. UDP es el estándar de
protocolo en el que se basa syslog. Los paquetes enviados a través de syslog
mediante TCP tienen exactamente el mismo formato que sus homólogos UDP,
incluidos la función, la gravedad y el mensaje; la única excepción es un carácter
de nueva línea (código de carácter ASCII 10) al final del mensaje.
Al contrario que en el caso de UDP, que es un protocolo sin conexión, se debe
establecer una conexión TCP entre el ESM y el servidor que escucha los eventos
reenviados. Si no se puede establecer una conexión o la conexión se interrumpe,
el ESM rastrea el último evento reenviado correctamente e intenta establecer la
conexión de nuevo tras unos minutos. Una vez restablecida la conexión, el ESM
reanuda el reenvío de eventos donde se detuvo.
Si selecciona UDP, no podrá seleccionar SSH o TLS en el campo Modo.
Función
Seleccione la función de los paquetes de syslog.
Gravedad
Seleccione la gravedad de los paquetes de syslog.
Formato de hora
Seleccione el formato de hora para el encabezado del reenvío de eventos de
syslog. Si selecciona Heredado, el formato será el mismo que era en las versiones
anteriores a la 9.3.0, que correspondía a GMT. Si selecciona Estándar, podrá
seleccionar una zona horaria.
Zona horaria
Si ha seleccionado Estándar, seleccione la zona horaria que se usará al enviar
registros de reenvío de eventos.
Ocultar datos
Seleccione esta opción si desea enmascarar los datos seleccionados incluidos en
los datos reenviados a este destino. Para seleccionar los datos, haga clic en
Configurar.
Enviar paquete
Si tiene la directiva configurada para copiar un paquete, seleccione esta opción en
caso de que desee reenviar la información sobre el paquete. Esta información se
incluye, si el paquete está disponible, al final del mensaje de syslog con
codificación Base 64.
Filtros de evento
Haga clic aquí para aplicar filtros a los datos de evento reenviados a syslog.
Modo
Seleccione el modo de seguridad para el mensaje. Si selecciona SSH, rellene la
información restante. Si elige utilizar syslog mediante TCP (protocolo), indique si
desea realizar la conexión TCP a través de SSH o TLS. Ya que syslog es un
protocolo sin cifrar, el uso de SSH o TLS evita que otras personas puedan
examinar sus mensajes de reenvío de eventos. Si utiliza el modo FIPS, puede
reenviar datos de registro mediante TLS.
Puerto local de
retransmisión
Escriba el puerto que se utilizará en el lado del ESM de la conexión SSH.
Puerto SSH remoto
Escriba el puerto en el que escucha el servidor SSH al otro lado de la conexión
SSH.
Nombre de usuario
SSH
Escriba el nombre de usuario de SSH utilizado para establecer la conexión SSH.
Clave DSA SSH
Escriba la clave de autenticación DSA pública empleada para la autenticación
SSH. El contenido de este campo se agregará al archivo authorized_keys (o
equivalente) en el equipo donde se ejecute el servidor SSH.
Véase también
Adición de destinos de reenvío de eventos en la página 397
Página Filtros de evento en la página 402
Página Filtrar informe en la página 402
398
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Eventos, flujos y registros
Agentes de reenvío de eventos
Estos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se
reenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos.
Agente
Contenido
Syslog
(McAfee
9.2)
ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de
agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3,
Valor de agregación 3.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el
usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido
por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog
(McAfee
8.2)
ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog
(Nitro)
ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto
de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual
(VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la
conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez
(en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento,
Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID
de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64).
Syslog
"McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre
(ArcSight) de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez,
Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de
eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo,
Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo),
ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el
evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de
origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64).
McAfee Enterprise Security Manager 9.6.0
Guía del producto
399
7
Uso de los eventos
Eventos, flujos y registros
Agente
Contenido
Syslog
(Snort)
snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName],
[Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP de
destino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del
paquete tiene la codificación Base 64).
Syslog
(registros
de
auditoría)
Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de
categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0
y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de
registro.
Syslog
(formato
de evento
común)
Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto =
modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/
buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor,
dirección convertida de dispositivo.
Syslog
(formato
de evento
estándar)
<#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:
{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
"subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
Véase también
Configuración del reenvío de eventos en la página 395
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Activación o desactivación del reenvío de eventos
Es posible activar o desactivar el reenvío de eventos en el ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
400
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección.
3
Haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Eventos, flujos y registros
7
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Modificación de la configuración de todos los destinos de reenvío de
eventos
Cabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de una
vez.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
Haga clic en Configuración y establezca las opciones.
3
Haga clic en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Adición de filtros de reenvío de eventos
Es posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP
en el ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
Haga clic en Agregar y, después, en Filtros de evento.
3
Rellene los campos de filtrado y haga clic en Aceptar.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
401
7
Uso de los eventos
Eventos, flujos y registros
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Página Filtros de evento
Permite agregar valores para filtrar los datos de eventos reenviados a un servidor syslog.
Tabla 7-13 Definiciones de opciones
Opción
Definición
Dispositivo
Haga clic en el icono de filtrado
clic en Aceptar.
IP de destino
Escriba una dirección IP de destino individual (161.122.15.13) o un intervalo de
direcciones IP (192.168.0.0/16) por los que filtrar.
Puerto de destino
Escriba el puerto de filtrado; solo se permite uno.
Protocolo
Escriba el protocolo de filtrado; solo se permite uno.
IP de origen
Escriba la dirección IP de origen individual o un intervalo de direcciones IP por los
que filtrar.
, seleccione el dispositivo por el que filtrar y haga
Tipo de dispositivo Haga clic en el icono de filtrado, seleccione un máximo de 10 tipos de dispositivo y
haga clic en Aceptar.
ID normalizado
Seleccione los ID normalizados para el filtrado (véase Normalización).
Gravedad
Para filtrar por la gravedad de un evento, seleccione Mayor o igual que y un número de
gravedad entre 0 y 100.
Véase también
Página Agregar destino de reenvío de eventos en la página 397
Página Filtrar informe
Permite filtrar los datos de evento generados por el receptor de forma que el Visor de transmisiones
muestre los datos que se desea ver. Los campos se describen en la parte inferior de la página cuando
se seleccionan.
Véase también
Página Agregar destino de reenvío de eventos en la página 397
Edición de la configuración de filtrado de reenvío de eventos
Es posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada.
Antes de empezar
Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos
del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de
usuarios.
402
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Eventos, flujos y registros
7
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2
Haga clic en Editar y, después, haga clic en Filtros de evento.
3
Realice los cambios y haga clic en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Envío y reenvío de eventos con el formato de eventos estándar
El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos
JavaScript (JSON) que permite representar datos de eventos genéricos.
El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde el
ESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a un
receptor, mediante la selección de SEF como formato de datos al crear el origen de datos.
Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a
cabo estos cuatro pasos:
1
Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM
que reenvía los eventos.
— Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Exportar.
— Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de
reglas.
2
En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos
personalizados y las reglas personalizadas que acaba de exportar.
— Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Importar.
— Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de
reglas.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
403
7
Uso de los eventos
Administración de informes
3
En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.
— En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar
el origen de datos y, después, haga clic en el icono Agregar origen de datos
.
— En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y,
después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos.
— Rellene la información solicitada y haga clic en Aceptar.
4
Agregue el destino de reenvío de eventos en el ESM que realiza el envío.
— Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades
.
— Haga clic en Reenvío de eventos y, después, en Agregar.
— En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el
campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del
reenvío y haga clic en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Administración de informes
Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un
informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.
Informes predefinidos
Los informes predefinidos se dividen en las siguientes categorías:
•
Conformidad
•
McAfee Database Activity Monitoring (DAM)
•
Ejecutivo
•
McAfee DEM
•
McAfee ADM
•
McAfee Event Reporter
Estos informes generan datos basados en los eventos.
Informes definidos por el usuario
Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección
de la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden
incluir componentes y configurarlos para que muestren los datos de la forma deseada.
Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un
informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno
existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe
cuando ya no es necesario.
404
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Administración de informes
7
Véase también
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Establecimiento del mes de inicio para los informes
trimestrales
Si ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido y
almacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta
fecha de inicio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.
2
En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes.
3
Haga clic en Aplicar para guardar la configuración.
Véase también
Administración de informes en la página 404
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Adición de un informe
Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos
definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño
de informe existente o crear uno nuevo mediante el editor Diseño del informe.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
2
Haga clic en Agregar y defina la configuración en la página Agregar informe.
3
Haga clic en Guardar.
El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo
Condición.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
405
7
Uso de los eventos
Administración de informes
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Informes en la página 406
Página Agregar informe en la página 406
Página Informes
Permite administrar los informes predefinidos y definidos por el usuario en el ESM.
Tabla 7-14 Definiciones de opciones
Opción
Definición
Tabla Informes
Ver los informes que hay actualmente configurados en el ESM.
Agregar
Definir la configuración de un informe nuevo y agregarlo al ESM.
Editar
Cambiar la configuración de un informe existente.
Quitar
Eliminar un informe existente del ESM.
Ejecutar ahora
Ejecutar el informe seleccionado en ese momento.
Compartir
Comparta los informes seleccionados con los grupos o usuarios de su
elección.
Importar
Importar informes que se han exportado previamente.
Exportar
Exportar informes.
Activado
Activar el informe seleccionado en la tabla.
Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, no
se generará ningún informe de la lista.
Condiciones
Administrar los tipos de condiciones disponibles para los informes.
Destinatarios
Administrar los destinatarios definidos en el ESM.
Ver
Ver los informes que hay en cola a la espera de ejecución y cancelarlos si
procede.
Archivos
Administrar los archivos de informes generados.
Véase también
Adición de un informe en la página 405
Página Agregar informe
Permite definir la configuración de un informe.
Tabla 7-15 Definiciones de opciones
406
Opción
Definición
Nombre del informe
Escriba un nombre para el informe.
Descripción
Escriba una descripción de la información que genera el informe.
Condición
Seleccione esta opción si desea que el informe se ejecute desde la lista de
opciones. Si desea agregar una condición a la lista de opciones, haga clic en Editar
condiciones.
Zona horaria
Seleccione la zona horaria que se debe emplear para ejecutar las consultas.
Formato de fecha
Seleccione el formato que se debe usar para la fecha.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Administración de informes
Tabla 7-15 Definiciones de opciones (continuación)
Opción
Definición
Formato
Seleccione el formato que desea que tenga el informe generado.
• Si está diseñando un informe nuevo, las opciones son PDF o HTML.
• Si desea incluir una vista en el informe, seleccione Ver PDF.
• Si desea generar un archivo CSV con los resultados de la consulta, seleccione
Consulta en CSV.
Mensaje de correo
electrónico enviado a
usuarios y grupos
Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y,
después, haga clic en Agregar destinatario para seleccionarlos. Si el formato del
informe es Informe en HTML o Consulta en CSV, indique si desea que el informe se envíe
como datos adjuntos en el mensaje de correo electrónico o directamente.
Archivo guardado en
el ESM
Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra el
prefijo predeterminado para el nombre del archivo, el cual se puede cambiar.
Una vez generado el archivo, haga clic en Archivos en la página Informes para ver el
informe.
Archivo guardado en
ubicación remota
Permite guardar el informe en una ubicación remota. Seleccione la ubicación en la
lista desplegable. Si no aparece, haga clic en administrar ubicaciones y agregue el
perfil de ubicación remota.
Elija un diseño
existente o cree uno
nuevo
Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o cree
otro nuevo. Es posible administrar los diseños.
• Elija un diseño existente: localice el diseño en la lista y haga clic en él.
• Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseño
nuevo.
• Editar: realice cambios en un diseño existente.
• Agregar carpeta: permite agregar una carpeta para organizar los diseños. A
continuación cabe la posibilidad de agregar un diseño nuevo a la carpeta,
arrastrar y soltar un diseño existente en la carpeta o agregar una subcarpeta.
• Importar: a fin de importar un diseño, haga clic en esta opción y busque el
archivo que desee importar.
Si el diseño que va a importar incluye una imagen que se encuentra
actualmente en el ESM, se abrirá Importar diseños de informe para informarle del
conflicto y ofrecerle las opciones siguientes:
• Mantener local: mantiene la imagen en el ESM y elimina la imagen del diseño de
informe. Se empleará la imagen del ESM para el diseño.
• Reemplazar local: sustituye la imagen del ESM por la imagen del diseño de
informe. Cualquier diseño que utilice la imagen eliminada del ESM pasará a
usar la imagen importada con el diseño.
• Cambiar nombre: cambia el nombre de la imagen del diseño de informe
automáticamente y el diseño se importa mediante la imagen con el nombre
nuevo.
• Exportar: haga clic aquí para exportar diseños.
• Incluir resumen de filtro en informe: permite incluir un resumen de los filtros de
componentes globales e individuales definidos para este informe. Los filtros
empleados se indican en la parte inferior del informe. Esto resulta útil si desea
conocer los límites definidos para los datos del informe.
Elija una vista
Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir en
el informe en la lista desplegable.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
407
7
Uso de los eventos
Administración de informes
Tabla 7-15 Definiciones de opciones (continuación)
Opción
Definición
Elija una consulta
predefinida
Si ha seleccionado Consulta en CSV, seleccione la consulta predefinida.
Introduzca los valores
a fin de filtrar
Seleccione los filtros que desee aplicar a todos los componentes de este informe
(véase Página Filtros de consulta). Puede utilizar los filtros contains y regex en
estos campos (véase Descripción de los filtros contains y regex).
Véase también
Adición de un informe en la página 405
Adición de un diseño de informe
Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
2
Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.
3
En la sección 4, seleccione Informe en PDF o Informe en HTML.
4
En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.
5
Configure el diseño a fin de mostrar los datos generados por el informe.
El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Editor Diseño del informe en la página 408
Editor Diseño del informe
Permite agregar o editar un diseño de informe. Posteriormente, se puede utilizar al configurar un
informe.
Tabla 7-16 Definiciones de opciones
Opción
Definición
Deslice el indicador a un lado u otro para ajustar el tamaño de
la página del editor.
Seleccione esta opción para que la anchura de la página del
editor coincida con la de la página.
408
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Administración de informes
Tabla 7-16 Definiciones de opciones (continuación)
Opción
Definición
Propiedades de documento
Defina la configuración de formato básica para el diseño.
• Nombre y Descripción: escriba un nombre para el diseño y una
descripción de sus funciones. El nombre es obligatorio.
• Orientación: indique si desea que la página tenga orientación
horizontal o vertical a la hora de imprimir el informe.
• Tamaño: el tamaño predeterminado de la página de informe es
8,5 x 11. Para cambiarlo, seleccione el tamaño correcto en la
lista desplegable. El cambio se reflejará en la página del
editor.
• Fuente predeterminada: seleccione el tipo de fuente, el tamaño y
el color del texto del informe. Al hacer el cambio, este se
refleja en el texto de la página del editor. También puede
indicar si desea que el texto esté en negrita, en cursiva,
subrayado, centrado o alineado a la derecha de la página.
• Margen: seleccione el margen de los bordes del informe.
• Encabezado y pie de página: indique si desea que el informe tenga
encabezado y pie de página.
Propiedades de encabezado
Haga clic en el área de encabezado de la página del editor y,
después, haga lo siguiente en la sección Propiedades de encabezado.
• Fuente de nombre de informe: seleccione la fuente que desee
utilizar para el nombre del diseño en el encabezado.
• Elementos incluidos: seleccione los elementos que desee incluir
en el encabezado. Si cambia la fuente de estos elementos,
acceda a Propiedades de documento.
• Logotipo: indique si desea que aparezca un logotipo en el
encabezado. De ser así, indique si desea que se encuentre a
la derecha o a la izquierda del encabezado, y haga clic en el
vínculo situado en el campo Archivo para seleccionar una
imagen.
Propiedades de pie de página
Haga clic en el área del pie de la página del editor. En la sección
Propiedades de pie de página, seleccione los elementos que desee
incluir.
Guardar
Haga clic aquí para guardar el diseño. Se le notificará si queda
alguna opción requerida sin definir.
Guardar como
Permite guardar el diseño con un nombre de archivo nuevo.
Copiar
Haga clic aquí para copiar el componente seleccionado en el
diseño. En la parte izquierda se agregará el icono de un
portapapeles que indica el tipo de componente copiado.
Posteriormente, se puede pegar de dos formas:
• Arrastre y suelte el icono en la ubicación donde desee
agregar el componente.
• Resalte un componente en el diseño y haga clic en Pegar. El
componente copiado se inserta debajo del componente
resaltado.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
409
7
Uso de los eventos
Administración de informes
Tabla 7-16 Definiciones de opciones (continuación)
Opción
Definición
Propiedades de componentes
Arrastre y suelte componentes de Texto, Imagen, Tabla, Gráfico de
barras, Gráfico circular o Gráfico de distribución en la página del editor y
defina su configuración como sigue.
• Asistente de consultas: defina la consulta para el componente
seleccionado.
• Fuente: defina el tipo de fuente, el tamaño y el color del texto;
indique si se le debe aplicar negrita, cursiva o subrayado; por
último, indique si desea que se justifique a la izquierda, el
centro o la derecha.
• Imagen: seleccione la imagen en la página Selector de imagen.
• Título: cambie el título si procede, establezca la fuente y
seleccione su justificación.
• Consulta: realice cambios en la consulta si procede y
seleccione el número máximo de resultados que se mostrarán
en la tabla. En un componente de Tabla, Gráfico de barras o Gráfico
circular, seleccione Resolver direcciones IP como nombres de host si
desea que el informe utilice la resolución de DNS para las
direcciones IP de origen y destino.
• Encabezado de tabla: establezca la fuente para la fila de
encabezado de la tabla.
• Tabla: establezca la fuente para los datos de la tabla.
• Borde: indique si desea que aparezca un borde alrededor del
cuadro de texto, la imagen o la tabla y, de ser así, el grosor y
el color.
• Colores de filas alternativos: si desea que las filas alternativas de
una tabla tengan un color distinto, seleccione ambos colores.
• Columnas: defina los nombres y el formato de cada columna de
la tabla.
• Configuración de subtotal: indique si desea que aparezcan los
subtotales en la tabla.
• Otro: en el caso de un gráfico circular, indique si desea que
aparezcan etiquetas y una leyenda.
• Para ajustar el tamaño de un componente, haga clic en el
componente en la página del editor, haga clic en uno de los
cuadrados amarillos
que indican los bordes y arrástrelo
hasta obtener el tamaño deseado.
Salto de página
Arrástrelo y suéltelo en la ubicación donde desee insertar un
salto de página. Una línea negra en negrita indica dónde se
encuentra el salto de página.
Véase también
Adición de un diseño de informe en la página 408
410
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Administración de informes
Inclusión de una imagen en los PDF y los informes
Es posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la
imagen que aparece en la pantalla Inicio de sesión.
Antes de empezar
Agregue la imagen a la página Configuración personalizada (véase Personalización de la página
de inicio de sesión).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
personalizada.
2
Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos.
3
Haga clic en Aceptar.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Selector de imagen o Imágenes de fondo en la página 411
Página Selector de imagen o Imágenes de fondo
Permite agregar una imagen al ESM o seleccionar una imagen existente.
Tabla 7-17 Definiciones de opciones
Opción
Definición
Tabla Selector de imagen Permite ver las imágenes que hay en el ESM. Seleccione una y haga clic en
Aceptar.
Agregar
Permite agregar una nueva imagen al ESM.
Cambiar nombre
Permite cambiar el nombre de una imagen que hay actualmente en el ESM. El
nombre de las imágenes de la lista debe ser exclusivo.
Eliminar
Permite eliminar una imagen del ESM.
Véase también
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe
Agregue condiciones para que estén disponibles a la hora de configurar un informe.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
411
7
Uso de los eventos
Administración de informes
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
2
Haga clic en Condiciones y rellene la información solicitada.
3
Haga clic en Aceptar para guardar la configuración.
Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para
un informe.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Condiciones en la página 412
Página Agregar condición en la página 412
Página Condiciones
La adición de condiciones de informe hace que se genere un informe cuando se cumple un criterio
especificado.
Tabla 7-18 Definiciones de opciones
Opción
Definición
Tabla Condiciones
Ver las condiciones existentes.
Agregar
Especificar la configuración de una condición nueva.
Editar
Cambiar la configuración de una condición existente.
Quitar
Eliminar una condición existente.
Véase también
Adición de una condición de informe en la página 411
Página Agregar condición
Permite agregar una condición nueva al ESM. Una vez agregada, podrá seleccionarla a la hora de
definir la configuración para un informe.
Tabla 7-19 Definiciones de opciones
Opción
Definición
Nombre
Escriba un nombre para esta condición.
Tipo
Seleccione la frecuencia con que desee que se active la condición.
Notas
Escriba notas que expliquen lo que hace la condición.
Propiedades Defina los detalles sobre el momento de activación. Las opciones dependen del tipo
seleccionado.
Véase también
Adición de una condición de informe en la página 411
412
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Descripción de los filtros contains y regex
Visualización de los nombres de hosts en un informe
Es posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de
origen y destino en los informes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
.
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades
2
Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones
de la 1 a la 4.
3
En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o
Gráfico circular y rellene el Asistente de consultas.
4
En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP
como nombres de host.
Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades
del sistema | Hosts).
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Descripción de los filtros contains y regex
Los filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados
como no indizados. Estos filtros tienen requisitos de sintaxis.
Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La
mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y
minúsculas
junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no
tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con
contains/regex.
Sintaxis y ejemplos
La sintaxis básica de contains es contains(valor) y, en el caso de regex, es
regex(expresión_regular).
o incluya la notación
Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono
de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor
que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas.
se aplican a los valores de regex y contains. Si desea que los resultados
Los iconos NOT y OR
incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si
desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores
y haga clic en el icono OR.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
413
7
Uso de los eventos
Descripción de los filtros contains y regex
Ejemplo 1 - Búsqueda simple
Campos indizados:
contains(stra), regex(stra)
Campos no indizados: stra
Resultado:
Devuelve cualquier cadena con stra, como, por ejemplo, administrador,
gmestrad o straub.
Ejemplo 2 - Búsqueda OR
Campos indizados:
contains(admin,NGCP), regex((admin|NGCP))
Campos no indizados: admin,NGCP
Resultado:
Devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El
par adicional de paréntesis es necesario para que funcione OR con la
expresión regular.
Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio
Símbolo de dólar:
Campos indizados:
contains($), regex(\x24) o regex(\$)
Campos no indizados: $
Resultado:
Devuelven cualquier cadena dentro del campo que contenga $. Diríjase a
http://www.ascii.cl para ver la lista de valores HEX correspondientes a los
caracteres.
Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de
PCRE es un método de búsqueda mejor.
Símbolo de porcentaje:
Campos indizados:
contains(%), regex(\x25) o regex(\%)
Campos no indizados:
%
Barra diagonal inversa:
Campos indizados:
contains(\), regex(\x5c) o regex(\\)
Campos no indizados:
\
Barra diagonal inversa doble
Campos indizados:
contains(\\), regex(\x5c\x5c) o regex(\\\)
Campos no indizados:
\\
En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de
Expresión regular no válida (ER5-0015).
Ejemplo 4 - Búsqueda mediante el carácter comodín *
414
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Descripción de los filtros contains y regex
Campos indizados:
7
contains (ad*)
Campos no indizados: ad*
Resultado:
Devuelve cualquier cadena que empiece por ad como, por ejemplo,
administrador y adición.
Ejemplo 5 - Búsqueda mediante una expresión regular
Estos dominios corresponden a eventos DNS de Microsoft.
regex(nitroguard\x28[3-4]\x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
(3)www(10)nitroguard(7)oddball(0)
Resultado:
Esta expresión regular busca una cadena concreta. En este caso, se trata de
nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta
expresión regular coincide con las primeras dos expresiones, pero no con las
demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta
función. Las expresiones serán muy distintas en su caso.
Advertencias
•
El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un
rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres
caracteres.
•
Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se
puede utilizar en reglas de correlación con tipos personalizados de nombre/valor.
•
El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más
lento en las consultas.
Descripción del filtro Bloom
Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.
Campos compatibles con contains y regex
Access_Resource
File_Operation_Succeeded
Sitio de referencia
Aplicación
Ruta de archivo
Clave de registro
Application_Protocol
File_Type
Valor de registro
Área
Filename
Request_Type
Authoritative_Answer
Estado de reenvío
Response_Code
CCO
De
Return_Code
Proceso del llamador
From_Address
RTMP_Application
Catalog_Name
FTP_Command
Sensor_Name
Categoría
Host
Sensor_Type
Cc
HTTP_Req_Cookie
Sensor_UUID
McAfee Enterprise Security Manager 9.6.0
Guía del producto
415
7
Uso de los eventos
Descripción de los filtros contains y regex
Client_Version
HTTP_Req_Host
Estado de sesión
Comando
HTTP_Req_Method
ID de firma
Contact_Name
HTTP_Req_Referer
Signature_Name
Contact_Nickname
HTTP_Req_URL
SNMP_Error_Code
Cookie
HTTP_User_Agent
SNMP_Item
Creator_Name
Incoming_ID
SNMP_Item_Type
Database_ID
Interfaz
SNMP_Operation
Database_Name
Dest. de interfaz
SNMP_Version
ID de centro de datos
Job_Name
Usuario de origen
Nombre de centro de datos
Job_Type
Source_Context
DB2_Plan_Name
Idioma
ID de inicio de sesión de origen
Delivery_ID
Local_User_Name
Source_Network
Descripción
Logical_Unit_Name
Source_UserID
Usuario de destino
Tipo de inicio de sesión
Source_Zone
Directorio de destino
LPAR_DB2_Subsystem
Comando SQL
Destination_Filename
Mail_ID
SQL_Statement
Destination_Hostname
Buzón de correo
Step_Count
ID de inicio de sesión de destino
Mainframe_Job_Name
Step_Name
Destination_Network
Malware_Insp_Action
Asunto
Destination_UserID
Malware_Insp_Result
SWF_URL
Destination_Zone
Servidor de administración
Table_Name
Método de detección
Message_ID
Target_Class
Acción de dispositivo
Message_Text
Target_Context
Dirección
Método
Nombre de proceso de destino
Directorio
NTP_Client_Mode
TC_URL
DNS_Class
NTP_Opcode
Categoría de amenaza
DNS_Name
NTP_Request
Amenaza gestionada
DNS_Type
NTP_Server_Mode
Threat_Name
Dominio
Objeto
To
Event_Class
Object_Type
To_Address
External_Application
Sistema operativo
URL
External_DB2_Server
Policy_Name
Categoría de URL
External_Hostname
Privileged_User
User_Agent
ID de sesión externo
Process_Name
User_Nickname
Función
Query_Response
Versión
File_Operation
Motivo
ID de máquina virtual
Nombre de máquina virtual
Los siguientes tipos personalizados pueden utilizar contains y regex:
416
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Uso de las vistas de ESM
Vistas
Administración de casos
• Cadena
• Notas
• Cadena aleatoria
• Resumen
• Nombre/valor
• Historial
7
• Cadena con hash
Uso de las vistas de ESM
El ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por un
dispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation and
Correlation (MSEAC) de McAfee.
Contenido
Uso de las vistas de ESM
Visualización de detalles de sesión
Barra de herramientas de vistas
Vistas predefinidas
Adición de una vista personalizada
Componentes de vista
Uso del Asistente de consultas
Administración de vistas
Búsqueda alrededor de un evento
Visualización de los detalles de dirección IP de un evento
Cambio de la vista predeterminada
Filtrado de vistas
Listas de control
Normalización de cadenas
Uso de las vistas de ESM
Mediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a través
de un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. La
vista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema.
Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vista
predeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida
(véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin de
ejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas).
También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú de
componentes y la barra de herramientas de componentes a fin de interactuar con las vistas y sus
datos.
En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una
consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido
durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar
recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso.
En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados
aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff:
10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería
10.0.12.7.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
417
7
Uso de los eventos
Uso de las vistas de ESM
Visualización de detalles de sesión
Es posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV mediante
el Visor de sesión.
Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado de
una conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentan
con ID de sesión.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.
2
Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a
continuación, seleccione Información detallada de evento | Eventos.
3
Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de
sesión
situado junto al campo ID de sesión.
Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión.
Barra de herramientas de vistas
La barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de varias
opciones que se pueden utilizar a la hora de configurar las vistas.
Tabla 7-20
418
Opción
Descripción
1 — Ocultar árbol de dispositivos
Haga clic aquí para ampliar la vista actual mediante
la ocultación del panel del árbol de dispositivos.
2 — Navegación por vistas
Permite retroceder y avanzar por las vistas
anteriores.
3 — Lista de vistas
Seleccione una vista en la lista desplegable, la cual
incluye todas las vistas predefinidas y
personalizadas seleccionadas para su visualización
en esta lista.
4 — Administrar vistas
Permite administrar todas las vistas (véase
Administración de vistas). Puede seleccionar qué
vistas desea incluir en la lista, agregar carpetas o
renombrar, eliminar, copiar, importar y exportar
vistas.
5 — Actualizar vista actual
Permite actualizar todos los datos mostrados en el
panel de vistas.
6 — Vista predeterminada
Volver a la vista predeterminada.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
7
Uso de los eventos
Uso de las vistas de ESM
Tabla 7-20
(continuación)
Opción
Descripción
7 — Imprimir vista actual
Imprimir una copia de la vista actual. Las opciones
de impresión son:
• Cambiar tamaño para ajustar todos los componentes en una
página: los componentes que forman parte de la
vista se ajustan para que la vista quepa en una
página.
• Imprimir cada componente en una página distinta: cada
componente que forma parte de la vista se
imprime en una página diferente. Si hace clic en
Cambiar tamaño de componente para ajustarlo a la página, se
ajusta el tamaño de cada componente para
rellenar toda la página.
• Imprimir área visible solamente: solo se imprime la parte
de la vista visible en la pantalla.
• Exportar a PDF: la vista se guarda como un archivo
PDF.
8 — Editar vista actual
Permite modificar la vista mostrada, en caso de ser
una vista personalizada. Al hacer clic en esta
opción, se abre la Barra de herramientas de edición de vistas
(véase Adición de una vista personalizada).
9 — Crear vista nueva
Permite crear una nueva vista personalizada (véase
Adición de una vista personalizada).
10 — Espacio de tiempo
Especifique el espacio de tiempo correspondiente a
la información que desea que aparezca en la vista.
11 — Ocultar filtros
Haga clic aquí para ampliar la vista actual mediante
la ocultación del panel de filtrado.
Vistas predefinidas
La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del
sistema, así como a cualquier vista personalizada que se agregue.
A continuación se detallan los diferentes tipos de vistas predefinidas.
•
Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su
posible efecto sobre su sistema.
•
Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas.
•
Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.
•
La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de
navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre
el dispositivo seleccionado aparece en la mitad inferior de la vista.
McAfee Enterprise Security Manager 9.6.0
Guía del producto
419
7
Uso de los eventos
Uso de las vistas de ESM
•
Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda
y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista
Búsqueda de ELM mejorada).
•
Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo
seleccionado en el árbol de navegación del sistema.
•
Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés
para empleados ajenos al departamento de TI.
•
Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza
mediante Nitro IPS (véase Vistas de flujo).
•
McAfee Event Reporter incluye vistas específicas para varios productos de McAfee.
•
Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver
correctamente los datos en los administradores personalizados, es necesario crear vistas
personalizadas.
•
Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes:
•
Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las
condiciones de alarma (véase Vista Alarmas activadas).
•
Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los
casos).
Véase también
Vistas de flujo en la página 420
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Vistas de flujo
Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el
análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el
dispositivo Nitro IPS.
Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora
de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión).
Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que
eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no
están asociados con acciones de evento tales como alerta, supresión y rechazo.
Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen
y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes
transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número
de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo
entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la
red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS.
A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo
así, podrá ver los flujos en la vista Análisis de flujos.
Véase también
Vistas predefinidas en la página 419
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
420
McAfee Enterprise Security Manager 9.6.0
Guía del producto
Uso de los eventos
Uso de las vistas de ESM
7
Activación del registro de flujos
Para ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activar
dos variables de firewall.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
En el árbol de navegación del sistema, seleccione un dispositivo.
Haga clic en el icono del Editor de directivas
y seleccione Variable en el panel Tipos de regla.
3
Expanda la categoría Firewall en el panel de visualización de reglas.
4
En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valor
de herencia, escriba Yes y haga clic en Aceptar.
5
En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar el
valor de herencia, escriba Yes y haga clic en Aceptar.
Véase también
Vistas predefinidas en la página 419
Vistas de flujo en la página 420
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Vista Búsqueda de ELM mejorada
La vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el
sistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en
tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros
uno o varios ELM.
Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM
para proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual
permite limitar la consulta para minimizar el número de archivos en los que buscar.
Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados:
•
Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con una
distribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de
espacios de tiempo.
•
Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos
según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del
sistema
Documentos relacionados
Manual de Dynafleet del veh culo. Gu a sobre c mo utilizar las caracter sticas de Dynafleet del veh culo.
Manual de Dynafleet del veh culo. Gu a sobre c mo utilizar las caracter sticas de Dynafleet del veh culo.
Cálculo de Días y Trabajadores Promedio
Cálculo de Días y Trabajadores Promedio
2. Iniciar Outlook desde un acceso directo en escritorio
2. Iniciar Outlook desde un acceso directo en escritorio
¿Cómo borrar archivos temporales?
¿Cómo borrar archivos temporales?
¿Cómo puedo agregar nuevas direcciones de correo electrónico en
¿Cómo puedo agregar nuevas direcciones de correo electrónico en
PRACTICA 1 ACCESS El nombre de la tabla le pondremos clientes
PRACTICA 1 ACCESS El nombre de la tabla le pondremos clientes
1. En la Barra de Inicio de Windows donde se encuentra la hora
1. En la Barra de Inicio de Windows donde se encuentra la hora
Versión en PDF
Versión en PDF
13. Establecer un campo memo en solo anexar
13. Establecer un campo memo en solo anexar
Descargar
Anuncio
Anuncio