Guía del producto McAfee Enterprise Security Manager 9.6.0 COPYRIGHT © 2016 Intel Corporation ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Enterprise Security Manager 9.6.0 Guía del producto Contenido Prefacio 9 Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10 Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10 Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1 Introducción 13 Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Primeros pasos 19 Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . . Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . . Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . 3 Configuración del ESM 19 20 21 21 22 24 27 28 29 30 31 32 32 33 34 34 35 35 36 37 38 39 40 41 Administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de información de dispositivo . . . . . . . . . . . . . . . . . . . . Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . Actualización del software en un dispositivo . . . . . . . . . . . . . . . . . . . . McAfee Enterprise Security Manager 9.6.0 13 14 15 15 16 41 44 48 54 Guía del producto 3 Contenido Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 55 Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 68 Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 69 Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 70 Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 71 Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . . 73 Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 76 Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 78 Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 151 Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 177 Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 184 Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 201 Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 215 Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 216 Configuración de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 224 Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 232 Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 233 Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 236 Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 236 Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 237 Detención de la actualización automática del Árbol de sistemas de ESM . . . . . . . . 238 Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . 239 Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 241 Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 243 Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 263 Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 265 Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 279 Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 279 Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 280 Configuración de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 280 Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 281 Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 282 Administración de la configuración de índice de la base de datos . . . . . . . . . . . 283 Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 284 Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 285 Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 289 Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 290 Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 299 Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 300 Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 300 Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 301 Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 307 Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . 308 Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 309 Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 310 Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 311 Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 312 Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 312 ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 4 McAfee Enterprise Security Manager 9.6.0 Guía del producto Contenido Configuración de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . Sustitución de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . . Desactivación de las consultas compartidas . . . . . . . . . . . . . . . . . . . . Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . . Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . . Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . . Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . Utilización de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . . Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO . . . . Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . ™ 4 Administración de Cyber Threat 341 Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . . Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . Tipos de indicadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . . 5 Uso de paquetes de contenido Flujo de trabajo de alarmas Uso de los eventos 345 347 Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . Configuración de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . . Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . . Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . . Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . . Visualización y administración de alarmas activadas . . . . . . . . . . . . . . . . Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . . Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . . Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . . Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . Creación de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . . Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . . Administración de orígenes de datos no sincronizados . . . . . . . . . . . . . . . 7 341 342 343 344 345 Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 6 313 315 316 316 319 321 323 323 324 324 325 325 326 327 328 329 329 331 332 336 336 337 338 347 347 353 353 354 354 355 359 360 362 363 364 366 375 378 378 379 380 380 383 Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 McAfee Enterprise Security Manager 9.6.0 Guía del producto 5 Contenido Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . Adición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . . Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . . Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . . Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . . Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . . Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . Búsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . . Visualización de los detalles de dirección IP de un evento . . . . . . . . . . . . . . Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . . Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Normalización de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . Búsquedas de McAfee Active Response . . . . . . . . . . . . . . . . . . . . . . . . Ejecución de una búsqueda de Active Response . . . . . . . . . . . . . . . . . . Administración de los resultados de las búsquedas de Active Response . . . . . . . . . Adición de un origen de enriquecimiento de datos de Active Response . . . . . . . . . Adición de una lista de vigilancia de Active Response . . . . . . . . . . . . . . . . Visualización de la hora del evento . . . . . . . . . . . . . . . . . . . . . . . . . . ® 8 Administración de casos 469 Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . . 6 McAfee Enterprise Security Manager 9.6.0 384 385 386 387 388 390 391 395 404 405 405 408 411 411 413 413 417 417 418 418 419 423 423 435 441 442 443 444 444 450 456 458 460 461 461 462 462 463 463 464 466 466 467 469 470 470 472 473 475 476 476 477 Guía del producto Contenido 9 Uso de Asset Manager 479 Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . Establecimiento de la administración de configuración . . . . . . . . . . . . . . . . . . Administración de archivos de configuración recuperados . . . . . . . . . . . . . . Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . . Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . . Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . . Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 10 Administración de directivas y reglas 503 Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . . Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de inspección profunda de paquetes (DPI) . . . . . . . . . . . . . . . . . Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición de reglas de correlación, base de datos o ADM personalizadas . . . . . . . . . Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . . Visualización del estado de actualización de directivas de los dispositivos . . . . . . . . Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de reglas para la inclusión automática en la lista negra . . . . . . . . . Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . McAfee Enterprise Security Manager 9.6.0 480 483 483 485 485 485 489 490 490 490 491 492 493 494 495 496 497 497 499 500 501 503 505 505 509 510 514 515 519 521 522 524 530 532 532 534 540 542 554 555 555 556 556 557 558 558 558 560 561 562 562 563 564 Guía del producto 7 Contenido Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . Página Selección de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 566 566 567 568 568 569 570 Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . . Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570 571 572 Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . Administración del tráfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . . 573 574 575 576 Índice 8 McAfee Enterprise Security Manager 9.6.0 577 Guía del producto Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: • Administradores: personas que implementan y aplican el programa de seguridad de la empresa. • Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden acceder a todas o algunas de sus funciones. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis Negrita Texto que se enfatiza Tipo de letra monoespacio Comandos y texto de otra índole que escribe el usuario; un ejemplo de código; un mensaje que se presenta en pantalla Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones y cuadros de diálogo Azul hipertexto Un vínculo a un tema o a un sitio web externo Nota: Información adicional para enfatizar una cuestión, recordarle algo al lector o proporcionar un método alternativo Sugerencia: Información sobre prácticas recomendadas Precaución: Consejos importantes para proteger su sistema informático, instalación de software, red, empresa o sus datos Advertencia: Consejos fundamentales para impedir lesiones personales al utilizar un producto de hardware McAfee Enterprise Security Manager 9.6.0 Guía del producto 9 Prefacio Búsqueda de documentación de productos Búsqueda de documentación de productos En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo documentación de los productos, artículos técnicos, etc. Procedimiento 1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento. 2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos. 3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos. Procedimientos • Búsqueda de información localizada en la página 10 Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee ESM localizadas (traducidas) en los idiomas siguientes: • Preguntas más frecuentes en la página 11 A continuación se incluyen las respuestas a las preguntas más frecuentes. Búsqueda de información localizada Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee ESM localizadas (traducidas) en los idiomas siguientes: • Chino simplificado • Japonés • Chino tradicional • Coreano • Inglés • Portugués brasileño • Francés • Español • Alemán Acceso a la Ayuda online localizada Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la Ayuda online. 1 Inicie sesión en ESM. 2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones. 3 Seleccione un idioma y haga clic en Aceptar. 4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado. Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayuda localizada se instalará mediante una actualización futura. 10 McAfee Enterprise Security Manager 9.6.0 Guía del producto Prefacio Búsqueda de documentación de productos Búsqueda de documentación del producto localizada en el Centro de conocimiento 1 Visite el Centro de conocimiento. 2 Busque la documentación del producto localizada mediante los parámetros siguientes. • Término de búsqueda: guía del producto, guía de instalación o notas de la versión • Producto: SIEM Enterprise Security Manager • Versión: 9.6.0 3 En los resultados de la búsqueda, haga clic en el título del documento relevante. 4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la parte derecha. Haga clic en el idioma relevante. 5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto. Véase también Uso de la Ayuda de ESM en la página 15 Preguntas más frecuentes A continuación se incluyen las respuestas a las preguntas más frecuentes. ¿Dónde puedo encontrar información sobre ESM en otros idiomas? Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de ESM. Búsqueda de información localizada en la página 10 ¿Dónde puedo obtener más información sobre McAfee ESM? • Uso de la Ayuda de ESM en la página 15 • Visite el Centro de conocimiento • Visite el Centro de expertos • Vea los vídeos de McAfee ESM ¿Qué dispositivos de la solución SIEM se admiten? Visite el sitio web de McAfee ESM ¿Cómo se configuran los orígenes de datos concretos? Busque las guías de configuración de los orígenes de datos actuales en el Centro de conocimiento ¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido? • Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá notificaciones cuando el artículo sufra modificaciones. • Para obtener información sobre los paquetes de contenido, lea el artículo de la base de conocimiento en el Centro de conocimiento. McAfee Enterprise Security Manager 9.6.0 Guía del producto 11 Prefacio Búsqueda de documentación de productos 12 McAfee Enterprise Security Manager 9.6.0 Guía del producto 1 Introducción ® McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos, desde una única ubicación. Contenido Cómo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones Uso de la Ayuda de ESM Preguntas más frecuentes Búsqueda de información localizada Cómo funciona McAfee Enterprise Security Manager McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red, sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación con información contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona esta información para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, es posible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes. ESM consta de tres capas. • Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conoce como consola de ESM). • Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los servicios necesarios de manipulación de datos, tales como configuración, generación de informes, visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido (DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones. • Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver (receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas funciones. Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través de canales de comunicación seguros. McAfee Enterprise Security Manager 9.6.0 Guía del producto 13 1 Introducción Los dispositivos y sus funciones Los dispositivos y sus funciones El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de seguridad, así como interactuar con ellos. Véase también Configuración de Event Receiver en la página 78 Configuración de Enterprise Log Manager (ELM) en la página 151 Configuración de Application Data Monitor (ADM) en la página 184 Configuración de Database Event Monitor (DEM) en la página 201 Configuración de Advanced Correlation Engine (ACE) en la página 177 Configuración del ESM distribuido (DESM) en la página 215 Configuración de ePolicy Orchestrator en la página 216 Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 224 14 McAfee Enterprise Security Manager 9.6.0 Guía del producto 1 Introducción Uso de la Ayuda de ESM Uso de la Ayuda de ESM ¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual, donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso sobre el uso de ESM. Procedimiento 1 2 Para abrir la Ayuda de ESM, realice una de estas acciones: • Seleccione la opción de menú Ayuda | Contenido de la Ayuda. • Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de ESM para buscar ayuda contextual específica de cada pantalla. En la ventana de la Ayuda: • Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el panel de la derecha. • Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la Ayuda. • Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente. • Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono de la impresora, situado en la parte superior derecha del tema de la Ayuda. • Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte inferior del tema de la Ayuda. Véase también Búsqueda de información localizada en la página 10 Preguntas más frecuentes A continuación se incluyen las respuestas a las preguntas más frecuentes. ¿Dónde puedo encontrar información sobre ESM en otros idiomas? Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de ESM. Búsqueda de información localizada en la página 10 ¿Dónde puedo obtener más información sobre McAfee ESM? • Uso de la Ayuda de ESM en la página 15 • Visite el Centro de conocimiento • Visite el Centro de expertos • Vea los vídeos de McAfee ESM ¿Qué dispositivos de la solución SIEM se admiten? Visite el sitio web de McAfee ESM ¿Cómo se configuran los orígenes de datos concretos? Busque las guías de configuración de los orígenes de datos actuales en el Centro de conocimiento McAfee Enterprise Security Manager 9.6.0 Guía del producto 15 1 Introducción Búsqueda de información localizada ¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido? • Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá notificaciones cuando el artículo sufra modificaciones. • Para obtener información sobre los paquetes de contenido, lea el artículo de la base de conocimiento en el Centro de conocimiento. Búsqueda de información localizada Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee ESM localizadas (traducidas) en los idiomas siguientes: • Chino simplificado • Japonés • Chino tradicional • Coreano • Inglés • Portugués brasileño • Francés • Español • Alemán Acceso a la Ayuda online localizada Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la Ayuda online. 1 Inicie sesión en ESM. 2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones. 3 Seleccione un idioma y haga clic en Aceptar. 4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado. Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayuda localizada se instalará mediante una actualización futura. Búsqueda de documentación del producto localizada en el Centro de conocimiento 16 1 Visite el Centro de conocimiento. 2 Busque la documentación del producto localizada mediante los parámetros siguientes. • Término de búsqueda: guía del producto, guía de instalación o notas de la versión • Producto: SIEM Enterprise Security Manager • Versión: 9.6.0 3 En los resultados de la búsqueda, haga clic en el título del documento relevante. 4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la parte derecha. Haga clic en el idioma relevante. 5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto. McAfee Enterprise Security Manager 9.6.0 Guía del producto Introducción Búsqueda de información localizada 1 Véase también Uso de la Ayuda de ESM en la página 15 McAfee Enterprise Security Manager 9.6.0 Guía del producto 17 1 Introducción Búsqueda de información localizada 18 McAfee Enterprise Security Manager 9.6.0 Guía del producto 2 Primeros pasos Verifique que su entorno de ESM esté actualizado y listo para funcionar. Contenido Requisitos de hardware y software Acerca del modo FIPS Configuración evaluada según los Criterios comunes Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Preferencias de la consola Requisitos de hardware y software El sistema debe satisfacer los requisitos mínimos en cuanto a hardware y software. Requisitos del sistema • Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD clase AM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8) • RAM: 1,5 GB • Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1 • Navegador: Internet Explorer 9 o posterior, Mozilla Firefox 9 o posterior, Google Chrome 33 o posterior • Flash Player: versión 11.2.x.x o posterior Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive el bloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM. Requisitos de la máquina virtual • Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/ Dual Opteron64 o superior • RAM: depende del modelo (4 GB o más) McAfee Enterprise Security Manager 9.6.0 Guía del producto 19 2 Primeros pasos Acerca del modo FIPS • Espacio en disco: depende del modelo (250 GB o más) • ESXi 5.0 o posterior • Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para su servidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente con más. Consulte las especificaciones correspondientes a su máquina virtual. La máquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entorno ESXi comparte los requisitos de CPU/RAM con otras máquinas virtuales, el rendimiento de la máquina virtual ENMELM se verá afectado. Asegúrese de incluir la capacidad de CPU y RAM necesaria de acuerdo con los requisitos. Acerca del modo FIPS FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento de la información) son estándares desarrollados y anunciados públicamente por el gobierno de los Estados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares, deberá utilizar este sistema en el modo FIPS. El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible cambiarlo posteriormente. Véase también Información sobre el modo FIPS en la página 21 Contenido Información sobre el modo FIPS Selección del modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS 20 McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Acerca del modo FIPS 2 Información sobre el modo FIPS Debido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones disponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estas funciones se indican a lo largo del presente documento y se enumeran aquí. Estado de función Descripción Funciones eliminadas • Receptores de disponibilidad alta. • Terminal de interfaz gráfica de usuario. • Capacidad de comunicación con el dispositivo mediante el protocolo SSH. • En la consola del dispositivo, el shell raíz se sustituye por un menú de administración de dispositivos. Funciones solo disponibles en el modo FIPS • Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves y certificados. • Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que permite verificar si el sistema funciona correctamente en el modo FIPS. • Si se produce un error de FIPS, se agrega un indicador de estado al árbol de navegación del sistema para reflejar este fallo. • Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre la página Token de identidad de FIPS. Esta página muestra un valor que se debe comparar con el valor mostrado en las secciones del documento mencionadas para asegurarse de que no hay riesgos en relación con FIPS. • En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye el privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la autorización para ejecutar pruebas automáticas de FIPS. • Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves, es necesario seleccionar el tipo de clave que se desea importar o exportar. • En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el puerto 22. El puerto SSH se puede cambiar. Véase también Selección del modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 Solución de problemas del modo FIPS en la página 27 Selección del modo FIPS La primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en el modo FIPS o no. Una vez realizada la selección, no es posible cambiarla. McAfee Enterprise Security Manager 9.6.0 Guía del producto 21 2 Primeros pasos Acerca del modo FIPS Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 La primera vez que inicie sesión en ESM: a En el campo Nombre de usuario, escriba NGCP. b En el campo Contraseña, escriba security.4u. Se le pedirá que cambie su contraseña. 2 Introduzca y confirme la nueva contraseña. 3 En la página Activar FIPS, haga clic en Sí. La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el sistema funcione en el modo FIPS de forma permanente. 4 Haga clic en Sí para confirmar su selección. Véase también Información sobre el modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 Solución de problemas del modo FIPS en la página 27 Comprobación de integridad de FIPS Si utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del software de forma regular. Esta comprobación se debe realizar en el sistema y en todos los dispositivos. 22 McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Acerca del modo FIPS 2 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Realice cualquiera de las acciones que se indican a continuación. En este campo... Haga esto... Estado de FIPS Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM. Prueba o Prueba automática de FIPS Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmos utilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de mensajes. Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producido algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee. Ver o Identidad de FIPS Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software. Compare el valor siguiente con la clave pública que aparece en esta página: Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en contacto con el Soporte de McAfee. Véase también Información sobre el modo FIPS en la página 21 Selección del modo FIPS en la página 21 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 Solución de problemas del modo FIPS en la página 27 McAfee Enterprise Security Manager 9.6.0 Guía del producto 23 2 Primeros pasos Acerca del modo FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM. Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos. Terminología • Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no se emplea con fines criptográficos. • Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves autorizadas de un dispositivo. • Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en un ESM a fin de establecer la conexión SSH con un dispositivo. • ESM principal: el ESM utilizado originalmente para registrar el dispositivo. • ESM secundario: un ESM adicional que se comunica con el dispositivo. Extensiones de archivo de los distintos archivos de exportación • .exk: contiene la clave de dispositivo. • .puk: contiene la clave pública. • .prk: contiene la clave privada y la clave de dispositivo. Véase también Información sobre el modo FIPS en la página 21 Selección del modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 Solución de problemas del modo FIPS en la página 27 Copia de seguridad y restauración de información de un dispositivo en modo FIPS Este método se emplea para crear copias de seguridad de la información de comunicación de un dispositivo y restaurarlas en el ESM. Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si la información de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no se podrá restablecer. Este método exporta e importa el archivo .prk. La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada. 24 McAfee Enterprise Security Manager 9.6.0 Guía del producto 2 Primeros pasos Acerca del modo FIPS Acción Pasos Exportar el archivo .prk del ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo con la información de comunicación de la que desee crear una copia de seguridad y, después, haga clic en el icono Propiedades. 2 Seleccione Administración de claves y haga clic en Exportar clave. 3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creado por el ESM y cierre la sesión en el ESM principal. Agregar un dispositivo al ESM secundario e importar el archivo .prk 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en Siguiente. 5 Introduzca la dirección IP de destino del dispositivo, indique el puerto de comunicación FIPS y haga clic en Siguiente. 6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar. Escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. Véase también Información sobre el modo FIPS en la página 21 Selección del modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 Solución de problemas del modo FIPS en la página 27 Activación de la comunicación con varios dispositivos ESM en el modo FIPS Es posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación e importación de archivos .puk y .exk. En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESM principal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clave pública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen con el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal y se importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 25 2 Primeros pasos Acerca del modo FIPS Acción Pasos Exportar el archivo .puk del ESM secundario 1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de ESM. 2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el archivo .puk. 3 Haga clic en Guardar y cierre la sesión. Importar el archivo .puk al ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Administrar claves SSH. 4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar. 5 Haga clic en Aceptar y cierre la sesión en el ESM principal. Exportar el archivo .exk del dispositivo del ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia de seguridad y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar. 6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESM principal. Importar el 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el archivo .exk en el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. ESM secundario 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y haga clic en Siguiente. 5 Haga clic en Importar clave y busque el archivo .exk. 6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. 26 McAfee Enterprise Security Manager 9.6.0 Guía del producto 2 Primeros pasos Acerca del modo FIPS Véase también Información sobre el modo FIPS en la página 21 Selección del modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Solución de problemas del modo FIPS en la página 27 Solución de problemas del modo FIPS Es posible que surjan problemas al utilizar el ESM en el modo FIPS. Problema Descripción y solución No hay comunicación con el ESM • Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee. • Busque una situación de error en la interfaz HTTP; para ello, acceda a la página web Prueba automática de FIPS de ESM mediante un navegador. - Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado una prueba automática de FIPS, reinicie el dispositivo ESM para intentar corregir el problema. Si el fallo persiste, póngase en contacto con el servicio de Soporte para obtener instrucciones adicionales. - Si aparece únicamente el dígito 1, el problema de comunicación no se debe a un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtener instrucciones adicionales. No hay comunicación con el dispositivo • Si hay una marca de estado junto al dispositivo en el árbol de navegación del sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee a través del portal de soporte. • Siga la descripción correspondiente al problema No hay comunicación con el ESM. Error El archivo no es válido al agregar un dispositivo No se puede exportar una clave de un dispositivo no FIPS e importarla a un dispositivo que funcione en el modo FIPS. De igual forma, no se puede exportar una clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Este error aparece cuando se intenta cualquiera de estas dos cosas. Véase también Información sobre el modo FIPS en la página 21 Selección del modo FIPS en la página 21 Comprobación de integridad de FIPS en la página 22 Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24 Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 24 Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25 McAfee Enterprise Security Manager 9.6.0 Guía del producto 27 2 Primeros pasos Configuración evaluada según los Criterios comunes Configuración evaluada según los Criterios comunes El dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que exista conformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a la hora de configurar el sistema. Tipo Requisitos Físico El dispositivo de McAfee debe: • Estar protegido frente a modificaciones físicas no autorizadas. • Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no autorizado. Utilización El dispositivo de McAfee debe: • Tener acceso a todo el tráfico de red para realizar sus funciones. • Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo de evaluación. • Ser proporcionado con respecto al tráfico de red que supervisa. Personal • Deben existir una o varias personas competentes encargadas de la administración del dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros de McAfee proporcionan asistencia in situ para la instalación y la configuración, así como formación sobre el funcionamiento del dispositivo en las instalaciones para todos los clientes de McAfee. • Los administradores autorizados no deben ser descuidados, negligentes ni de trato difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación correspondiente al dispositivo de McAfee. • Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee. • Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios protejan todas las credenciales de acceso de forma coherente con la seguridad de TI. Otros • No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaría una configuración distinta de la correspondiente a la evaluada según los Criterios comunes. Póngase en contacto con el Soporte de McAfee para obtener actualizaciones certificadas. • En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzar omisión en la página Configuración de la interfaz de red provoca una configuración distinta de la evaluada según los Criterios comunes. • En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta de supresión provoca una configuración diferente de la evaluada según los Criterios comunes. • La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca una comunicación segura. El entorno de TI proporciona una transmisión segura de datos entre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUS puede proporcionar los servicios de autenticación externa. • El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point no forma parte del objetivo de evaluación. • El uso de Snort Barnyard no forma parte del objetivo de evaluación. • El uso del cliente de MEF no forma parte del objetivo de evaluación. • El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación. 28 McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Inicio y cierre de sesión 2 Inicio y cierre de sesión Tras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera vez. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la interfaz de red. 2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la contraseña predeterminados. • Nombre de usuario predeterminado: NGCP • Contraseña predeterminada: security.4u 3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar. 4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar. 5 Indique si desea activar o no el modo FIPS. En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo. Para obtener más información, consulte Información sobre el modo FIPS. 6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para acceder a las actualizaciones de reglas. 7 Lleve a cabo la configuración inicial de ESM: a Seleccione el idioma que se utilizará para los registros del sistema. b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con esta cuenta; después, haga clic en Siguiente. c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono Mostrar Ayuda de cada página para obtener instrucciones. 8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a las funciones nuevas disponibles en esta versión de ESM. 9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos: • Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema, situada en la esquina superior derecha de la consola. • Si hay alguna página abierta, cierre el navegador. Véase también Personalización de la página de inicio de sesión en la página 30 Cambio de idioma de los registros de eventos en la página 33 McAfee Enterprise Security Manager 9.6.0 Guía del producto 29 2 Primeros pasos Personalización de la página de inicio de sesión Personalización de la página de inicio de sesión Es posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo las políticas de seguridad de la empresa o su logotipo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada. 2 Realice cualquiera de las acciones siguientes: Para... Haga esto... Agregar texto personalizado 1 Haga clic en el cuadro de texto situado en la parte superior de la página. 2 Escriba el texto que desee agregar a la página Inicio de sesión. 3 Seleccione Incluir texto en pantalla de inicio de sesión. Agregar una imagen personalizada 1 Haga clic en Seleccionar imagen. 2 Cargue la imagen que desee utilizar. 3 Seleccione Incluir imagen en pantalla de inicio de sesión. Si sigue apareciendo el logotipo anterior en la página Inicio de sesión tras cargar un nuevo logotipo personalizado, borre la caché del navegador. Eliminar una imagen personalizada Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado. Véase también Inicio y cierre de sesión en la página 29 Cambio de idioma de los registros de eventos en la página 33 Página Configuración personalizada en la página 30 Página Configuración personalizada Permite personalizar la configuración de inicio de sesión e impresión, editar los vínculos de dispositivos personalizados y configurar las opciones de un servidor de correo electrónico Remedy. Tabla 2-1 Definiciones de opciones Opción Definición Introduzca aquí cualquier texto Agregue texto personalizado a la página de inicio de sesión de la consola y adicional la pantalla LCD del dispositivo, como por ejemplo las directivas de seguridad de la empresa. 30 Seleccione un logotipo personalizado Seleccione la imagen que desee que aparezca en la página de inicio de sesión (véase Personalización de la página de inicio de sesión). Incluir texto en pantalla de inicio de sesión Seleccione si desea que el texto agregado aparezca en la página de inicio de sesión (véase Inclusión de una imagen en los PDF y los informes). Incluir imagen en pantalla de inicio de sesión Seleccione esta opción si desea que la imagen seleccionada aparezca en la página de inicio de sesión. Incluir imagen en PDF exportado Seleccione esta opción si desea que la imagen seleccionada aparezca en los PDF exportados y en los informes impresos. McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Actualización del software de ESM 2 Tabla 2-1 Definiciones de opciones (continuación) Opción Definición Actualización automática del Árbol de sistemas El Árbol de sistemas se actualiza automáticamente cada cinco minutos. Si no desea que esto ocurra, anule la selección de esta opción (véase Detención de la actualización automática del Árbol de sistemas de ESM). Vínculos de dispositivo Permite realizar cambios en los vínculos de URL de cada uno de los dispositivos del sistema (véase Administración de vínculos de URL para todos los dispositivos). Remedy Establezca la configuración del Servidor de correo electrónico de Remedy para poder enviar eventos al sistema Remedy, en caso de disponer de él. Véase Opciones de configuración del servidor de Remedy. Especifique qué mes Defina el mes de inicio del primer trimestre si va a ejecutar informes trimestrales (véase Establecimiento del mes de inicio para los informes trimestrales). Véase también Personalización de la página de inicio de sesión en la página 30 Actualización del software de ESM Es posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través de un ingeniero de seguridad y, después, cargarlas en el ESM. Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Actualizar ESM. 3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar. El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización. Véase también Obtención y adición de credenciales de actualización de reglas en la página 32 Comprobación de la existencia de actualizaciones de reglas en la página 32 Página Seleccionar archivo de actualización de software en la página 32 McAfee Enterprise Security Manager 9.6.0 Guía del producto 31 2 Primeros pasos Obtención y adición de credenciales de actualización de reglas Página Seleccionar archivo de actualización de software Permite seleccionar el archivo de actualización de software para el ESM. Tabla 2-2 Definiciones de opciones Opción Definición Tabla de actualizaciones de software Haga clic en el archivo y, después, en Aceptar. Se le advertirá de que esto provoca que el ESM se reinicie y se desconecten todas las sesiones en curso. Haga clic en Sí para continuar. Examinar Permite acceder a un archivo de actualización de software obtenido mediante un ingeniero de seguridad de McAfee o el servidor de reglas y actualizaciones de McAfee. Haga clic en Cargar y, después, en Sí en la página de advertencia. Véase también Actualización del software de ESM en la página 31 Obtención y adición de credenciales de actualización de reglas ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato de mantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico a [email protected] con la siguiente información: • Número de concesión de McAfee • Nombre de cuenta • Dirección • Nombre de contacto • Dirección de correo electrónico de contacto 2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Información del sistema | Actualización de reglas en el árbol de navegación del sistema. 3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña. 4 Haga clic en Validar. Véase también Actualización del software de ESM en la página 31 Comprobación de la existencia de actualizaciones de reglas en la página 32 Comprobación de la existencia de actualizaciones de reglas El equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráfico de red actualiza constantemente estas firmas, las cuales están disponibles para su descarga mediante el servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de forma automática o manual. 32 McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Cambio de idioma de los registros de eventos 2 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la opción Información del sistema. 2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado. Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas. 3 Si la licencia es válida, haga clic en Actualización de reglas. 4 Seleccione una de estas opciones: 5 • Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia de actualizaciones automáticamente con la frecuencia seleccionada. • Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente. • Actualización manual, para actualizar las reglas desde un archivo local. Haga clic en Aceptar. Véase también Actualización del software de ESM en la página 31 Obtención y adición de credenciales de actualización de reglas en la página 32 Cambio de idioma de los registros de eventos Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM. 2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar. Véase también Inicio y cierre de sesión en la página 29 Personalización de la página de inicio de sesión en la página 30 McAfee Enterprise Security Manager 9.6.0 Guía del producto 33 2 Primeros pasos Conexión de los dispositivos Conexión de los dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según su zona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin de continuar con su organización. Contenido Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas Adición de dispositivos a la consola de ESM Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM. Antes de empezar Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise Security Manager). Procedimiento 1 2 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo. En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo . 3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente. 4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente. 5 Proporcione la información solicitada. • Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para la comunicación con la base de datos. Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombre de usuario y contraseña para el dispositivo. • 6 34 Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después, indique un número de puerto SSH de destino válido para su uso con la dirección IP. Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y, después, haga clic en Siguiente. McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Conexión de los dispositivos 7 2 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo. Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la 8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación, se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo, tales como el privilegio Configurar dispositivos virtuales. 8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente. El ESM probará la comunicación con el dispositivo e informará del estado de la conexión. Véase también Selección de un tipo de pantalla en la página 35 Administración de tipos de pantallas personalizadas en la página 35 Administración de un grupo en un tipo de pantalla personalizada en la página 67 Selección de un tipo de pantalla Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema. Antes de empezar Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase Administración de tipos de pantallas personalizadas). Procedimiento 1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización. 2 Seleccione uno de los tipos de pantalla. La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo seleccionado para la sesión de trabajo en curso. Véase también Adición de dispositivos a la consola de ESM en la página 34 Administración de tipos de pantallas personalizadas en la página 35 Administración de un grupo en un tipo de pantalla personalizada en la página 67 Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.6.0 Guía del producto 35 2 Primeros pasos Preferencias de la consola Para... Haga esto... Agregar un tipo de pantalla personalizada 1 Haga clic en Agregar pantalla. Editar un tipo de pantalla personalizada 1 2 Rellene los campos y haga clic en Aceptar. Haga clic en el icono Editar que desee editar. situado junto al tipo de pantalla 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Véase también Adición de dispositivos a la consola de ESM en la página 34 Selección de un tipo de pantalla en la página 35 Administración de un grupo en un tipo de pantalla personalizada en la página 67 Preferencias de la consola Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración predeterminadas. Las credenciales de McAfee ePolicy Orchestrator (McAfee ePO ) se pueden configurar también. ® ® ™ Véase también La consola de ESM en la página 37 Uso del tema de color de la consola en la página 38 Selección de las opciones de visualización de la consola en la página 39 Establecimiento del valor de tiempo de espera de la consola en la página 40 36 McAfee Enterprise Security Manager 9.6.0 Guía del producto Primeros pasos Preferencias de la consola 2 La consola de ESM La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así como acceso rápido a notificaciones de alarmas y casos asignados. 1 Barra de navegación del sistema para las funciones de configuración generales. 2 Iconos para acceder a páginas de uso frecuente. 3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar cada dispositivo. 4 Panel de navegación del sistema para ver los dispositivos del sistema. 5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados. 6 Panel de vistas para los datos de eventos, flujos y registro. 7 Barra de herramientas de vistas para crear, editar y administrar las vistas. 8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos. Véase también Preferencias de la consola en la página 36 Uso del tema de color de la consola en la página 38 Selección de las opciones de visualización de la consola en la página 39 Establecimiento del valor de tiempo de espera de la consola en la página 40 McAfee Enterprise Security Manager 9.6.0 Guía del producto 37 2 Primeros pasos Preferencias de la consola Uso del tema de color de la consola Es posible personalizar la consola de ESM mediante la selección de un tema de color existente o el diseño de uno propio. También es posible editar o eliminar temas de color personalizados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado. 3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en Aceptar. Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un tema. 4 Haga clic en Aceptar para guardar la configuración. Véase también Preferencias de la consola en la página 36 La consola de ESM en la página 37 Selección de las opciones de visualización de la consola en la página 39 Establecimiento del valor de tiempo de espera de la consola en la página 40 Página Colores en la página 38 Página Seleccionar colores para tema en la página 38 Página Colores Aquí podrá seleccionar un tema de color existente, diseñar uno propio o bien editar o eliminar un tema personalizado. Tabla 2-3 Definiciones de opciones Opción Definición Seleccione un tema Haga clic en la miniatura del tema para seleccionarlo. La consola reflejará la selección. Agregar Permite crear un tema nuevo. Al hacer clic en esta opción, aparece la página Seleccionar colores para tema. Editar Realizar cambios en un tema de color personalizado. Quitar Eliminar un tema de color personalizado. Véase también Uso del tema de color de la consola en la página 38 Página Seleccionar colores para tema Permite agregar o editar un tema de color personalizado para la consola de ESM. La consola reflejará los cambios a medida que los establezca. Tabla 2-4 Definiciones de opciones 38 Opción Definición Nombre del tema Introduzca un nombre para el tema. Aplicación Seleccione el color del fondo y del texto para las partes superior e inferior del fondo de la consola. La parte superior se fusiona con la inferior. McAfee Enterprise Security Manager 9.6.0 Guía del producto 2 Primeros pasos Preferencias de la consola Tabla 2-4 Definiciones de opciones (continuación) Opción Definición Espacio de trabajo Seleccione el color del fondo y del texto para el espacio de trabajo de la consola, así como la transparencia del fondo. Componentes de vista Seleccione el color del fondo y del texto para los componentes de vista, y establezca la transparencia del fondo de los componentes. Cuadros de diálogo Seleccione el color del fondo y del texto para los cuadros de diálogo, y establezca la transparencia del fondo de los cuadros. Restablecer Permite restaurar los colores predeterminados. Véase también Uso del tema de color de la consola en la página 38 Selección de las opciones de visualización de la consola Establezca la configuración predeterminada para las vistas de la consola de ESM. En esta página, puede establecer el sistema para que haga lo siguiente: • actualizar los datos automáticamente en una vista abierta; • cambiar las vistas que se abren de forma predeterminada al iniciar el sistema; • cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar. Véase también Preferencias de la consola en la página 36 La consola de ESM en la página 37 Uso del tema de color de la consola en la página 38 Establecimiento del valor de tiempo de espera de la consola en la página 40 Página Vistas en la página 39 Página Vistas Permite establecer las preferencias para las vistas predeterminadas y actualizar automáticamente los datos de las vistas abiertas. Tabla 2-5 Definiciones de opciones Opción Definición Actualizar vistas automáticamente cada Seleccione esta opción si desea que los datos de una vista abierta se actualicen automáticamente y defina la frecuencia. Vista predeterminada del sistema La vista que aparece en el panel Vistas de forma predeterminada es Resumen predeterminado. Para cambiarla, seleccione una vista en la lista desplegable. Vista de resumen de eventos o Vista de resumen de flujos Si selecciona las opciones Resumir o Resumir según al acceder a información de detalle sobre una vista (véase Opciones de menú de componentes), las vistas que seleccione en cada uno de estos campos serán las predeterminadas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 39 2 Primeros pasos Preferencias de la consola Véase también Selección de las opciones de visualización de la consola en la página 39 Establecimiento del valor de tiempo de espera de la consola La sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definir la cantidad de tiempo de inactividad necesaria para que se cierre la sesión. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión. 2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir de inactividad y, después, haga clic en Aceptar. Si selecciona cero (0), la consola permanecerá abierta indefinidamente. Véase también Preferencias de la consola en la página 36 La consola de ESM en la página 37 Uso del tema de color de la consola en la página 38 Selección de las opciones de visualización de la consola en la página 39 40 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el ciclo de vida de administración de la seguridad de la organización. Contenido Administración de dispositivos Configuración de dispositivos Configuración de los servicios auxiliares Administración de la base de datos Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema ESM redundante Administración de ESM Uso de una lista negra global Enriquecimiento de datos Administración de dispositivos El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se McAfee Enterprise Security Manager 9.6.0 Guía del producto 41 3 Configuración del ESM Administración de dispositivos pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas existentes. Tabla 3-1 Definiciones de las funciones Esta función... Permite... 1 Barra de herramientas de acciones Seleccionar una acción para realizarla en los dispositivos del árbol de navegación del sistema. Icono de propiedades Configurar las opciones del sistema o el dispositivo seleccionados en el árbol de navegación del sistema. Icono de adición de Agregar dispositivos al árbol de navegación del sistema. dispositivos Marcas de estado Administración de varios dispositivos Iniciar, detener, reiniciar y actualizar varios dispositivos de forma individual. Obtener eventos y flujos Recuperar eventos y flujos de los dispositivos seleccionados. Eliminar un dispositivo Eliminar el dispositivo seleccionado. Actualizar 42 Ver alertas de estado de dispositivo. Actualizar los datos de todos los dispositivos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Tabla 3-1 Definiciones de las funciones (continuación) Esta función... Permite... 2 Tipo de pantalla Seleccionar la forma en que se desea organizar los dispositivos del árbol. El ESM incluye tres tipos predefinidos. • Pantalla física: se muestran los dispositivos de forma jerárquica. El primer nivel corresponde a nodos del sistema (pantalla física, ESM local y dispositivo de base del ESM local). El segundo nivel corresponde a los dispositivos individuales, mientras que el resto de niveles son los orígenes que se agregan a los dispositivos (origen de datos, dispositivo virtual, etc.). Los dispositivos de base se agregan automáticamente bajo los nodos de ESM local, origen de datos, dispositivo virtual y servidor de base de datos. Cuentan con un icono atenuado y se muestran entre paréntesis. • Pantalla de tipos de dispositivo: los dispositivos se agrupan por tipo de dispositivo (Nitro IPS, ADM, DEM, etc.). • Pantalla de zonas: los dispositivos se organizan según la zona, la cual se define mediante la función Administración de zonas. También es posible agregar tipos de pantallas personalizados (véase Organización de los dispositivos). 3 Búsqueda rápida Llevar a cabo una búsqueda rápida de un dispositivo en el árbol de navegación del sistema. 4 Árbol de navegación del sistema Ver los dispositivos del sistema. Véase también Página Administración de cada dispositivo en la página 43 Página Administración de cada dispositivo La página Administración de cada dispositivo permite acceder a varias opciones de administración avanzadas. Las opciones disponibles se basan en el dispositivo seleccionado. Tabla 3-2 Definiciones de opciones Opción Definición Conectar Permitir acceso al sistema. Conexiones Permite ver las conexiones activas con el DEM. Datos de dispositivo Descargar un archivo .tgz con información sobre el estado del dispositivo. Este archivo puede incluir la contraseña cifrada y otros detalles de configuración del origen de datos de carácter confidencial. Consultar agentes Descargar la información de estado del DEM y el agente. Transmisión Ver una transmisión de los eventos generados por el dispositivo seleccionado. Volcado de TCP Supervisar el tráfico que fluye por el dispositivo. Terminal Introducir comandos Linux en el dispositivo. Diferencia de tiempo Ver, editar o exportar una lista de los orígenes de datos que tienen un desfase de sincronización con el ESM superior al intervalo de tiempo establecido. Transporte Permite crear un archivo para importar en un receptor que incluye los orígenes de datos con la opción Exportar a formato de NitroFile. Actualizar dispositivo Cargar una nueva versión del software. McAfee Enterprise Security Manager 9.6.0 Guía del producto 43 3 Configuración del ESM Administración de dispositivos Tabla 3-2 Definiciones de opciones (continuación) Opción Definición Ver manager.log Ver la información del archivo de registro del servicio de supervisión de base de datos para revisar los eventos de comunicación entre el DEM y el agente. Ver estadísticas Ver las estadísticas sobre el rendimiento del dispositivo. Véase también Administración de dispositivos en la página 41 Visualización de información de dispositivo Es posible ver información general sobre un dispositivo. Abra la página Información del dispositivo para ver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Vea la información disponible y, a continuación, haga clic en Aceptar. Procedimientos • Adición de vínculos de URL en la página 46 Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo parte inferior de los componentes de la vista. , situado en la • Visualización de estadísticas de dispositivo en la página 46 Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos. • Visualización de registros de mensajes y estadísticas del dispositivo en la página 47 Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo. • Cambio del nombre del dispositivo en la página 48 Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar. Véase también Adición de vínculos de URL en la página 46 Visualización de estadísticas de dispositivo en la página 46 Visualización de registros de mensajes y estadísticas del dispositivo en la página 47 Cambio del nombre del dispositivo en la página 48 Página Información del dispositivo en la página 45 Página Nombre y descripción en la página 45 44 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Página Información del dispositivo Permite ver información general sobre un dispositivo. Las opciones disponibles varían en función del dispositivo seleccionado. Tabla 3-3 Definiciones de opciones Opción Definición ID de equipo Número de identificación del dispositivo. Si es necesario reactivar su equipo, el Soporte de McAfee le pedirá este número para enviarle el archivo correcto. Número de serie Número de serie del dispositivo. Modelo Número de modelo del dispositivo. Versión Versión de software que se ejecuta en el dispositivo. Compilación Número de compilación de la versión del software. Reloj (GMT) Fecha y hora en que se abrió o actualizó el dispositivo por última vez. Sincronizar reloj del dispositivo Sincronizar el reloj de este dispositivo con el reloj de ESM. Asistente de detección de anomalías En un IPS o dispositivo virtual, indica todas las variables disponibles en el dispositivo seleccionado. Lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones del tráfico de la red. Zona Zona a la que se ha asignado el dispositivo, en caso de haberlo hecho. Si hace clic en Zona, se abre el Administrador de directivas de zona (véase Adición de zonas). Directiva Estado actual de la directiva en el dispositivo. Si hace clic en Directiva, se abre el Editor de directivas (véase Editor de directivas). Estado El estado de los procesos del dispositivo, así como el estado de FIPS tras la ejecución de una prueba automática de FIPS (si el dispositivo se ejecuta en el modo FIPS). Modo En un IPS, indica si el dispositivo está en modo IPS o IDS. El modo IPS puede eliminar de forma activa el tráfico malicioso entrante o saliente. El modo IDS solo alerta sobre el tráfico malicioso, pero no realiza ninguna acción. Omisión En un IPS, indica si el dispositivo está en modo de omisión o no. En el modo de omisión, se permite que pase todo el tráfico, incluido el malicioso. Iniciar Inicia el dispositivo. Si el dispositivo ya está activo, no ocurre nada. Detener Detiene el dispositivo. Se le advertirá que se detendrá la recopilación de todos los datos. Reiniciar Reinicia el dispositivo. Se le advertirá que se detendrá la recopilación de datos durante el periodo de tiempo que tarde el sistema en reiniciarse. Actualizar Actualiza la información de la página. Véase también Visualización de información de dispositivo en la página 44 Página Nombre y descripción Permite ver y realizar cambios en el ID de dispositivo, el nombre del sistema y el dispositivo, la dirección URL y la descripción. Tabla 3-4 Definiciones de opciones Opción Definición ID de dispositivo Número de identificación asignado al dispositivo. Este número no se puede cambiar. Nombre Nombre asignado al dispositivo al agregarlo al sistema. McAfee Enterprise Security Manager 9.6.0 Guía del producto 45 3 Configuración del ESM Administración de dispositivos Tabla 3-4 Definiciones de opciones (continuación) Opción Definición Nombre del sistema Nombre que aparece en la pantalla LCD o SSH. Debe comenzar por un carácter alfabético y solo puede incluir caracteres alfanuméricos y guiones. URL Dirección donde se pueden ver detalles sobre eventos o flujos. Permite un máximo de 512 caracteres. Si la dirección URL incluye la dirección de una aplicación de terceros y es necesario adjuntar variables para representar los datos presentes en los eventos o flujos, haga clic en el icono de variables y selecciónelas. Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior de un componente de tabla para una vista de eventos o flujos. Esto le llevará a la aplicación de terceros y los datos de eventos o flujos asociados se pasarán a través de la URL. Descripción Descripción del dispositivo. Véase también Visualización de información de dispositivo en la página 44 Adición de vínculos de URL Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo vista. , situado en la parte inferior de los componentes de la Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Nombre y descripción y escriba la URL. 3 Haga clic en Aceptar para guardar los cambios. Véase también Visualización de información de dispositivo en la página 44 Visualización de estadísticas de dispositivo en la página 46 Visualización de registros de mensajes y estadísticas del dispositivo en la página 47 Cambio del nombre del dispositivo en la página 48 Visualización de estadísticas de dispositivo Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos. Antes de empezar Verifique que dispone del permiso Administración de dispositivo. 46 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono Propiedades 2 . Haga clic en la opción Administración del dispositivo y, después, en Ver estadísticas. Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada. Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica correspondiente. Véase también Adición de vínculos de URL en la página 46 Visualización de información de dispositivo en la página 44 Visualización de registros de mensajes y estadísticas del dispositivo en la página 47 Cambio del nombre del dispositivo en la página 48 Ficha Monitor de rendimiento para las estadísticas de dispositivo en la página 47 Ficha Monitor de rendimiento para las estadísticas de dispositivo Permite ver diversas estadísticas sobre el ESM o el dispositivo seleccionados. Tabla 3-5 Definiciones de opciones Opción Definición Intervalo de fechas Seleccione el momento sobre el que desee ver las estadísticas. Métricas Seleccione los tipos de métricas que desee ver. Actualizar Haga clic en esta opción para rellenar el gráfico y la tabla con las estadísticas correspondientes a las métricas seleccionadas. Gráfico Permite ver las estadísticas seleccionadas en forma de gráfico. Tabla Permite ver las estadísticas seleccionadas en forma de tabla. Columna Grupo Indica el tipo del grupo de métricas. Columna Métrica Indica las métricas, que son subcategorías del grupo de métricas. Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puede seleccionar las métricas o anular su selección para que los cambios se reflejen en el gráfico. Columna Escala Indica la escala de la métrica correspondiente. Columna Color Indica el color de la línea del gráfico que representa cada métrica. Véase también Visualización de estadísticas de dispositivo en la página 46 Visualización de registros de mensajes y estadísticas del dispositivo Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 47 3 Configuración del ESM Administración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones: Opción Descripción Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el archivo para descargar los datos a un archivo. Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz Ethernet, ifconfig y el filtro iptables. Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Le resultará útil si colabora con el Soporte de McAfee para solucionar un problema del sistema. Véase también Adición de vínculos de URL en la página 46 Visualización de estadísticas de dispositivo en la página 46 Visualización de información de dispositivo en la página 44 Cambio del nombre del dispositivo en la página 48 Cambio del nombre del dispositivo Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la descripción, o bien visualice el número de ID de dispositivo. 3 Haga clic en Aceptar. Véase también Adición de vínculos de URL en la página 46 Visualización de estadísticas de dispositivo en la página 46 Visualización de registros de mensajes y estadísticas del dispositivo en la página 47 Visualización de información de dispositivo en la página 44 Acerca de las claves de dispositivo Para que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clave de comunicación creada al aplicar la clave a dicho dispositivo. Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña. Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso de que se produzca una emergencia, o bien para exportar una clave a otro dispositivo. 48 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está comunicando correctamente con ese dispositivo. Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la comunicación con el dispositivo. Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la administración de directivas, el registro y la administración de ELM, y la configuración de origen de datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro ESM. Aplicación de la clave a un dispositivo Tras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación. La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentes externas de comunicación. Los caracteres siguientes no se pueden usar en el nombre de un dispositivo: ! @ # $ % ^ & * ) ( ] [ } {:;"'><>,/?`~+=\| Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves | Aplicar clave a dispositivo. Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el Asistente para aplicar clave a dispositivo. 3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente. 4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si desea realizar la exportación posteriormente. Véase también Exportación de una clave en la página 50 Importación de una clave en la página 52 Administración de claves SSH en la página 53 Asistente para aplicar clave a dispositivo en la página 50 Página Administración de claves en la página 50 McAfee Enterprise Security Manager 9.6.0 Guía del producto 49 3 Configuración del ESM Administración de dispositivos Asistente para aplicar clave a dispositivo Permite aplicar una clave al dispositivo para que se pueda comunicar. Tabla 3-6 Definiciones de opciones Opción Definición Introduzca la nueva contraseña Escriba y confirme una contraseña nueva para el dispositivo. Siguiente Haga clic aquí tras escribir y confirmar la contraseña. Se le notificará cuando se haya aplicado la clave al dispositivo correctamente. Exportar clave Permite exportar una copia de la clave. Esto es muy recomendable, ya que la necesitará en caso de tener que volver a agregar el dispositivo. Véase también Aplicación de la clave a un dispositivo en la página 49 Página Administración de claves La página Administración de claves permite aplicar una clave a un dispositivo, importar una clave, exportar una clave y administrar las claves SSH. Tabla 3-7 Definiciones de opciones Opción Definición Aplicar clave a dispositivo Aplicar la clave al dispositivo para que el ESM se pueda comunicar con él y resulte más seguro. Importar clave Importar una clave a fin de restaurar una configuración anterior del ESM, o bien para utilizarla en otro ESM o consola heredada. Exportar clave Exportar la clave y guardarla en un archivo distinto para poder utilizarla en el futuro. Administrar claves SSH Ver o eliminar las claves de comunicación SSH en este dispositivo. Véase también Aplicación de la clave a un dispositivo en la página 49 Exportación de una clave Tras aplicar la clave a un dispositivo, expórtela a un archivo. Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con clave aplicada en el modo FIPS para conocer el proceso correcto. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 50 Haga clic en Administración de claves | Exportar clave. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos 3 Defina la configuración en la página Exportar clave y haga clic en Aceptar. El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla. 4 Haga clic en Sí y seleccione dónde quiere guardar el archivo. Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada como No caduca nunca que incluya todos los privilegios. Véase también Aplicación de la clave a un dispositivo en la página 49 Importación de una clave en la página 52 Administración de claves SSH en la página 53 Página Exportar clave en la página 51 Página Exportar clave Permite exportar la clave de un dispositivo para que esté disponible en caso de tener que volver a agregar el dispositivo. Tabla 3-8 Definiciones de opciones para secciones Opción Definición Contraseña de exportación Escriba y confirme una contraseña. La necesitará cuando desee importar la de archivo clave en el futuro. Configuración de fecha de caducidad Establezca la fecha de caducidad, que es la cantidad de tiempo que se puede usar la clave si se ha importado a otro ESM o consola heredada. Seleccione No caduca nunca si no desea fijar una fecha. Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada como No caduca nunca que incluya todos los privilegios. Restricciones de clave Seleccione Activar clave de dispositivo solo en ESM especificado si desea que solo se active la clave en un ESM específico; después, introduzca el ID del sistema. Esto aporta seguridad adicional a la clave. Configuración de privilegios Seleccione los privilegios que desee asignar a la clave. Los privilegios disponibles son distintos para cada tipo de dispositivo. Todos ellos se describen más abajo. Si la clave se va a importar a otro ESM, seleccione estos privilegios con cautela. Asegúrese de que los privilegios otorgados al otro ESM no le permitan realizar funciones no deseadas. Tabla 3-9 Definiciones de opciones para privilegios Opción Definición Aplicar reglas Aplicar nuevas reglas de directiva al dispositivo. Configurar archivado de datos Cambiar la configuración de archivado de datos en el receptor. Configurar orígenes de datos Cambiar la configuración de origen de datos en el receptor. Configurar servidores de base de datos Cambiar la configuración del servidor de base de datos en los dispositivos DEM. Configurar administradores Cambiar la configuración correspondiente a los administradores de correlación de riesgos. Configurar interfaces de red Cambiar la configuración de interfaz de red en el dispositivo. Configurar SNMP Cambiar la configuración de SNMP en el dispositivo. Configurar dispositivos virtuales Cambiar la configuración de dispositivo virtual en el dispositivo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 51 3 Configuración del ESM Administración de dispositivos Tabla 3-9 Definiciones de opciones para privilegios (continuación) Opción Definición Administración de DEM Llevar a cabo funciones necesarias para administrar los dispositivos DEM. Administración de archivado de ELM Administrar los archivos de registros de ELM. Exportar Volver a exportar la clave. Reiniciar dispositivo Apagar el dispositivo y volver a encenderlo. Volver a aplicar clave Cambiar el token de McAfee. Establecer agregación Establecer y cambiar la configuración de agregación para eventos y flujos. Iniciar dispositivo Iniciar la supervisión del tráfico. Detener dispositivo Detener la supervisión del tráfico. Sincronizar reloj Sincronizar la configuración del reloj en el dispositivo. Terminal Acceder a la funcionalidad de terminal. Actualizar software Actualizar la versión de software del dispositivo. Escribir reglas estándar Agregar las reglas estándar a la directiva. Escribir en firewall Agregar las reglas de firewall a la directiva. Véase también Exportación de una clave en la página 50 Importación de una clave Es posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarla en otro ESM o consola heredada. Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la versión 8.5 o posterior. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves | Importar clave. 3 Ubique y seleccione el archivo de clave guardado. 4 Haga clic en Cargar y escriba la contraseña establecida al exportar la clave. Una vez que la clave se importa correctamente, aparece una página con el estado. Véase también Aplicación de la clave a un dispositivo en la página 49 Exportación de una clave en la página 50 Administración de claves SSH en la página 53 Opción Importar clave en la página 53 52 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Opción Importar clave Importe una clave para restaurar la configuración anterior del ESM. Tabla 3-10 Definiciones de opciones Opción Definición Carga de archivo Localice el archivo de clave de dispositivo que desee cargar en el ESM. Haga clic en esta opción para cargar el archivo en el ESM y, después, escriba la contraseña establecida durante la exportación de la clave. Cargar Véase también Importación de una clave en la página 52 Administración de claves SSH Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que necesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se elimina la clave. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Administración de claves y, después, en Administrar claves SSH. La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el dispositivo. 3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los sistemas de la lista. 4 Confirme la eliminación y haga clic en Aceptar. Véase también Aplicación de la clave a un dispositivo en la página 49 Exportación de una clave en la página 50 Importación de una clave en la página 52 Página Administrar claves SSH en la página 53 Página Administrar claves SSH Permite ver o eliminar las claves de comunicación SSH con las que se puede comunicar este dispositivo. Tabla 3-11 Definiciones de opciones Opción Definición Tabla Claves autorizadas Permite ver los equipos para los cuales tiene claves de comunicación SSH este dispositivo. Si está activado SSH, los equipos de la lista se podrán comunicar. Hosts conocidos En el caso de los dispositivos, permite administrar las claves de cualquier dispositivo compatible con SSH con el que se haya comunicado el dispositivo en cuestión (por ejemplo, el receptor de un origen de datos SCP). En el caso del ESM, permite ver las claves de todos los dispositivos del árbol de sistemas con el que se comunica el ESM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 53 3 Configuración del ESM Administración de dispositivos Tabla 3-11 Definiciones de opciones (continuación) Opción Definición Tabla Hosts conocidos Permite ver la dirección IP, el nombre de dispositivo y la huella digital ya introducidos de acuerdo con los datos del host disponibles en el archivo de hosts conocidos (root/.ssh/known_hosts). Huella digital del dispositivo Permite ver la huella digital de este dispositivo, que se genera a partir de la clave SSH pública del dispositivo. Eliminar Eliminar el elemento seleccionado en el ESM. Ver clave Ver la clave del elemento seleccionado. Véase también Administración de claves SSH en la página 53 Actualización del software en un dispositivo Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un archivo en el ESM o su equipo local. Antes de empezar Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de credenciales de actualización de reglas). Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una actualización certificada. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Actualizar dispositivo. 3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local. El dispositivo se reiniciará con la versión de software actualizada. Véase también Página Seleccionar archivo de actualización de software en la página 55 54 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Página Seleccionar archivo de actualización de software Permite seleccionar el archivo para actualizar el software en uno o varios dispositivos. Tabla 3-12 Definiciones de opciones Opción Definición Nombre de archivo Seleccione una de las actualizaciones disponibles. Examinar Permite acceder a un archivo obtenido mediante un ingeniero de seguridad de McAfee o el servidor de reglas y actualizaciones de McAfee. Aceptar Si actualiza un dispositivo mediante la opción de administración Actualizar dispositivo, se iniciará el proceso de actualización. Si actualiza varios dispositivos mediante la opción Administración de varios dispositivos, volverá a aparecer la página Administración de varios dispositivos. Véase también Actualización del software en un dispositivo en la página 54 Organización de los dispositivos El árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puede seleccionar la forma de visualizarlos mediante la función de tipo de pantalla. A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera lógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría ser mejor mostrar los dispositivos según su zona. Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la organización de los dispositivos. Configuración del control de tráfico de la red en un dispositivo Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS, ADM y DEM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades 2 . Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último, haga clic en la ficha Tráfico. La tabla presenta una lista de los controles existentes. McAfee Enterprise Security Manager 9.6.0 Guía del producto 55 3 Configuración del ESM Administración de dispositivos 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. Véase también Ficha Tráfico en la página 56 Página Agregar tasa de rendimiento en la página 56 Ficha Tráfico Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío de tráfico. Tabla 3-13 Definiciones de las opciones Opción Definición Columna Red Permite ver las direcciones de las redes en las que el sistema controla el tráfico saliente en función de lo que se haya definido. Columna Máscara (Opcional) Ver las máscaras para las direcciones de red. Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red. Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar. Véase también Configuración del control de tráfico de la red en un dispositivo en la página 55 Configuración del control del tráfico de red en el ESM en la página 258 Página Agregar tasa de rendimiento Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío de tráfico saliente. Tabla 3-14 Definiciones de las opciones Opción Definición Red Escriba la dirección de la red en la que desee controlar el tráfico saliente. Máscara (Opcional) Seleccione una máscara para la dirección de red. Tasa Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por segundo para el envío de tráfico. Véase también Configuración del control de tráfico de la red en un dispositivo en la página 55 Configuración del control del tráfico de red en el ESM en la página 258 Configuración de notificaciones SNMP Para configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturas se deben enviar, así como sus destinos. Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesario establecer uno para la dirección IP compartida. 56 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | SNMP. 3 Defina la configuración y haga clic en Aceptar. Sincronización del dispositivo con ESM Si tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar la configuración. Si no dispone de una copia de seguridad de la base de datos actualizada, también deberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base de datos con ESM para que puedan reanudar la extracción de eventos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Sincronizar dispositivo. 3 Una vez completada la sincronización, haga clic en Aceptar. Configuración de la comunicación con ELM Si pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y Sincronizar ELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizar el ELM con el dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración y realice una de las acciones siguientes: Haga clic en... Para... IP de ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberá hacer esto si cambia la dirección IP del ELM o la interfaz de administración de ELM a través de la cual este dispositivo se comunica con el ELM. Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar esta función, la comunicación SSH entre ambos dispositivos se restablece por medio de la clave del nuevo dispositivo y la configuración anterior. McAfee Enterprise Security Manager 9.6.0 Guía del producto 57 3 Configuración del ESM Administración de dispositivos Establecimiento del grupo de registro predeterminado Si tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos de eventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registro predeterminado. El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Registro. 3 Realice las selecciones adecuadas en las páginas que se abrirán. Se le informará cuando se active el registro de datos de este dispositivo en el ELM. Véase también Orígenes de datos de receptor en la página 93 Página Registro en la página 58 Página Registro Permite configurar el grupo de registro predeterminado para que los eventos generados por este dispositivo se puedan enviar a un dispositivo ELM. Se abrirán páginas distintas en función de la configuración actual de registro del sistema. Tabla 3-15 Definiciones de opciones Opción Definición Página Configuración de registro Seleccione Registro para activarlo. Vínculo Registro Haga clic para acceder a la página Opciones de registro de ELM. Página Opciones de registro de ELM Seleccione el grupo de almacenamiento donde se registrarán los datos en el ELM. Página Asociación dispositivo - ELM Si no ha seleccionado el ELM donde desea registrar los datos, confirme que desea hacerlo. Una vez realizada la asociación, no es posible cambiarla. Página Seleccionar ELM para registro Si dispone de más de un ELM en el sistema, seleccione el que desee que registre los datos. Página Seleccionar dirección IP de ELM Seleccione la dirección IP que desee usar para la comunicación del dispositivo con el ELM. Página No hay grupos de ELM Si no tiene grupos de almacenamiento en el ELM, acceda aPropiedades de ELM | Grupos de almacenamiento para agregarlos. Véase también Establecimiento del grupo de registro predeterminado en la página 58 58 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Introducción de comandos Linux en un dispositivo Utilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función está destinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux, exporte el archivo o transfiera archivos. 5 Haga clic en Cerrar. Otorgar acceso al sistema Cuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero de soporte técnico para que vea su sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración | Conectar. El botón cambiará a Desconectar y se le proporcionará la dirección IP. 3 Informe de la dirección IP al ingeniero de soporte técnico. Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña. 4 Haga clic en Desconectar para finalizar la conexión. Supervisión del tráfico Si necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 59 3 Configuración del ESM Administración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 En el dispositivo, haga clic en Administración. 3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la instancia. Véase también Sección Volcado de TCP en la página 60 Sección Volcado de TCP Utilice Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo. Tabla 3-16 Definiciones de opciones Opción Definición Argumentos de línea de comandos Escriba los argumentos que se pasarán al comando de volcado de TCP. Por ejemplo, para ver todo el tráfico de la primera interfaz de red del dispositivo, podría escribir -nni eth0 Iniciar Permite iniciar el volcado en el dispositivo. Detener Haga clic aquí cuando el tráfico deseado haya pasado por el dispositivo. Exportar Permite exportar los resultados a un archivo. Véase también Supervisión del tráfico en la página 59 Inicio, detención, reinicio o actualización de un dispositivo Es posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después, haga clic en Iniciar, Detener, Reiniciar o Actualizar. Cambio de la conexión con el ESM Cuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe la posibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar el estado de la conexión. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el ESM se comunica con el dispositivo. 60 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Conexión y realice los cambios. 3 Haga clic en Aplicar. Véase también Cambio de la conexión con el ESM en la página 60 Página Conexión de McAfee ePO en la página 61 Cambio de la conexión con el ESM en la página 60 Página Conexión Permite configurar la conexión entre el dispositivo y ESM. Tabla 3-17 Definiciones de opciones Opción Definición Nombre/Dirección IP de destino Escriba la dirección IP o el nombre de host que utiliza ESM para comunicarse con el dispositivo. Puerto de destino Seleccione el puerto utilizado para intentar la comunicación (el puerto predeterminado es el 22). ID de dispositivo Ver el número de identificación del dispositivo. Marcar este dispositivo como desactivado Permite detener la comunicación SSH con ESM. El icono correspondiente a este dispositivo en el árbol de navegación del sistema indicará que está desactivado. Estado (Opcional) Haga clic para comprobar la conexión. Página Conexión de McAfee ePO Esta página incluye la información introducida al agregar el dispositivo de McAfee ePO a la consola. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el dispositivo se comunica con el ESM. Tabla 3-18 Definiciones de opciones Opción Definición Receptor asociado Seleccione el receptor asociado con el dispositivo. Puede seleccionar en vínculo para abrir la página Propiedades del receptor. Parámetros de inicio de sesión de base de datos Cambiar los parámetros de inicio de sesión de la base de datos para poder extraer eventos. Credenciales de interfaz de usuario de sitio web Cambiar la configuración para acceder a la interfaz de usuario web. Solicitar autenticación de usuario Seleccione esta opción para obligar a todos los usuarios a autenticarse con un nombre de usuario y una contraseña antes de acceder al dispositivo. Conectar Permite probar la conexión con la base de datos o con la Web. Véase también Cambio de la conexión con el ESM en la página 60 McAfee Enterprise Security Manager 9.6.0 Guía del producto 61 3 Configuración del ESM Administración de dispositivos Dispositivos virtuales Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de supervisar el tráfico, comparar patrones de tráfico y generar informes. Finalidad y ventajas Los dispositivos virtuales se pueden usar para diversos propósitos: • Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas. • Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado. • Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de acuerdo con directivas distintas. Número máximo de dispositivos por modelo El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo: Máximo de dispositivo Modelo 2 APM-1225 NTP-1225 APM-1250 NTP-1250 4 APM-2230 NTP-2230 NTP-2600 APM-3450 NTP-3450 8 NTP-2250 NTP-4245 NTP-5400 0 APM-VM NTP-VM Utilización de las reglas de selección Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará un dispositivo virtual. Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los dispositivos virtuales. 62 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4: • Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual situado antes en la lista. • Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo virtual. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último. Orden de los dispositivos virtuales El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes que llegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivo virtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega a las reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de selección del primero. • Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de ADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto. • Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales (Propiedades de IPS | Dispositivos virtuales). Dispositivos ADM virtuales Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtros de interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual ADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista de filtros disponibles hasta que se elimina de ese dispositivo. Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo ADM virtual. Véase también Adición de un dispositivo virtual en la página 65 Administración de reglas de selección en la página 64 McAfee Enterprise Security Manager 9.6.0 Guía del producto 63 3 Configuración del ESM Administración de dispositivos Administración de reglas de selección Las reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivo virtual. Es posible agregar, editar y eliminar reglas de selección. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades . Haga clic en Dispositivos virtuales y, después, en Agregar. Se abrirá la ventana Agregar dispositivo virtual. 3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden. Véase también Dispositivos virtuales en la página 62 Página Agregar regla de selección en la página 64 Página Agregar regla de selección La adición de reglas de selección al dispositivo virtual permite establecer qué paquetes procesará el dispositivo. Tabla 3-19 Definiciones de opciones Opción Definición Página Agregar regla de selección del ADM Seleccione uno de los filtros de interfaz y haga clic en Aceptar. Página Agregar regla de selección de IPS Introduzca un valor en uno de los campos como mínimo: Pueden existir hasta cuatro filtros de interfaz de ADM. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual ADM de forma simultánea. • IP/máscara de origen e IP/máscara de destino: escriba una única dirección IP con el formato IPv4. Se aceptan las máscaras para estas direcciones IP. • Protocolo: escriba una cadena (por ejemplo, tcp). También se puede indicar el equivalente numérico de todos los protocolos (por ejemplo, 6 para tcp). • Puerto de origen y Puerto de destino: escriba un valor de puerto único, un intervalo de puertos separados por el carácter de dos puntos o un intervalo inclusivo de puertos, ya sea con un carácter de dos puntos al principio o al final. • VLAN: escriba o seleccione un valor entre 0 y 4095, donde 0 significa que no se realiza filtrado alguno en la VLAN para esta regla de selección. • Interfaz: seleccione la parte pública o la parte privada de una única interfaz para realizar el filtrado. Véase también Administración de reglas de selección en la página 64 64 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Adición de un dispositivo virtual Es posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas de selección que determinan qué paquetes procesará cada dispositivo. Antes de empezar Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado (véase Acerca de los dispositivos virtuales). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono Propiedades . 2 Haga clic en Dispositivos virtuales | Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. 4 Haga clic en Escribir para agregar la configuración al dispositivo. Véase también Dispositivos virtuales en la página 62 Página Dispositivos virtuales en la página 65 Página Agregar dispositivo virtual en la página 66 Página Dispositivos virtuales La página Dispositivos virtuales es el punto de inicio para establecer la configuración de las opciones de todos los dispositivos virtuales correspondientes al ADM o IPS. Es posible agregar, editar y eliminar dispositivos y reglas de selección, lo cual determina qué paquetes procesa cada dispositivo virtual. Tabla 3-20 Definiciones de opciones Opción Definición Tabla Dispositivos virtuales Indica los dispositivos virtuales que existen en la actualidad en el IPS o ADM. Registro Activa o desactiva el registro en todos los dispositivos virtuales. Icono Establecer un grupo de almacenamiento... Abre la página Opciones de registro de ELM para poder agregar un grupo de almacenamiento a los dispositivos virtuales seleccionados. Agregar Abre la página Agregar dispositivo virtual. Editar Abre la página Editar dispositivo virtual, donde se puede cambiar la configuración del dispositivo virtual seleccionado. Quitar Elimina el dispositivo seleccionado de la tabla. Flechas Subir y Bajar Permiten mover el dispositivo virtual seleccionado hacia arriba o hacia abajo en la lista de dispositivos del sistema. El orden es importante porque los paquetes se procesan empezando por el primer dispositivo virtual de la lista y desde ahí hacia abajo. Escribir Permite escribir los cambios realizados en los dispositivos virtuales al IPS o ADM. Véase también Adición de un dispositivo virtual en la página 65 McAfee Enterprise Security Manager 9.6.0 Guía del producto 65 3 Configuración del ESM Administración de dispositivos Página Agregar dispositivo virtual Permite agregar un dispositivo virtual a un IPS o ADM. Tabla 3-21 Definiciones de opciones Opción Definición Nombre Introduzca un nombre para el dispositivo virtual. URL Introduzca la dirección URL para ver la información de este dispositivo virtual, en caso de tener una configurada. Haga clic en el icono Variables agregar una variable a la dirección. Activado si necesita Seleccione esta opción si desea activar el dispositivo. Grupo de almacenamiento Si dispone de un ELM en el sistema y desea que los datos recibidos por este dispositivo se registren en el ELM, haga clic en este vínculo y seleccione el grupo de almacenamiento. IPv4 o IPv6 En el caso de un dispositivo virtual IPS, indique si analizará el tráfico IPv4 o IPv6. Zona Si ha definido zonas en el sistema (véase Administración de zonas), seleccione la zona a la que se debe asignar este dispositivo virtual. Descripción Agregue aquí notas o información importante sobre el dispositivo. Agregar Haga clic aquí para agregar reglas de selección al dispositivo a fin de determinar qué paquetes se procesarán. Editar Permite cambiar la configuración de Regla de selección. Quitar Haga clic aquí para eliminar la regla seleccionada. Flechas Subir y Bajar Permiten cambiar el orden de las reglas. Véase también Adición de un dispositivo virtual en la página 65 Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 66 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos Para... Haga esto... Agregar un tipo de pantalla personalizada 1 Haga clic en Agregar pantalla. Editar un tipo de pantalla personalizada 1 3 2 Rellene los campos y haga clic en Aceptar. Haga clic en el icono Editar que desee editar. situado junto al tipo de pantalla 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Véase también Adición de dispositivos a la consola de ESM en la página 34 Selección de un tipo de pantalla en la página 35 Administración de un grupo en un tipo de pantalla personalizada en la página 67 Administración de un grupo en un tipo de pantalla personalizada Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en agrupaciones lógicas. Antes de empezar Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas personalizadas). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione la pantalla personalizada y haga una de estas cosas: Para... Haga esto... Agregar un nuevo grupo 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo de la barra de herramientas de acciones. 2 Rellene los campos y haga clic en Aceptar. 3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo. Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de sistemas. Editar un grupo Eliminar un grupo Seleccione el grupo, haga clic en el icono Propiedades página Propiedades de grupo. y realice cambios en la Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los dispositivos no se eliminarán del sistema. McAfee Enterprise Security Manager 9.6.0 Guía del producto 67 3 Configuración del ESM Administración de dispositivos Véase también Adición de dispositivos a la consola de ESM en la página 34 Selección de un tipo de pantalla en la página 35 Administración de tipos de pantallas personalizadas en la página 35 Eliminación de dispositivos duplicados en el árbol de navegación del sistema Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione el icono Editar 3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar. situado junto a la pantalla que incluye los dispositivos duplicados. Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente. Administración de varios dispositivos La opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez, así como actualizar el software en ellos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 3 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar. Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones. Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a continuación, haga clic en Iniciar. Véase también Página Administración de varios dispositivos en la página 69 68 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Página Administración de varios dispositivos Permite iniciar, detener, reiniciar o actualizar el software en varios dispositivos al mismo tiempo. Tabla 3-22 Definiciones de opciones Opción Definición Operación Seleccione la operación que desee realizar. • Iniciar: inicia los dispositivos seleccionados. • Detener: detiene los dispositivos seleccionados. • Reiniciar: detiene y reinicia los dispositivos seleccionados. • Actualizar: actualiza los dispositivos seleccionados con el software elegido en la página Seleccionar archivo de actualización de software. Nombre de dispositivo Ver una lista de los dispositivos que se pueden administrar. Columna Incluir Seleccione los dispositivos. Seleccionar todo Haga clic en esta opción para seleccionar todos los dispositivos. No seleccionar nada Haga clic en esta opción para anular la selección de todos los dispositivos. Iniciar Haga clic para iniciar la operación. Columna Estado Permite ver el estado de la operación en cada dispositivo. Cerrar Haga clic en esta opción para cerrar la página Administración de varios dispositivos. La operación continuará hasta que finalice. Véase también Administración de varios dispositivos en la página 68 Administración de vínculos de URL para todos los dispositivos Es posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos en una dirección URL. Antes de empezar Configure el sitio de la dirección URL para el dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada | Vínculos de dispositivo. 2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL. El campo de URL tiene un límite de 512 caracteres. 3 Haga clic en Aceptar. Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo Análisis de eventos y Análisis de flujos de cada dispositivo. en la parte inferior de las vistas Véase también Página Vínculos de dispositivo predeterminados en la página 70 McAfee Enterprise Security Manager 9.6.0 Guía del producto 69 3 Configuración del ESM Administración de dispositivos Página Vínculos de dispositivo predeterminados Permite configurar o eliminar un vínculo de URL para un dispositivo. Tabla 3-23 Definiciones de opciones Opción Definición Columna Nombre de dispositivo Indica todos los dispositivos del ESM. Columna URL Muestra las direcciones URL ya configuradas para cada dispositivo. Editar Abre la página Editar URL, donde se puede escribir la dirección URL. Quitar URL Permite eliminar la dirección URL del dispositivo seleccionado. Véase también Administración de vínculos de URL para todos los dispositivos en la página 69 Página Editar URL Permite agregar la dirección URL del dispositivo seleccionado. Tabla 3-24 Definiciones de opciones Opción Definición URL Escriba la dirección del sitio URL correspondiente al dispositivo. Icono Variable Si la dirección URL introducida incluye la dirección de una aplicación de terceros y necesita adjuntar alguna variable a la dirección URL que representa los datos presentes en eventos y flujos, haga clic en la ubicación dentro de la dirección URL donde insertar la variable, haga clic en el icono de variable y seleccione la variable. Visualización de informes de resumen de dispositivos Los informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, así como la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar con formato de valores separados por comas (CSV). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Ver informes. 2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento. 3 Haga clic en Aceptar. Véase también Página Informes de resumen de dispositivos en la página 71 70 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Página Informes de resumen de dispositivos Permite ver y exportar informes sobre todos los dispositivos del sistema. Tabla 3-25 Definiciones de opciones Opción Definición Recuento de tipos de dispositivos Ver una lista de los tipos de dispositivos y cuántos de cada tipo hay en el ESM. Hora del evento Ver la última vez que se recibió un evento en cada dispositivo del ESM. Exportar a CSV Exportar un informe en formato CSV con esta información a la ubicación especificada. Véase también Visualización de informes de resumen de dispositivos en la página 70 Visualización de un registro de sistema o dispositivo Los registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos. Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y el último evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registro del sistema o Registro de dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Visualización de un resumen de datos de eventos: • Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema. • Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo. A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver. Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el intervalo de tiempo especificado. Véase Página Página Página Página también Registro del sistema en la página 71 de resumen Registro del sistema en la página 72 de vista previa Registro de dispositivo en la página 72 Registro de dispositivo en la página 73 Página Registro del sistema Permite ver una lista detallada de los eventos y los cambios de la configuración de seguridad del ESM durante el intervalo de tiempo especificado. Tabla 3-26 Definiciones de opciones Opción Definición Hora de inicio, Hora de fin Cambie el intervalo de tiempo de la lista de eventos y haga clic en Actualizar. Exportar Permite exportar porciones de todo el registro a un archivo de texto sin formato. Es posible exportar un máximo de 50 000 registros de una vez. McAfee Enterprise Security Manager 9.6.0 Guía del producto 71 3 Configuración del ESM Administración de dispositivos Tabla 3-26 Definiciones de opciones (continuación) Opción Definición Icono de filtro de la primera columna (Estado) Seleccione este icono si desea ver todos los eventos, solo los relacionados con el estado o solo los no relacionados con el estado. Los eventos de registro relacionados con el estado se generan en los dispositivos individuales y se recuperan cuando se extraen eventos, flujos y registros del dispositivo. Icono de filtro de las columnas Categoría, Nombre y Nombre de dispositivo Haga clic en él para filtrar los eventos por categoría, nombre de usuario o dispositivo. Véase también Visualización de un registro de sistema o dispositivo en la página 71 Página de resumen Registro del sistema Permite ver un resumen de los eventos generados y de todos los cambios de la configuración de seguridad realizados en el ESM. Tabla 3-27 Definiciones de opciones Opción Definición Recuento de eventos Ver el número de eventos generados en el sistema. Primer evento Ver la hora en que se generó el primer evento. Último evento Ver la hora en que se generó el último evento. Hora de inicio, Hora de fin Para ver una lista detallada de los eventos, seleccione el intervalo de tiempo que desee ver. Ver Haga clic aquí para abrir el Registro del sistema. Véase también Visualización de un registro de sistema o dispositivo en la página 71 Página de vista previa Registro de dispositivo Permite ver un resumen de todos los cambios realizados en el dispositivo desde ESM. Tabla 3-28 Definiciones de opciones Opción Definición Recuento de eventos Número total de eventos registrados en el dispositivo. Primer evento Fecha y hora en que tuvo lugar el primer evento del registro. Último evento Fecha y hora en que tuvo lugar el último evento del registro. Hora de inicio, Hora de fin Si desea ver los eventos de un intervalo de tiempo concreto, introduzca las horas de inicio y fin en estos campos. Ver Permite ver los eventos del intervalo de tiempo especificado. Véase también Visualización de un registro de sistema o dispositivo en la página 71 72 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de dispositivos 3 Página Registro de dispositivo Permite ver detalles sobre los eventos que han tenido lugar en un dispositivo en el espacio de tiempo especificado. Tabla 3-29 Definiciones de opciones Opción Definición Hora de inicio, Hora de fin Defina el intervalo de tiempo para los eventos que desee ver. Actualizar Haga clic para actualizar los datos de la tabla. Exportar Permite exportar los eventos que aparecen en el registro a un archivo de texto sin formato. Iconos de filtrado del encabezado de la tabla Haga clic en ellos para filtrar los datos incluidos en el registro. Cada filtro proporciona las opciones de filtrado correspondientes. Véase también Visualización de un registro de sistema o dispositivo en la página 71 Informes de estado de mantenimiento de los dispositivos Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco junto a los nodos de (informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) sistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la página McAfee Enterprise Security Manager 9.6.0 Guía del producto 73 3 Configuración del ESM Administración de dispositivos Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier problema. Una marca en este tipo de nodo... Abre... Sistema o grupo La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de estado correspondientes a los dispositivos asociados con el sistema o el grupo. Puede mostrar las siguientes alertas de estado: • Partición eliminada: una tabla de base de datos que contiene los datos de eventos, flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a fin de agregar espacio para los registros nuevos. Los datos de eventos, flujos y registro se pueden exportar para evitar su pérdida permanente. • Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto podría incluir el disco duro del ESM, el ESM redundante o el punto de montaje remoto. • Crítico: el dispositivo no funciona bien y se debe arreglar. • Advertencia: algo no funciona en el dispositivo como debería. • Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado. • Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de base de datos del ESM no está sincronizada con el dispositivo. • Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que se ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo los antiguos. • Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijado como umbral de inactividad. • Desconocido: el ESM no ha podido conectar con el dispositivo. Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrar marcando las casillas de verificación situadas junto a los indicativos y haciendo clic en Borrar selección o Borrar todo. Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a las ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes botones: • Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo muestran un resumen de todas las acciones que han tenido lugar en el sistema o el dispositivo. • Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual permite comprobar la existencia de problemas. • Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento en el intervalo de tiempo especificado. Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia o crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo. 74 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de dispositivos Estado Descripción e instrucciones Modo de omisión La interfaz de red (NIC) está en el modo de omisión. Entre las causas posibles están el fallo de un proceso de sistema crítico, el establecimiento manual del dispositivo en el modo de omisión o un fallo de otro tipo. Si desea sacar el dispositivo del modo de omisión, acceda en el dispositivo a Propiedades | Configuración | Interfaces. No se está ejecutando la inspección profunda de paquetes (DPI) Se ha producido un fallo de inspección profunda de paquetes (DPI). Podría recuperarse sin necesidad de intervención. Si no es así, reinicie el dispositivo. El programa de alerta de Se ha producido un fallo de funcionamiento del agregador de alertas firewall (ngulogd) no se está de firewall (FAA). Podría recuperarse sin necesidad de intervención. Si ejecutando no es así, reinicie el dispositivo. La base de datos no se está ejecutando Se ha producido un fallo de funcionamiento en el servidor de McAfee Extreme Database (EDB). Puede que el problema se resuelva reiniciando el dispositivo, pero cabe la posibilidad de que la base de datos necesite reconstrucción. Modo de sobresuscripción Si la red supervisada tiene un tráfico superior al que Nitro IPS puede gestionar, los paquetes de red podrían no inspeccionarse. El monitor de estado genera una alerta que indica que existe sobresuscripción en el dispositivo Nitro IPS. De forma predeterminada, el valor del modo de sobresuscripción está configurado para la supresión. Si desea cambiar este valor, acceda a Editor de directivas, haga clic en Variable en el panel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredar para la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso y Supresión para esta variable. El canal de control no funciona El proceso que proporciona el canal de comunicación con el ESM ha fallado. El problema se podría solucionar reiniciando el dispositivo. Los programas RDEP o Syslog no se están ejecutando Si existe un fallo de funcionamiento en el subsistema que gestiona los orígenes de datos de terceros (como Syslog o SNMP), se genera una alerta crítica. Se genera una alerta de nivel de advertencia si el recopilador no ha recibido datos del origen de datos de tercero durante una cantidad de tiempo concreta. Esto indica que el origen de datos podría no estar funcionando o no estar enviando datos al receptor como se esperaba. El monitor de estado no se puede comunicar con el programa controlador de inspección profunda de paquetes (DPI) El monitor de estado no es capaz de comunicarse con la inspección profunda de paquetes (DPI) para recuperar su estado. Esto podría indicar que el programa de control no se está ejecutando y que el tráfico de red podría no estar pasando por Nitro IPS. Es posible que el problema se solucione volviendo a aplicar la directiva. El registrador del sistema no El registrador del sistema no responde. El problema se podría se está ejecutando solucionar con el reinicio del dispositivo. Queda poco espacio libre en la partición del disco duro La cantidad de espacio libre es crítica. Alerta de velocidad de ventilador El ventilador gira muy lentamente o no se mueve en absoluto. Hasta que se pueda reemplazar el ventilador, mantenga el dispositivo en una sala con aire acondicionado a fin de evitar daños. Alerta de temperatura La temperatura de los componentes críticos supera un cierto umbral. Mantenga el dispositivo en una habitación con aire acondicionado para evitar daños permanentes. Compruebe si hay algo bloqueando el flujo de aire en el dispositivo. Errores de red Existen errores en la red o un exceso de colisiones en ella. La causa podría ser un dominio con mucha colisión o fallos en los cables de red. Problema en un punto de montaje remoto Existe un problema en un punto de montaje remoto. McAfee Enterprise Security Manager 9.6.0 Guía del producto 75 3 Configuración del ESM Configuración de dispositivos Estado Descripción e instrucciones Poco espacio de disco libre Queda poco espacio libre en el disco del punto de montaje remoto. en punto de montaje remoto Todos los recopiladores de origen de datos que no han recibido comunicación de un origen de datos durante al menos diez minutos El receptor no ha recibido comunicación alguna de un origen de datos durante un mínimo de diez minutos. El recopilador de orígenes de Existe un fallo de funcionamiento en el subsistema que controla los datos no funciona orígenes de datos de terceros (como Syslog o SNMP). El recopilador no ha recibido ningún dato del origen de datos de terceros en una cantidad de tiempo concreta. Puede que el origen de datos no esté funcionando o no esté enviando datos al receptor como se esperaba. El monitor de estado no puede obtener un estado válido de un subsistema El monitor de estado no ha podido obtener un estado válido para un subsistema. Recuperación de un subsistema de un estado de advertencia o crítico Cuando se inicia y se detiene el monitor de estado, se genera una alerta informativa. Si el monitor de estado tiene problemas de comunicación con otros subsistemas del dispositivo, también se genera una alerta. Es posible que el registro de eventos proporcione detalles sobre las causas de las alertas de advertencia y críticas. Eliminación de un grupo o dispositivo Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol de navegación del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga clic en el icono Eliminar de la barra de acciones. 2 Cuando se le solicite confirmación, haga clic en Aceptar. Actualización de dispositivos Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la del ESM. • En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos . Configuración de dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. Véase también Página Configuración del dispositivo en la página 77 Contenido Página Configuración del dispositivo Configuración de Event Receiver 76 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos Configuración Configuración Configuración Configuración Configuración Configuración Configuración Configuración Configuración 3 de Enterprise Log Manager (ELM) de Advanced Correlation Engine (ACE) de Application Data Monitor (ADM) de Database Event Monitor (DEM) del ESM distribuido (DESM) de ePolicy Orchestrator de Nitro Intrusion Prevention System (Nitro IPS) de McAfee Vulnerability Manager de McAfee Network Security Manager Página Configuración del dispositivo Permite configurar y aplicar las opciones del dispositivo. Las opciones de configuración disponibles varían en función del tipo de dispositivo. Tabla 3-30 Definiciones de opciones Opción Definición Configuración de la ACL Configure las opciones de control de acceso para restringir el acceso al dispositivo. Configurar opciones avanzadas de DEM Definir la configuración de los registros de DEM. Aplicar Haga clic aquí para escribir las opciones de configuración en el DEM. Compresión Establecer el nivel de compresión que se debe aplicar a todos los datos que entran en el ELM. Datos Seleccionar el tipo de datos que se enviarán del ESM al dispositivo. Archivado de datos Configurar el receptor para reenviar una copia de seguridad de los datos sin procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo. IP de ELM Si ha elegido enviar los datos de este dispositivo al ELM, puede actualizar la dirección IP del ELM al que está vinculado el dispositivo. Flujo Activar o desactivar el registro de datos de flujo. Interfaz Configurar las interfaces de red del dispositivo con el ESM. Licencia Ver y actualizar la información de licencias del DEM. Registro Si dispone de un dispositivo ELM en el sistema, establezca el grupo de registro predeterminado para el dispositivo en caso de que desee que los datos recibidos se envíen al ELM. Migrar base de datos En un dispositivo ELM, permite configurar una ubicación alternativa para almacenar los registros generados. Configuración NTP Sincronizar la hora del dispositivo con un servidor NTP. Contraseñas Si la regla correspondiente al evento cuyos datos de sesión está visualizando está relacionada con las contraseñas, seleccione esta opción en caso de que desee que la contraseña asociada al evento aparezca en el Visor de sesión. Restaurar configuración Restaurar el archivo de configuración del dispositivo, guardado durante el proceso de copia de seguridad de ESM. Esta copia de seguridad incluye archivos .conf para SSH, red, SNMP, etc. Capturas SNMP Configurar las capturas SNMP generadas por el dispositivo. Sincronizar dispositivo Sincronizar la configuración del origen de datos del dispositivo o del dispositivo virtual con la de ESM. Si va a sincronizar un receptor, los dispositivos dependientes del receptor también se agregarán como dispositivos a McAfee ESM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 77 3 Configuración del ESM Configuración de dispositivos Tabla 3-30 Definiciones de opciones (continuación) Opción Definición Sincronizar ELM Si ha elegido enviar los datos de este dispositivo al ELM, sincronice el ELM con el dispositivo. Sincronizar archivos Haga clic aquí para sincronizar todos los archivos de configuración del DEM. Zona horaria Configurar el ADM para ajustarlo a su zona horaria. Véase también Configuración de dispositivos en la página 76 Configuración de Event Receiver Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución única que se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores, tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos en dispositivos Nitro IPS y enrutadores que envían datos al receptor. Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor principal (A), y los cambios de configuración o de información de directiva se envían a ambos dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A como principal. Véase también Visualización de eventos de transmisión en la página 78 Receptores de disponibilidad alta en la página 79 Archivado de datos de receptor sin procesar en la página 90 Visualización de eventos de transmisión ® El Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee Network Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic en el icono Ver eventos de transmisión en la barra de herramientas de acciones. 2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla. 3 Seleccione cualquiera de las acciones disponibles en el visor. 4 Haga clic en Cerrar. Véase también Configuración de Event Receiver en la página 78 Página Visor de transmisiones en la página 79 78 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Página Visor de transmisiones ® Permite ver un flujo de los eventos generados por McAfee ePO, McAfee Network Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados. Tabla 3-31 Definiciones de opciones Opción Definición Inicio Iniciar la transmisión. Detener Detener la transmisión. Tabla Permite ver los eventos a medida que entran en el dispositivo. Sección Paquete Permite ver los detalles del evento seleccionado. Icono Filtros A fin de filtrar los eventos a medida que se generan, haga clic aquí e introduzca la información que desee filtrar. Solo se muestran los eventos que coinciden con los filtros. Icono Columnas Cambiar las columnas que aparecen en la tabla de transmisión. Icono Borrar todo Borrar la lista actual de eventos. Icono Ejecutar vista Ver el evento seleccionado en una vista. Para verla, cierre el visor. El evento aparecerá en la sección de vistas de la consola. Véase también Visualización de eventos de transmisión en la página 78 Receptores de disponibilidad alta Los receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que el receptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla. Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece un único receptor. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el secundario determina que el principal ha fallado, lo detiene y asume su función. Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta. Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta: • ERC-1225-HA • ERC-1250-HA • ERC-2230-HA • ERC-1260-HA • ERC-2250-HA • ERC-2600-HA • ERC-4245-HA • ERC-4600-HA • ERC-4500-HA Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4 NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los receptores de disponibilidad alta). McAfee Enterprise Security Manager 9.6.0 Guía del producto 79 3 Configuración del ESM Configuración de dispositivos Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación con el ESM, así como una NIC de origen de datos para recopilar datos. Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo siguiente: • Los receptores se comunican constantemente a través de la NIC de latido y la NIC de administración dedicadas. • Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par. • Todos los orígenes de datos utilizan la NIC de origen de datos. • Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC. • El ESM se comunica con los receptores periódicamente para determinar su estado. • La información de configuración nueva se envía a los dos receptores, el principal y el secundario. • El ESM también envía la directiva a los dos receptores. • Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado. En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta experimenta problemas. Fallo del receptor principal El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe determinar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce la conmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivo principal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y la tasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrar cuidadosamente para optimizar la disponibilidad de los datos. Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal. El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los recopiladores. Fallo del receptor secundario El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la comunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptor secundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración y latido. Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario como fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo. Problema de estado del dispositivo principal El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una base de datos que no responde, una interfaz de origen de datos que no responde y un número excesivo de errores de disco. 80 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones, pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor secundario. Problema de estado del dispositivo secundario Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente: • El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los procesos de Corosync y Pacemaker. • Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja de estar disponible en caso de fallo del receptor principal. • El problema de estado se analiza y se intenta repararlo. • Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal mediante el procedimiento Nueva puesta en servicio. • Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido. Nueva puesta en servicio Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo de alimentación, reparación del hardware o reparación de la red), ocurre lo siguiente: • Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el inicio. Permanecen en modo secundario hasta que se establecen como principal. • El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el dispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido. Ampliación de receptor de disponibilidad alta El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Ocurre de la siguiente forma: 1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario. 2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el principal y el que no se ha ampliado aún sea el secundario. 3 El archivo de ampliación se aplica al nuevo receptor secundario. 4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptores asuman de nuevo sus funciones originales. A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido. Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración de receptor principal preferido de nuevo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 81 3 Configuración del ESM Configuración de dispositivos Véase también Configuración de Event Receiver en la página 78 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Puertos de red de los receptores de disponibilidad alta Estos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta. Creación de una conexión entre receptores de disponibilidad alta 1U 82 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Creación de una conexión entre receptores de disponibilidad alta 2U Configuración de dispositivos receptores de disponibilidad alta Defina la configuración de los dispositivos receptores de disponibilidad alta. Antes de empezar Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la consola de ESM). Debe disponer de tres o más NIC. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad alta principal y haga clic en el icono Propiedades 2 . Haga clic en Configuración del receptor y, después, en Interfaz. McAfee Enterprise Security Manager 9.6.0 Guía del producto 83 3 Configuración del ESM Configuración de dispositivos 3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad. 4 Rellene la información solicitada y, después, haga clic en Aceptar. Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica globals.conf y sincroniza ambos receptores. Véase también Receptores de disponibilidad alta en la página 79 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Reinicialización del dispositivo secundario Si se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de volver a instalarlo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta. 2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria. 3 Haga clic en Reinicializar secundario. El ESM llevará a cabo los pasos necesarios para reinicializar el receptor. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Configuración del receptor de disponibilidad alta con IPv6 Aplique este procedimiento para configurar la disponibilidad alta con IPv6, ya que no se puede establecer manualmente la dirección IPv6 a través de la pantalla LCD. Antes de empezar 84 • Asegúrese de que el ESM utilice IPv6, ya sea de forma manual o automática (Propiedades del sistema | Configuración de red). • Averigüe la dirección IP compartida, creada por el administrador de la red. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En los dos los receptores del par de disponibilidad alta: a Encienda el receptor y active IPv6 mediante la pantalla LCD. b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección IP de administración. Esto podría tardar algún tiempo debido a la latencia de la red. Agregue uno de estos receptores al ESM (véase Adición de dispositivos a la consola de ESM). • Nombre: nombre del par de disponibilidad alta. • Dirección IP o URL de destino: dirección IPv6 de administración de este receptor de disponibilidad alta, previamente anotada. 3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga clic en Propiedades de receptor | Configuración del receptor | Interfaz. 4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta). 5 Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en el campo IPv6 y haga clic en Aceptar. Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta. Si no se hace esto, la disponibilidad alta no ofrece una conmutación en caso de error correcta. 6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/ Dirección IP de destino y haga clic en Aceptar. 7 Continúe con el proceso de configuración de la disponibilidad alta que se incluye en Configuración de dispositivos receptores de disponibilidad alta. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Restablecimiento de dispositivos de disponibilidad alta Si necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antes de configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con los receptores, en el menú de la pantalla LCD. • Siga uno de estos procedimientos: McAfee Enterprise Security Manager 9.6.0 Guía del producto 85 3 Configuración del ESM Configuración de dispositivos Para... Haga esto... Restablecer un receptor en la consola de ESM 1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y, después, haga clic en Configuración del receptor | Interfaz. 2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar. 3 Haga clic en Sí en la página de advertencia y, después, en Cerrar. Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco minutos a fin de devolver las direcciones MAC a sus valores originales. Restablecer el 1 En el menú LCD del receptor, pulse X. receptor principal o 2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar secundario en el menú de la pantalla disponibilidad alta). LCD 3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary (Desactivar principal) en la pantalla LCD. 4 Para restablecer el receptor principal, pulse la marca de verificación. 5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una vez y, después, la marca de verificación. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Intercambio de funciones de receptores de disponibilidad alta Este proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los receptores principal y secundario. Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para devolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la cantidad de datos perdidos. Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede tardar desde unos minutos a varios días, en función de la configuración de la red. 86 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades 2 . Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente: • El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida y recopile datos. • El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de intercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores. • El ESM extrae todos los datos de alertas y flujos del receptor principal. • El ESM marca el receptor secundario como principal y el principal como secundario. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Ampliación de los receptores de disponibilidad alta El proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los dispositivos y producirse un periodo de inactividad. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades 2 . Amplíe el receptor secundario: a Haga clic en Administración del receptor y seleccione Secundario. b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga clic en Aceptar. El receptor se reiniciará y se actualizará la versión del software. c En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio. d Seleccione el receptor secundario y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 87 3 Configuración del ESM Configuración de dispositivos 3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso de error. 4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Comprobación del estado de receptores de disponibilidad alta Es posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabo una ampliación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta principal y haga clic en el icono Propiedades . 2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta del dispositivo: online. 3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el otro. Tiene un aspecto similar a este: OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no 88 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos 4 Compruebe lo siguiente en la información anterior: • La primera línea de la respuesta es OK. • El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos menos el número de modelo del receptor. • El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este receptor; de lo contrario, el modo será secondary. • Las siguientes dos líneas muestran los nombres de host de los receptores del par de disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos es online. • La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que debería ser running. • El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o de otro. Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit. Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. 5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ifconfig en la interfaz de línea de comandos de ambos. 6 Compruebe lo siguiente en los datos generados: • Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores. • El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tiene dirección IP en eth1. Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones IP, lo que implica que los dispositivos se pueden ampliar. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Sustitución de un receptor con problemas en la página 89 Solución de problemas en un receptor fallido en la página 90 Sustitución de un receptor con problemas Si un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesario sustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos en la Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cables conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta. McAfee Enterprise Security Manager 9.6.0 Guía del producto 89 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz. 2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar alta disponibilidad. 3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario. El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Solución de problemas en un receptor fallido en la página 90 Solución de problemas en un receptor fallido Si un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla la escritura de orígenes de datos, opciones de configuración global, opciones de configuración de agregación, etc., y aparece un error de SSH. De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un error cuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no se despliega. En esta situación, existen las siguientes opciones: • Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva. • Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos. Véase también Receptores de disponibilidad alta en la página 79 Configuración de dispositivos receptores de disponibilidad alta en la página 83 Reinicialización del dispositivo secundario en la página 84 Configuración del receptor de disponibilidad alta con IPv6 en la página 84 Restablecimiento de dispositivos de disponibilidad alta en la página 85 Intercambio de funciones de receptores de disponibilidad alta en la página 86 Ampliación de los receptores de disponibilidad alta en la página 87 Comprobación del estado de receptores de disponibilidad alta en la página 88 Sustitución de un receptor con problemas en la página 89 Archivado de datos de receptor sin procesar Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo. Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common Internet File System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan, en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados al 90 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP, SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno de ellos para el archivado de datos. Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX. Véase también Configuración de Event Receiver en la página 78 Definición de la configuración de archivado en la página 91 Definición de la configuración de archivado A fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar las opciones empleadas por el receptor para el archivado. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Configuración del receptor | Archivado de datos. 2 Seleccione el tipo de recurso compartido e introduzca la información solicitada. Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el recurso compartido SMB para el establecimiento de una conexión SMB. 3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar. Véase también Archivado de datos de receptor sin procesar en la página 90 Página Configuración de archivado de datos en la página 91 Página Configuración de archivado de datos Permite configurar las opciones empleadas por el receptor para el archivado. Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS Opción Definición Tipo de recurso compartido Seleccione el tipo de recurso compartido SMB o CIFS. Dirección IP Escriba la dirección IP del recurso compartido. Nombre de recurso compartido Escriba el nombre del recurso compartido. Ruta Escriba el subdirectorio del recurso compartido donde se deben almacenar los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en el directorio raíz del recurso compartido, no se requiere la ruta de acceso. McAfee Enterprise Security Manager 9.6.0 Guía del producto 91 3 Configuración del ESM Configuración de dispositivos Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS (continuación) Opción Definición Nombre de usuario y Contraseña Escriba un nombre de usuario válido para conectar con el recurso compartido y, después, la contraseña correspondiente a la cuenta de usuario utilizada durante la conexión con el recurso compartido. No utilice comas en la contraseña a la hora de conectar con un recurso compartido SMB/CIFS. Permite probar la conexión. Conectar Tabla 3-33 Definiciones de opciones de recurso compartido NFS Opción Definición Dirección IP Escriba la dirección IP del punto de montaje y, después, su nombre. Punto de montaje Escriba el nombre del punto de montaje. Ruta Escriba el subdirectorio del recurso compartido donde se deben almacenar los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en el directorio raíz del recurso compartido, no se requiere la ruta. Conectar Permite probar la conexión. Tabla 3-34 Definiciones de opciones de recurso compartido de reenvío de syslog Opción Definición Dirección IPv4 o Dirección IPv6 Escriba la dirección IP del servidor de syslog al que se debe reenviar el flujo de datos. Ruta IPv4 o Ruta IPv6 Escriba el puerto del servidor de syslog al que se debe reenviar el flujo de datos. Véase también Definición de la configuración de archivado en la página 91 Visualización de los eventos de origen de los eventos de correlación Es posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos. Antes de empezar Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de correlación y Adición de un origen de datos). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación. 2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos. 3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de correlación. Solo aparecerá el signo más si el evento de correlación tiene eventos de origen. Los eventos de origen aparecen debajo del evento de correlación. 92 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Visualización de estadísticas de rendimiento del receptor Es posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y salida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24 horas. Antes de empezar Verifique que dispone del privilegio Administración de dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de propiedades . 2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento. 3 Vea las estadísticas del receptor. Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica (en las últimas 24 horas) o como advertencia (en la última hora). 4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia. 5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por número de registros. 6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación Actualizar automáticamente. 7 Para ordenar los datos, haga clic en el título de columna relevante. Orígenes de datos de receptor McAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar qué datos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datos requeridos. La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo receptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de importarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios y cliente. Véase también Adición de un origen de datos en la página 94 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Establecimiento del grupo de registro predeterminado en la página 58 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Visualización de los archivos generados por los orígenes de datos en la página 132 McAfee Enterprise Security Manager 9.6.0 Guía del producto 93 3 Configuración del ESM Configuración de dispositivos Adición de un origen de datos Es necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar al receptor a fin de recopilar datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de datos y haga clic en el icono Propiedades . 2 En Propiedades de receptor, haga clic en Orígenes de datos | Agregar. 3 Seleccione el proveedor y el modelo. Los campos que hay que rellenar dependen de las selecciones realizadas. 4 Rellene la información solicitada y, después, haga clic en Aceptar. El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de navegación del sistema, debajo del receptor seleccionado. Véase también Orígenes de datos de receptor en la página 93 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Visualización de los archivos generados por los orígenes de datos en la página 132 Página Agregar origen de datos en la página 96 Página Orígenes de datos en la página 95 Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario en la página 97 94 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Orígenes de datos Permite configurar las opciones de todos los orígenes de datos del receptor. Tabla 3-35 Definiciones de opciones Opción Definición Tabla de orígenes de datos Permite ver los orígenes de datos del sistema, si tienen clientes y el tipo de origen de datos del que se trata. Además, indica si el receptor procesa o no los datos del origen de datos, así como la forma de procesarlos. Las opciones son las siguientes: • Análisis: los datos recopilados se analizan e insertan en la base de datos. • Registro: los datos se envían al ELM. Solo está disponible si existe un dispositivo ELM en el sistema. • Captura SNMP: el origen de datos acepta capturas SNMP estándar de cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándar son: Fallo de autenticación, Inicio en frío, Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo e Inicio en caliente. Una vez que se reciben estas capturas, se genera un evento para el origen de datos. Si necesita enviar o recibir capturas SNMP a través de IPv6, tendrá que formular la dirección IPv6 como una dirección de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B: 654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254. Es posible cambiar estas opciones de configuración en la tabla mediante su selección o la anulación de su selección. Además, es posible agregar un grupo de almacenamiento o un perfil SNMP mediante los iconos Registro o SNMP . Agregar Permite agregar un origen de datos nuevo al receptor. Agregar elemento secundario Permite agregar orígenes de datos secundarios a un origen de datos existente. Esto facilita la organización de los orígenes de datos. Clientes Permite agregar orígenes de datos cliente, lo cual amplía el número de orígenes de datos permitidos en un receptor. Editar Realizar cambios en la configuración del origen de datos seleccionado. Quitar Eliminar el origen de datos seleccionado. Importar Importar una lista de orígenes de datos con formato .csv (véase Importación de una lista de orígenes de datos). Exportar Exportar una lista de los orígenes de datos que hay actualmente en el sistema. Migrar Reasignar o redistribuir los orígenes de datos entre los receptores. Avanzadas Cargar o ver una definición de origen de datos personalizado. Aprendizaje automático Permite configurar el receptor para el aprendizaje automático de direcciones IP desconocidas. Cambiar nombre Modificar los nombres de las entradas de orígenes de datos definidos por el usuario. Cargar Cargar un archivo para el origen de datos seleccionado. Esto solo se aplica a syslog. Escribir Escribir los cambios realizados en la configuración del origen de datos en el receptor. Véase también Adición de un origen de datos en la página 94 McAfee Enterprise Security Manager 9.6.0 Guía del producto 95 3 Configuración del ESM Configuración de dispositivos Página Agregar origen de datos Los orígenes de datos se emplean para controlar cómo recopila el receptor los datos de registro y de eventos. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datos requeridos. Tabla 3-36 Definiciones de opciones Opción Definición Usar perfiles del sistema Seleccione esta opción para utilizar un perfil a fin de configurar este origen de datos. Solo es posible aplicar previamente la configuración de un perfil a los dispositivos que emplean los protocolos SNMP y syslog. Proveedor de origen de datos, Modelo de origen de datos Seleccione el proveedor y el modelo del origen de datos. Formato de datos Seleccione el método de análisis. Recuperación de datos Seleccione el método de recopilación de datos. Cuando se emplea SCP, la variable de entorno LANG se debe establecer como lang=C. Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) que genere datos con una codificación distinta de UTF-8, seleccione Genérico como proveedor y Analizador de syslog avanzado como modelo. Si se selecciona Origen de archivo SCP, no se admiten las rutas de acceso relativas. Es necesario definir la ubicación completa exacta. Cuando se selecciona Origen de archivo CIFS u Origen de archivo NFS, es necesario seleccionar el método de recopilación. Véase Selección del método de recopilación de orígenes de datos Leer final de archivo(s) para obtener detalles sobre estos campos. Activado Seleccione cómo debe procesar los datos el receptor. • Si selecciona Registro, se le solicitarán detalles al respecto (véase Establecimiento del grupo de registro predeterminado). • Si selecciona Captura SNMP, (véase Procesamiento de un origen de datos mediante una captura SNMP), seleccione el perfil que desee utilizar en la página Perfiles de orígenes de datos SNMP. Si el perfil que necesita no está en la lista desplegable, haga clic en el vínculo Perfiles del sistema y agregue un perfil (véase Configuración de perfiles). Nombre Escriba un nombre para el origen de datos. Dirección IP, Nombre Introduzca solamente una dirección IP o un nombre de host. Haga clic en Búsqueda de host, Búsqueda para agregar el nombre de host si ha introducido una dirección IP, o bien para agregar la dirección IP si ha introducido un nombre de host. Ahora es posible configurar un origen de datos WMI con un nombre de host y sin dirección IP. Resto de campos Rellene los campos restantes, que variarán en función del proveedor, el modelo de dispositivo, el método de recuperación de datos y el protocolo del modelo de dispositivo seleccionado. Interfaz Configure cualquiera de las opciones del receptor principal (véase Configuración de interfaces). Asegúrese de que los puertos utilizados para la recopilación de datos estén abiertos en la ficha Comunicación. Estos puertos están cerrados de forma predeterminada, así que es necesario configurarlos. Avanzadas Agregue una URL, configure el reenvío de CEF, defina este origen de datos como recopilador acreditado para la información de administración de identidades o establezca este origen de datos para la exportación a otro receptor. Véase también Adición de un origen de datos en la página 94 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 96 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario Permite cambiar los nombres de las entradas de orígenes de datos definidos por el usuario para hacerlos más descriptivos. Tabla 3-37 Definiciones de opciones Opción Definición Tabla Incluye las reglas definidas por el usuario. Editar Haga clic en esta opción para cambiar el nombre del origen de datos seleccionado. Véase también Adición de un origen de datos en la página 94 Procesamiento de un origen de datos mediante una captura SNMP La funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar de cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándar son: • Error de autenticación • Vínculo inactivo • Inicio en frío • Vínculo activo e Inicio en caliente • Pérdida de vecino de EGP A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto: 2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254. Si selecciona Captura SNMP, existen tres opciones: • Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP, donde podrá seleccionar el perfil que desee utilizar. • Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un nuevo perfil. • Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de origen de datos. Véase también Página Perfiles de orígenes de datos SNMP en la página 97 Página Perfiles de orígenes de datos SNMP Permite seleccionar un perfil SNMP existente para utilizarlo con el origen de datos, o bien agregar un perfil SNMP nuevo. Tabla 3-38 Definiciones de opciones Opción Definición Perfiles del sistema Seleccione un perfil de la lista de perfiles existentes o haga clic en el vínculo y agregue un perfil nuevo que, después, podrá seleccionar. Sobrescribir asignación de perfil existente Seleccione esta opción si desea eliminar cualquier asignación de perfil SNMP existente y utilizar en su lugar este perfil. McAfee Enterprise Security Manager 9.6.0 Guía del producto 97 3 Configuración del ESM Configuración de dispositivos Véase también Procesamiento de un origen de datos mediante una captura SNMP en la página 97 Administración de orígenes de datos Es posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregar orígenes de datos secundarios y cliente en la página Orígenes de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones disponibles a fin de administrarlos. 3 Haga clic en Aplicar o en Aceptar. Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Visualización de los archivos generados por los orígenes de datos en la página 132 SIEM Collector SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión cifrada. Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para que no se pueda usar WMI. El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros. Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de McAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de McAfee existentes. Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas. Otras funciones disponibles son: 98 • Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con SQL Server y Oracle). • Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx. • Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc). McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Integración de datos de evaluación de vulnerabilidades La evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos que se pueden recuperar de diversos proveedores de evaluación de vulnerabilidades. Estos datos se pueden usar de varias formas. • Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho evento. • Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema operativo y servicios detectados). • Crear y manipular la pertenencia a los grupos de activos definidos por el usuario. • Acceder a información detallada y de resumen sobre los activos de la red. • Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se descubre un activo que ejecuta MySQL. Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son: • Vistas de panel | Panel de vulnerabilidad de activos • Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red • Vistas ejecutivas | Vulner. críticas en activos regulados Para crear una vista personalizada, véase Adición de una vista personalizada. Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo). El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure (CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se incluyen en esta versión. Definición de un perfil de sistema de evaluación de vulnerabilidades Cuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece la opción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesario definir antes el perfil. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades . 2 Haga clic en Evaluación de vulnerabilidades | Agregar. 3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM. 4 Haga clic en Usar perfil del sistema. 5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil. McAfee Enterprise Security Manager 9.6.0 Guía del producto 99 3 Configuración del ESM Configuración de dispositivos 6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil. Los campos de la página se activan según la versión seleccionada. 7 Rellene la información solicitada y haga clic en Aceptar. Véase también Ficha o página Evaluación de vulnerabilidades en la página 100 Ficha o página Evaluación de vulnerabilidades Los orígenes de evaluación de vulnerabilidades de ESM permiten la comunicación con proveedores de evaluación de vulnerabilidades y la recuperación de sus datos. Aquí puede administrar estos orígenes. Tabla 3-39 Definiciones de opciones Opción Definición Tabla Ver los receptores y los DEM del sistema, así como sus orígenes de evaluación de vulnerabilidades. Agregar Agregar un origen. Editar Cambiar el origen seleccionado. Quitar Eliminar el origen de evaluación de vulnerabilidades seleccionado. Recuperar Recuperar los datos de evaluación de vulnerabilidades para el origen seleccionado. Escribir Escribir los cambios realizados en el dispositivo. Cargar (Qualys) Si ha seleccionado Carga manual en el campo Método al agregar un origen de evaluación de vulnerabilidades, haga clic en esta opción para cargar el archivo. La carga de un archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB. Véase también Definición de un perfil de sistema de evaluación de vulnerabilidades en la página 99 Adición de un origen de evaluación de vulnerabilidades en la página 100 Adición de un origen de evaluación de vulnerabilidades A fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cada origen al sistema, configurar los parámetros de comunicación correspondientes al proveedor de evaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación de datos y modificar los cálculos de gravedad de eventos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades . 2 Haga clic en Evaluación de vulnerabilidades. 3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los cambios realizados en el dispositivo. 4 Haga clic en Aplicar o en Aceptar. Véase también Ficha o página Evaluación de vulnerabilidades en la página 100 Página Agregar origen de evaluación de vulnerabilidades en la página 101 100 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Agregar origen de evaluación de vulnerabilidades Permite agregar un origen de evaluación de vulnerabilidades al ESM. Los campos que se deben rellenar dependen del tipo de origen de evaluación de vulnerabilidades seleccionado. Esta lista contiene todos los campos posibles. Tabla 3-40 Definiciones de opciones Opción Definición ID de cliente Escriba el número de ID de cliente de Frontline. Este campo es necesario para Digital Defense Frontline. Nombre de la empresa En FusionVM, el nombre de la empresa que se debe analizar. Si este campo se deja en blanco, se analizarán todas las empresas a las que pertenezca el usuario. Si introduce más de una empresa, separe los nombres con una coma. Recuperación de datos (Qualys QualysGuard) Seleccione el método de recuperación de los datos de evaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Las otras opciones son SCP, FTP, NFS, CIFS y Carga manual. Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB. Dominio Escriba el dominio del equipo Windows (opcional, a menos que el controlador de dominio o el servidor estén dentro de un dominio). Directorio de archivo de análisis exportado El directorio donde se encuentran los archivos de análisis exportados. Formato de archivo de análisis exportado El formato del archivo de análisis exportado (XML o NBE). Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalación para un appliance analizador Saint es /usr/local/sm/. Dirección IP • Para eEye REM: la dirección IP del servidor eEye que envía información sobre capturas. • Para eEye Retina: la dirección IP del cliente que alberga los archivos de análisis exportados (.rtd). • Para McAfee Vulnerability Manager: la dirección IP del servidor donde se encuentra la instalación. ® • Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP del cliente que alberga los archivos de análisis exportados. • Para NGS: la dirección IP del sistema que almacena los informes de Squirrel. • Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidor correspondiente. Directorio de montaje Si selecciona NFS en el campo Método, se agregan los campos de Directorio de montaje. Indique el directorio de montaje establecido al configurar NFS. Método El método empleado para recuperar los archivos de análisis exportados (montaje de SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS. McAfee Enterprise Security Manager 9.6.0 Guía del producto 101 3 Configuración del ESM Configuración de dispositivos Tabla 3-40 Definiciones de opciones (continuación) Opción Definición Contraseña • Para McAfee Vulnerability Manager: si emplea el modo de autenticación de Windows para SQL Server, la contraseña del equipo Windows. De lo contrario, la contraseña correspondiente a SQL Server. • Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseña de SCP o FTP (véase Nombre de usuario). • Para NGS: la contraseña de los métodos SCP y FTP. • Para Qualys y FusionVM: la contraseña correspondiente al nombre de usuario de Qualys Front Office o FusionVM (véase Nombre de usuario). • Para Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que se debe usar al conectar con el servidor web (véase Nombre de usuario). • Para Digital Defense Frontline: la contraseña de la interfaz web. Puerto El puerto de escucha de Rapid7 Nexpose, Lumension, nCircle, McAfee Vulnerability Manager o el servidor web de Saint. El valor predeterminado para Rapid7 Nexpose es 3780, en el caso de Lumension es 205, para nCircle es 443, para McAfee Vulnerability Manager es 1433 y para Saint es 22. Nombre de proyecto/ espacio de trabajo Nombre de un proyecto o espacio de trabajo concretos; deje el campo en blanco para incluir todos los proyectos o espacios de trabajo. Dirección IP de proxy La dirección IP del proxy de HTTP. Contraseña del proxy La contraseña correspondiente al nombre de usuario del proxy. Puerto del proxy El puerto de escucha del proxy HTTP. Nombre de usuario del proxy Un nombre de usuario para el proxy. URL del servidor Qualys o FusionVM La URL del servidor Qualys o FusionVM al que enviar la consulta. ® Ruta remota y nombre de Para el método Nessus de CIFS, OpenVAS, eEye Retina, Metasploit Pro, recurso compartido LanGuard y NGS. Es posible usar barras diagonales o barras diagonales invertidas en la ruta (por ejemplo, Archivos de programa\CIFS\va o /Archivos de programa/CIFS/va). Programar recuperación de datos del receptor o Programar recuperación de datos de DEM Indique la frecuencia con la que desea que los datos de evaluación de vulnerabilidades se recuperen del receptor o el DEM. • Cada día: seleccione la hora a la que desee que se recuperen los datos cada día. • Cada semana: seleccione el día de la semana y la hora del día en que desee que se recuperen los datos. • Cada mes: seleccione el día del mes y la hora del día en que desee que se recuperen los datos. Si no desea que se recuperen los datos, seleccione Desactivado. eEye REM no admite la recuperación de datos desde el origen, por lo que los datos se deben recuperar desde el receptor o el DEM. 102 Programar recuperación de datos de evaluación de vulnerabilidades Indique la frecuencia con la que desea que los datos de evaluación de vulnerabilidades se recuperen del origen de evaluación de vulnerabilidades. Véase Programar recuperación de datos del receptor o Programar recuperación de datos de DEM para obtener detalles. Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones, indique Todo. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-40 Definiciones de opciones (continuación) Opción Definición Contraseña de autenticación SNMP Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo estará activo. Escriba la contraseña para el protocolo de autenticación seleccionado en el campo Protocolo de autenticación SNMP. Protocolo de autenticación SNMP Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo estará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1 (SHA1 y SHA hacen referencia al mismo tipo de protocolo). Asegúrese de que la configuración de REM Events Server coincida con su selección. Comunidad SNMP La comunidad SNMP establecida al configurar REM Events Server. Contraseña de privacidad Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará SNMP activo. Escriba la contraseña para el protocolo de privacidad DES o AES. En el modo FIPS, la única opción disponible es AES. Protocolo de privacidad SNMP Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo y podrá seleccionar DES o AES. En el modo FIPS, la única opción disponible es AES. Nivel de seguridad SNMP El nivel de seguridad que desee establecer para este origen. • noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad • authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad • authPriv: con protocolo de autenticación y protocolo de privacidad Los campos de autenticación y privacidad correspondientes a SNMP se activarán en función del nivel de seguridad seleccionado. Asegúrese de que la configuración de REM Events Server coincida con su selección. Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server. Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP se activan según la versión seleccionada. ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso de emplear un perfil SNMPv3. Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio de instalación de Saint (véase Usar sudo). Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera para un origen o proporcionar un valor de tiempo de espera concreto. Esto resulta útil si existe una gran cantidad de datos de evaluación de vulnerabilidades de un proveedor y la configuración de tiempo de espera predeterminada no permite recuperar todos los datos o ninguno. Es posible aumentar el valor de tiempo de espera a fin de que exista más tiempo para la recuperación de datos de evaluación de vulnerabilidades. Si proporciona un valor, se utilizará para todas las comunicaciones. Token (Opcional) Token de autenticación que se puede establecer en la configuración global de Metasploit. URL Escriba la URL del servidor de Digital Defense Frontline. Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto del proxy, Nombre de usuario del proxy y Contraseña del proxy. Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. A continuación, deberá indicar cuándo usar el modo pasivo. Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación de Saint y desea utilizar este acceso (véase Contraseña sudo). McAfee Enterprise Security Manager 9.6.0 Guía del producto 103 3 Configuración del ESM Configuración de dispositivos Tabla 3-40 Definiciones de opciones (continuación) Opción Definición Usar perfil del sistema (eEye REM) Indique si desea utilizar un perfil previamente definido. Si selecciona esta opción, se desactivarán todos los campos de SNMP. Al seleccionar uno de los perfiles de sistema existentes, los campos se rellenan con la información del perfil elegido. Para definir un perfil, véase Definición de un perfil de sistema de evaluación de vulnerabilidades. Nombre de usuario Escriba el nombre de usuario de McAfee Vulnerability Manager. Si utiliza el modo de autenticación de Windows para SQL Server, introduzca el nombre de usuario del equipo Windows. De lo contrario, se trata del nombre de usuario de SQL Server. ® • Para Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuario correspondiente a SCP o FTP. • Para NGS: el nombre de usuario para los métodos SCP y FTP. • Para Qualys o FusionVM: el nombre de usuario de Front Office o FusionVM destinado a la autenticación. • Para Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuario que se debe usar al conectar con el servidor web. • Para Digital Defense Frontline: el nombre de usuario de la interfaz web. Nombre de origen de evaluación de vulnerabilidades Escriba el nombre de este origen. Expresión comodín Una expresión comodín utilizada para describir el nombre de los archivos de análisis exportados. La expresión comodín puede incluir un asterisco (*) o un signo de interrogación (?) con la definición estándar de "carácter comodín" en un nombre de archivo. Si tiene archivos tanto NBE como XML, deberá especificar si desea archivos NBE o XML en este campo (por ejemplo, *.NBE o *.XML). Si solo emplea un asterisco (*), se producirá un error. Véase también Adición de un origen de evaluación de vulnerabilidades en la página 100 Recuperación de datos de evaluación de vulnerabilidades Una vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existen dos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de forma planificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenes de evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 104 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic en Evaluación de vulnerabilidades. 2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos Para... Haga esto... Recuperar inmediatamente • Haga clic en Recuperar. Planificar recuperación 1 Haga clic en Editar. 3 El trabajo se ejecutará en segundo plano y se le informará si la recuperación ha sido correcta (véase Solución de problemas de recuperación de evaluación de vulnerabilidades en caso contrario). 2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccione la frecuencia. 3 Haga clic en Aceptar. 4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir los cambios en el dispositivo. 3 4 Haga clic en Aceptar. Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager Evaluación de vulnerabilidades. y seleccione la ficha Solución de problemas de recuperación de evaluación de vulnerabilidades Cuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirse algún error. A continuación se enumeran algunas de las razones que producen errores de recuperación. Este recurso... Provoca... Nessus, OpenVAS y Rapid7 Metasploit Pro • Directorio vacío. • Error de configuración. • Los datos del directorio ya se recuperaron, por lo que no están actualizados. Qualys, FusionVM y Rapid7 Nexpose Los datos del directorio ya se recuperaron, por lo que no están actualizados. Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de Nessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la recuperación de evaluación de vulnerabilidades, no se devuelven datos porque se perciben como datos antiguos. Para evitar esta situación, elimine el archivo de Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice un nombre distinto para el archivo que cargue. Proveedores de evaluación de vulnerabilidades disponibles El ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades. Proveedor de evaluación de vulnerabilidades Versión Digital Defense Frontline 5.1.1.4 eEye REM (servidor de eventos de REM) 3.7.9.1721 McAfee Enterprise Security Manager 9.6.0 Guía del producto 105 3 Configuración del ESM Configuración de dispositivos Proveedor de evaluación de vulnerabilidades Versión eEye Retina 5.13.0, auditorías: 2400 El origen de evaluación de vulnerabilidades eEye Retina es similar al origen de datos Nessus. Puede elegir entre usar archivos scp, ftp, nfs o cifs para obtener los archivos .rtd. Es necesario copiar manualmente los archivos .rtd en un recurso compartido scp, ftp o nfs antes de extraerlos. Los archivos .rtd suelen estar ubicados en el directorio Scans de Retina. McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM 4-2011.6.1.48 LanGuard 10.2 Lumension Compatible con PatchLink Security Management Console 6.4.5 o posterior nCircle 6.8.1.6 Nessus Compatible con Tenable Nessus versiones 3.2.1.1 y 4.2, así como los formatos de archivo NBE, .nessus (XMLv2) y .nessus (XMLv1); también el formato XML de OpenNessus 3.2.1 NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro 4.1.4 Update 1, formato de archivo XML Se puede reducir la gravedad de un exploit de Metasploit que empieza por el nombre Nexpose mediante la adición de un origen de evaluación de vulnerabilidades Rapid7 al mismo receptor. Si no se puede deducir, la gravedad predeterminada es 100. Saint Creación automática de orígenes de datos Es posible configurar el receptor para la creación automática de orígenes de datos mediante las cinco reglas estándar incluidas en el receptor o las reglas que se creen. Antes de empezar Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo Eventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el de la barra de herramientas de acciones a fin de extraer icono Obtener eventos y flujos eventos, flujos o ambas cosas. 106 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático. 2 En la ventana Aprendizaje automático, haga clic en Configurar. 3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que desee que emplee el receptor para crear los orígenes de datos de forma automática. 4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático existentes y, después, haga clic en Cerrar. Véase también Administración del aprendizaje automático de orígenes de datos en la página 108 Adición de nuevas reglas de creación automática en la página 107 Adición de nuevas reglas de creación automática Es posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes de datos de forma automática. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar. 2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la regla y haga clic en Aceptar. La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando los datos de aprendizaje automático cumplan los criterios definidos en la regla. Véase también Creación automática de orígenes de datos en la página 106 Administración del aprendizaje automático de orígenes de datos en la página 108 Página Editor de reglas de adición automática en la página 107 Página Configurar regla de agregación automática en la página 108 Página Editor de reglas de adición automática Permite ver, seleccionar y aplicar reglas de adición automática a fin de crear orígenes de datos a partir de los datos de aprendizaje automático. Tabla 3-41 Definiciones de opciones Opción Definición Activar creación automática Crear orígenes de datos automáticamente a partir de los datos de aprendizaje automático. La creación automática se produce siempre que se extraen alertas del receptor, ya sea manualmente o de forma automática a través del ESM. Tabla Ver las reglas de agregación automática que existen actualmente en el receptor y si están o no activadas. Es posible activar o desactivar las reglas de esta lista. Agregar Agregar una nueva regla de agregación automática. Editar Realizar cambios en la regla de agregación automática seleccionada. McAfee Enterprise Security Manager 9.6.0 Guía del producto 107 3 Configuración del ESM Configuración de dispositivos Tabla 3-41 Definiciones de opciones (continuación) Opción Definición Quitar Eliminar la regla de agregación automática seleccionada. Ejecutar ahora Aplicar las reglas activadas a la lista actual de datos de aprendizaje automático. Botones de flecha Mover la regla de adición automática seleccionada hacia arriba o hacia abajo en la lista para cambiar su orden. Esto es importante porque los datos de aprendizaje automático se comparan con las reglas en el orden en que aparecen en la lista, y se crea un origen de datos en función de la primera regla coincidente. Véase también Adición de nuevas reglas de creación automática en la página 107 Página Configurar regla de agregación automática Defina los criterios para una regla que crea orígenes de datos de forma automática. Tabla 3-42 Definiciones de opciones Opción Definición Descripción Escriba un nombre que describa la regla. Tipo Seleccione el tipo de regla en la lista desplegable. Activar Seleccione esta opción si desea activar esta regla. Columna Criterios de Defina los criterios con los que deben coincidir los datos recibidos para su adición coincidencia en como origen de datos o cliente. aprendizaje automático Columna Parámetros Defina la configuración para el origen de datos que se creará si los datos de creación de cliente/ coinciden con los criterios. origen de datos • Escriba el nombre para el origen de datos. Este campo admite variables para representar la dirección IP, el modelo y el nombre de host. Por ejemplo, podría escribir Data source - {MODEL}_{HOST}_{IP}. • Seleccione entre origen de datos y cliente. • Si se trata de un cliente, seleccione el elemento principal contenedor y, después, seleccione el tipo de cliente. • Seleccione el proveedor, el modelo, la zona horaria y la zona. • Si desea que los datos generados por el origen de datos (no aplicable a clientes) se almacenen en el ELM, haga clic en Grupo de almacenamiento y seleccione el grupo de almacenamiento. Véase también Adición de nuevas reglas de creación automática en la página 107 Administración del aprendizaje automático de orígenes de datos Es posible configurar el ESM para el aprendizaje automático de direcciones IP. Antes de empezar Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase Configuración de interfaces). 108 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de orígenes de datos. Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras ella a fin de recopilar los resultados de nuevo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos | Aprendizaje automático. 2 Defina la configuración según proceda y haga clic en Cerrar. Véase también Creación automática de orígenes de datos en la página 106 Adición de nuevas reglas de creación automática en la página 107 Página Aprendizaje automático en la página 110 Página Orígenes con aprendizaje automático en la página 112 Página Editar clientes de orígenes de datos en la página 113 McAfee Enterprise Security Manager 9.6.0 Guía del producto 109 3 Configuración del ESM Configuración de dispositivos Página Aprendizaje automático Permite configurar el receptor para el aprendizaje automático de orígenes de datos. Tabla 3-43 Definiciones de opciones Opción Definición Activar o Desactivar Activar o desactivar el aprendizaje automático. Los puertos del receptor deben coincidir con los orígenes que envían datos para que se produzca el aprendizaje automático. • Seleccione la cantidad de tiempo que desea que se produzca el aprendizaje automático en el campo horas apropiado (el máximo es 24 horas; 0 corresponde a continuamente) y haga clic en Activar. El aprendizaje automático dará comienzo y el texto del botón pasará a ser Desactivar. Cuando el tiempo se acabe, la función de aprendizaje automático se desactivará y la tabla se rellenará con las direcciones IP encontradas. Cuando se utiliza el aprendizaje automático para MEF, no es posible agregar orígenes de datos de aprendizaje automático mediante un ID de host. • A fin de detener el proceso antes de que termine la recopilación, haga clic en Desactivar. La recopilación de datos se detendrá, pero se procesarán los datos recopilados hasta ese momento. • Si espera hasta que el proceso finalice, se recopilarán datos durante el periodo de tiempo indicado. Los datos se procesarán y agregarán a la tabla. Toda la información recuperada se almacena en el ESM hasta que se activa de nuevo el aprendizaje automático. Es posible abandonar la página Aprendizaje automático sin que el aprendizaje automático deje de funcionar durante el periodo de tiempo seleccionado. Los campos de Estado actual mostrarán lo que ocurre a lo largo del proceso de aprendizaje automático. • Aprendizaje automático detenido: no está funcionando actualmente. Esto puede indicar que el aprendizaje automático no se ha solicitado, o bien que el aprendizaje y el procesamiento solicitados ya han finalizado. • Recopilando datos: el aprendizaje automático se ha activado y está recopilando los datos actualmente. Esto se prolongará durante el periodo de tiempo especificado. • Procesando datos de aprendizaje automático: el sistema está procesando los datos recopilados. Esto ocurre después de que se hayan recopilado datos durante el tiempo especificado. • Se ha producido un error: se ha producido un error mientras se recopilaban o procesaban los datos. 110 Configurar Configure reglas para que las direcciones IP recopiladas se puedan agregar a modo de orígenes de datos de forma automática si cumplen los criterios definidos en la regla. Tabla Permite ver las direcciones IP de los orígenes de datos de aprendizaje automático. Cada uno recibe un nombre formado por la dirección IP y Aprendido automáticamente, e indica el formato de los registros. El sistema también hace el intento de detectar el tipo de origen de datos. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Tabla 3-43 Definiciones de opciones (continuación) Opción Definición Agregar Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes de datos. 1 Seleccione una o varias direcciones IP del mismo tipo en la tabla y haga clic en Agregar. 2 En la página Orígenes con aprendizaje automático, seleccione una de las opciones. 3 Haga clic en Aceptar. Ocurrirá una de estas cosas: • Si las direcciones IP seleccionadas no tienen un nombre asociado, se le preguntará si desea agregar un prefijo a las direcciones seleccionadas. – Si hace clic en No, las direcciones IP se utilizan como nombres de los orígenes de datos. – Si hace clic en Sí, se abre la página Prefijo de nombre. Escriba un nombre y haga clic en Aceptar. Los nombres de estos orígenes de datos constarán del nombre agregado y la dirección IP. • Si las direcciones IP seleccionadas tienen nombres, los orígenes de datos se agregarán a la lista de la página Orígenes de datos. Editar nombre Permite editar el nombre predeterminado del elemento seleccionado. El campo de nombre tiene un límite de 50 caracteres. Cada nombre debe ser exclusivo. Quitar Permite eliminar las direcciones IP seleccionadas de la lista. La lista no se guarda hasta que se cierra Aprendizaje automático. Cambiar tipo Permite cambiar el tipo de la dirección IP seleccionada. Esto puede ser útil si el tipo sugerido por el sistema no es correcto. La visualización del paquete puede darle la información necesaria para determinar el tipo correcto. Actualizar Permite volver a cargar los datos de la página para ver los cambios en los datos de aprendizaje automático y el estado del aprendizaje automático de syslog, MEF o Netflow. Mostrar paquete Permite ver el paquete correspondiente al origen de datos seleccionado. Véase también Administración del aprendizaje automático de orígenes de datos en la página 108 McAfee Enterprise Security Manager 9.6.0 Guía del producto 111 3 Configuración del ESM Configuración de dispositivos Página Orígenes con aprendizaje automático Cuando se agregan orígenes mediante el aprendizaje automático como orígenes de datos del receptor, permite seleccionar las opciones para los orígenes agregados. Tabla 3-44 Definiciones de opciones Opción Definición Crear orígenes de datos para los elementos de aprendizaje automático seleccionados Crea nuevos orígenes de datos por cada uno de los orígenes de aprendizaje automático seleccionados. Si se requiere más información para alguno de los orígenes, se abre la página Agregar origen de datos para que pueda agregar la información. Crear clientes para orígenes Existen las siguientes opciones disponibles: de datos existentes o crear • Coincidencia de cliente en tipo: si existe un origen de datos que coincida con la IP nuevos orígenes de datos seleccionada, los elementos se agregan a él a modo de orígenes de datos con clientes cliente de coincidencia por tipo. Si no existe ningún origen de datos que coincida con la IP seleccionada, se crea uno. Los elementos restantes se agregan a él a modo de orígenes de datos cliente de coincidencia por tipo. • Coincidencia de cliente en IP: esta opción permite seleccionar el origen de datos al que agregar esta dirección IP a modo de cliente. Cuando se selecciona esta opción, la lista desplegable se activa. Si existen uno o más orígenes de datos que coincidan con esta dirección IP, aparecerán aquí. Si no existe ninguno, la única opción disponible es Ninguno: crear nuevo origen de datos. Seleccione el origen de datos al que desee agregar esta dirección IP a modo de cliente y, después, haga clic en Aceptar. Véase también Administración del aprendizaje automático de orígenes de datos en la página 108 Establecimiento del formato de fecha para los orígenes de datos Seleccione el formato de las fechas incluidas en los orígenes de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de datos 2 3 112 . Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas: • Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día). Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el formato de fecha del origen de datos principal. • Mes antes del día: el mes aparece antes que el día (04/23/2014). • Día antes del mes: el día aparece antes que el mes (23/04/2014). Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Administración de orígenes de datos en la página 98 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Visualización de los archivos generados por los orígenes de datos en la página 132 Adición de un origen de datos secundario Es posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno secundario. 3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de datos principal. 4 Haga clic en Aceptar. El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en la tabla y en el árbol de navegación del sistema. Página Editar clientes de orígenes de datos Permite cambiar el tipo, el proveedor, el modelo y la zona horaria de un origen de datos de aprendizaje automático. Tabla 3-45 Definiciones de opciones Opción Definición Proveedor de origen de datos Seleccione el proveedor del cliente o el origen de datos de aprendizaje automático. Modelo de origen de datos Seleccione el modelo del cliente o el origen de datos. Zona horaria Seleccione la zona horaria del cliente o el origen de datos. Véase también Administración del aprendizaje automático de orígenes de datos en la página 108 McAfee Enterprise Security Manager 9.6.0 Guía del producto 113 3 Configuración del ESM Configuración de dispositivos Orígenes de datos cliente Es posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición de orígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF, MEF, NPP y WMI, es posible agregar hasta 32 766 clientes de origen de datos. Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datos WMI y se ha seleccionado Usar RPC, esta opción no estará disponible. Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el número de puerto para diferenciarlos. Esto permite separar los datos utilizando un puerto distinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayan llegado. Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de un origen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principal u otro puerto. Los orígenes de datos cliente tienen las características siguientes: • No disponen de derechos de VIPS, directiva ni agente. • No aparecen en la tabla Orígenes de datos. • Aparecen en el árbol de navegación del sistema. • Comparten la misma directiva y los mismos derechos que el origen de datos principal. • Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal. Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria se determina en la consulta enviada al servidor WMI. Véase también Adición de un origen de datos cliente en la página 114 Adición de un origen de datos cliente Puede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes de datos permitidos en el receptor. Antes de empezar Agregue el origen de datos al receptor (véase Adición de un origen de datos). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes. La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de datos seleccionado. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo, supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la 114 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos dirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con 1.1.1.1, se dirige al primer cliente porque es más específico. Véase también Orígenes de datos cliente en la página 114 Página Clientes de orígenes de datos en la página 115 Página Agregar clientes de orígenes de datos en la página 115 Página Clientes de orígenes de datos Permite administrar los clientes de un origen de datos. Tabla 3-46 Definiciones de opciones Opción Definición Tabla de clientes Ver los clientes que forman parte del origen de datos seleccionado en la tabla Orígenes de datos. Buscar Si busca un cliente específico, escriba su nombre en el campo y haga clic en Buscar. Agregar Haga clic en esta opción para agregar un cliente al origen de datos. Editar Permite editar el cliente seleccionado. Quitar Haga clic aquí para eliminar el cliente seleccionado. Véase también Adición de un origen de datos cliente en la página 114 Página Agregar clientes de orígenes de datos Permite agregar un cliente a un origen de datos. Tabla 3-47 Definiciones de opciones Opción Definición Nombre Escriba un nombre para este cliente. Zona horaria Seleccione la zona horaria en la que se encuentra este origen de datos cliente. Orden en fechas Seleccione el formato para la fecha: primero el mes y luego el día o al contrario. Dirección IP, Nombre de host Escriba la dirección IP o el nombre de host del cliente. Puede tener más de un origen de datos cliente con la misma dirección IP. Se utiliza el puerto para diferenciarlos. Se requiere TLS en syslog Seleccione esta opción si desea utilizar el protocolo de cifrado Transport Layer Security (TLS) para syslog. Puerto Indique si desea que el cliente use el mismo puerto que su elemento principal u otro de los puertos de la lista. Coincidir por tipo Seleccione esta opción si desea hacer coincidir los clientes por tipo y, después, seleccione el proveedor y el modelo del cliente. Véase también Adición de un origen de datos cliente en la página 114 Localización de un cliente La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de 65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de ser necesario. McAfee Enterprise Security Manager 9.6.0 Guía del producto 115 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos | Clientes. 2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar. Importación de una lista de orígenes de datos La opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardada en formato .csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de forma individual. Existen dos situaciones en las que se emplea esta opción: • Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretende hacer, véase Traslado de orígenes de datos a otro sistema. • Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos existentes. Si es lo que necesita hacer, siga este procedimiento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b Haga clic en Exportar y, después, en Sí para confirmar la descarga. c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. Se guardará la lista de orígenes de datos existentes. d Acceda a este archivo y ábralo. Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos). 2 Agregue, edite o elimine orígenes de datos en esta lista. a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar, editar o quitar. b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja de cálculo. No es posible editar la directiva ni el nombre del origen de datos. c Guarde los cambios realizados en la hoja de cálculo. No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario. 116 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos 3 Importe la lista al receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b Haga clic en Importar, seleccione el archivo y haga clic en Cargar. No es posible cambiar la directiva ni el nombre del origen de datos. Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo. c Para importar los cambios, haga clic en Aceptar. Los cambios con el formato correcto se agregarán. d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes. e Haga clic en Descargar todo el archivo y, después, en Sí. f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. g Abra el archivo descargado. En él se indican los orígenes de datos con errores. h Corrija los errores y, después, guarde y cierre el archivo. i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en Importar y seleccione el archivo guardado. En Importar orígenes de datos se indican los orígenes de datos corregidos. j Haga clic en Aceptar. Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Traslado de orígenes de datos a otro sistema en la página 129 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Visualización de los archivos generados por los orígenes de datos en la página 132 Página Cargar una definición de origen de datos personalizado en la página 117 Página Cargar una definición de origen de datos personalizado Permite agregar definiciones de orígenes de datos personalizados al sistema mediante la carga de un archivo, así como ver la lista de definiciones instaladas. Tabla 3-48 Definiciones de opciones Opción Definición Cargar Haga clic en esta opción y navegue hasta el archivo .npd de definiciones de orígenes de datos personalizados que desee agregar al ESM. Este archivo lo genera McAfee. Ver Haga clic en esta opción para ver las definiciones de orígenes de datos que se han instalado. Véase también Importación de una lista de orígenes de datos en la página 116 McAfee Enterprise Security Manager 9.6.0 Guía del producto 117 3 Configuración del ESM Configuración de dispositivos Campos de la hoja de cálculo para la importación de orígenes de datos La hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunas de las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos. Campos obligatorios para todos los orígenes de datos Columna Descripción Detalles op Introduzca una de estas funciones en la columna op: Operación que hay que realizar en el origen de datos • adición = Agregar un origen de datos. • editar = Modificar un origen de datos existente. • eliminación = Eliminar sin volver a asignar. Si esta columna se deja en blanco, no se realiza ninguna acción en el origen de datos. rec_id ID de receptor Este número de ID de dispositivo se puede consultar en la página Nombre y descripción del receptor. dsname Nombre del origen de datos Debe ser exclusivo en el receptor. Campos utilizados por todos los orígenes de datos Columna Descripción Detalles ip Dirección IP válida del origen de datos • Es obligatoria excepto si el protocolo es "corr". • Solo se lleva a cabo la validación para los orígenes de datos activados. Exclusiones: • Protocolos: cifs, nfs, ftp, scp y http • Recopilador: "curl" o "mount" • SNMPTrap: no válido si otros orígenes de datos usan capturas SNMP y el valor de IPAddress coincide • nfxsql: no válido si se encuentra la combinación de IPAddress, "dbname" y "port" • netflow u opsec: no válidos si se encuentra la combinación de IPAddress y "port" • mef es el recopilador (si el analizador es mef, el recopilador es mef de forma automática): no es válido si se encuentran mef y el protocolo 118 model (modelo) La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). vendor (proveedor) La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). parent_id ID del origen de datos principal Necesario si se trata de un agente o un cliente. Si este ID es un nombre, se intenta encontrar el elemento principal del origen de datos con este nombre que sea un elemento secundario del receptor especificado. child_type Tipo de elemento secundario de origen de datos Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 = cliente McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Columna Descripción Detalles match_type Coincidencia de cliente Obligatoria cuando se agregan o editan orígenes de datos: 1 = coincidencia por dirección IP, 2 = coincidencia por tipo de terceros. parsing Indicador de activación del origen de datos Indicador de activación (yes/no); el valor predeterminado es yes. Campos utilizados por orígenes de datos que no son clientes Columna Descripción Detalles snmp_trap_id ID de perfil de la captura SNMP El valor predeterminado es 0. elm_logging Registrar en ELM (yes/no) El valor predeterminado es no. pool Nombre del grupo de ELM El valor predeterminado es en blanco. meta-vendor El valor predeterminado es en blanco. meta-product El valor predeterminado es en blanco. meta_version El valor predeterminado es en blanco. url URL de detalles de evento El valor predeterminado es en blanco. parser Método de análisis del formato El valor predeterminado es Predeterminado. de datos collector Método de recuperación de datos El valor predeterminado es Predeterminado. Si parser es mef, collector se define como mef. Se pueden emplear scp, http, ftp, nfs y cifs si el formato de archivo plano es compatible con el protocolo. Campos obligatorios si el formato es CEF o MEF Columna Descripción encrypt Detalles Marca de cifrado del El valor predeterminado es F. También se usa si Format (Formato) es origen de datos Default (Predeterminado), Retrieval (Recuperación) es mef (mef) y Protocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismo para todos los MEF con la misma dirección IP. hostname Nombre o ID de host El valor predeterminado es en blanco. Es opcional si Protocolo es gsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas. aggregate Retransmisión de syslog Los valores válidos son en blanco y syslogng (syslogng). El valor predeterminado es en blanco. También se usa si Format (Formato) es Default (Predeterminado), Retrieval (Recuperación) es Default (Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog). tz_id El valor predeterminado es en blanco. También se emplea si el Formato es Predeterminado y se cumple alguna de estas condiciones: ID de zona horaria • El Protocolo es syslog y el Modelo no es Adiscon Windows Events. • El Protocolo es nfxsql. • El Protocolo es nfxhttp. • El Protocolo es correo electrónico. • El Protocolo es estream. También se usa para la compatibilidad con algunos formatos de archivo plano. McAfee Enterprise Security Manager 9.6.0 Guía del producto 119 3 Configuración del ESM Configuración de dispositivos Otros campos Columna Descripción Detalles profile_id Nombre o ID del perfil El valor predeterminado es en blanco. Si el nombre del perfil no puede encontrar el registro del perfil, se registra un error. exportMcAfeeFile Indicador de transporte del origen de datos El valor predeterminado es no. En caso de usar yes, el origen de datos se incluye en el transporte de origen de datos. exportProfileID Nombre de perfil del recurso compartido remoto El valor predeterminado es en blanco. mcafee_formated_file Indicador de análisis de datos sin procesar El valor predeterminado es no. Si se utiliza yes, el método de análisis emplea el archivo de datos sin procesar. mcafee_formated_file_xsum Usar el indicador de suma de comprobación El valor predeterminado es no. Si el valor es yes, use la suma de comprobación antes de analizar el archivo de datos sin procesar. mcafee_formated_file_ipsid El ID original de Nitro IPS Obligatoria si se emplea el archivo de datos sin procesar. zoneID Nombre de la zona El valor predeterminado es en blanco. Policy_Name Nombre o ID de la directiva El valor predeterminado es en blanco. Solo se usa cuando se agregan orígenes de datos nuevos. Este valor no se actualiza en una operación de edición. Campos validados para protocolos específicos El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default (Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF (MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan según el protocolo especificado en caso de no indicarse el perfil. Tabla 3-49 Campos de Netflow — Inicio en columna AF Columna Descripción netflow_port El valor predeterminado es 9993. netflow_repeat_enabled Reenvío activado El valor predeterminado es F. netflow_repeat_ip Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valor predeterminado es en blanco. netflow_repeat_port Puerto de reenvío Tabla 3-50 El valor predeterminado es 9996. Campos de rdep — Inicio en columna AJ Columna 120 Detalles Descripción Detalles rdep_sdee_username Obligatoria. rdep_sdee_password Obligatoria. rdep_sdee_interval El valor predeterminado es 60 segundos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-51 Campos de Opsec — Inicio en columna AM Columna Descripción opsec_parent Indicador de principal Obligatoria (T/F). T = el origen de datos es (tipo de dispositivo) principal. F = el origen de datos no es principal. opsec_authentication Indicador de uso de autenticación Se emplea si el principal es T; el valor predeterminado es F. opsec_appname Nombre de aplicación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_actkey Clave de activación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_parent_id Nombre del elemento El nombre del elemento principal es necesario si principal del origen de parent = F. Se registra un error si el nombre del datos elemento principal del origen de datos no puede encontrar el origen de datos principal. opsec_port Detalles Se emplea si el principal es T; el valor predeterminado es 18184. opsec_encryption Indicador de uso de cifrado Se emplea si el principal es T; el valor predeterminado es F. opsec_comm_method Método de comunicación Se emplea si el principal T; el valor predeterminado es en blanco. Debe ser un valor válido: • '' (en blanco) • "sslca" • "asym_sslca" • "sslca_clear" • "asym_sslca_com p" • "sslca_comp" • "asym_sslca_rc4" • "sslca_rc4" • "asym_sslca_rc4_ comp" • "sslca_rc4_comp" • "ssl_clear" opsec_server_entity_dn Nombre distintivo de entidad de servidor El valor predeterminado es en blanco. Se emplea si el principal es T. Obligatoria si el tipo de dispositivo es servidor de registro/CLM o SMS/CMA secundario. opsec_collect_audit_events Tipo de recopilación de OPSEC "Eventos de auditoría" Se emplea si el principal es T; el valor predeterminado es "yes". opsec_collect_log_events Marca de tipo de recopilación de eventos de eventos de registro Se emplea si el principal es T; el valor predeterminado es "yes". opsec_type Tipo de dispositivo Obligatorio. Los valores válidos para este campo son: Valor Nombre en lista desplegable del cliente ligero McAfee Enterprise Security Manager 9.6.0 0 SMS/CMA 1 Dispositivo de seguridad 2 Servidor de registro/CLM 3 SMS/CMA secundario Guía del producto 121 3 Configuración del ESM Configuración de dispositivos Tabla 3-52 Campos de WMI — Inicio en columna AY Columna Descripción Detalles wmi_use_rpc Marca de uso de RPC El valor predeterminado es no. wmi_logs Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY. wmi_nbname Nombre de NetBIOS Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_username Nombre de usuario Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_password Contraseña Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_interval El valor predeterminado es 600. wmi_version El valor predeterminado es 0. Tabla 3-53 Campos de gsyslog — Inicio en columna BF Columna Descripción Detalles gsyslog_autolearn Marca de compatibilidad con syslogs genéricos Los valores válidos son: T, F, RECUENTO. El valor predeterminado es F. gsyslog_type Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es 49190. Asignación de regla genérica gsyslog_mask Se usa si Recuperación = Predeterminado. El valor predeterminado es 0. Tabla 3-54 Campo de corr — Columna BI Columna Descripción Detalles corr_local Marca de uso de datos locales El valor predeterminado es F. Si el modelo de receptor es ERC-VM-25 o ERC-VM-500, el origen de datos no se agrega. De lo contrario, no puede haber otros orígenes de datos que empleen este protocolo. Tabla 3-55 Campos de sdee — Inicio en columna BJ Columna 122 Descripción Detalles sdee_username Obligatoria. sdee_password Obligatoria. sdee_uri El valor predeterminado es cgi-bin/sdee-server. sdee_interval El valor predeterminado es 600 segundos. sdee_port El valor predeterminado es 443. sdee_proxy_port El valor predeterminado es 8080. sdee_use_ssl El valor predeterminado es T. sdee_proxy_ip Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_proxy_username Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_proxy_password Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_use_proxy El valor predeterminado es F. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-56 Campos de mssql — Inicio en columna BU Columna Descripción Detalles mssql_parent Tipo de dispositivo El valor predeterminado es T. Servidor = T. Dispositivo gestionado = F mssql_port Se emplea si el principal = T. El valor predeterminado es 1433. mssql_interval Se emplea si el principal = T. El valor predeterminado es 600 segundos. mssql_username Obligatoria si el principal = T. El valor predeterminado es en blanco. mssql_password Obligatoria si el principal = T. El valor predeterminado es en blanco. mssql_parent_id Nombre del elemento principal Se requiere si parent = F. Se registra un error si el nombre del principal no puede encontrar el origen de datos. Tabla 3-57 Campos de syslog — Inicio en columna CA Columna Descripción Detalles syslog_untrust_iface Interfaz de menos confianza Obligatoria si el Proveedor es CyberGuard. syslog_burb Nombre de grupo de interfaces de Internet Obligatoria si el Proveedor es McAfee y el Modelo es McAfee Firewall Enterprise. syslog_sg_mc Marca de centro de administración Opcional si el Proveedor es Stonesoft Corporation; el valor predeterminado es no. syslog_nsm Marca de administrador de seguridad Opcional si el Proveedor es Juniper Networks y el modelo es Netscreen Firewall/Security Manager o Netscreen IDP; el valor predeterminado es no. syslog_wmi_syslog_format Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es 0. syslog_wmi_version Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es Windows 2000. syslog_aruba_version Opcional si el Proveedor es Aruba; el valor predeterminado es 332. syslog_rev_pix_dir Invertir valores de red Opcional si el Proveedor es Cisco y el modelo es PIX/ASA o Firewall Services Module; el valor predeterminado es no. syslog_aggregate Retransmisión de syslog Los valores válidos son en blanco y Proveedor. El valor predeterminado es en blanco. syslog_require_tls T/F Indica si se está usando TLS para este origen de datos. syslog_syslog_tls_port syslog_mask McAfee Enterprise Security Manager 9.6.0 El puerto que se debe usar para TLS si se utiliza con syslog. Máscara de dirección IP (Opcional) Permite aplicar una máscara a una dirección IP de forma que se acepte un intervalo de direcciones IP. Un cero (0) en el campo significa que no se usa ninguna máscara. El valor predeterminado es 0. Guía del producto 123 3 Configuración del ESM Configuración de dispositivos Tabla 3-58 Campos de nfxsql — Inicio en columna CM Columna Descripción nfxsql_port Detalles El valor predeterminado depende del proveedor y el modelo: Predeterminado Proveedor Modelo 9117 Enterasys Networks Dragon Sensor o Dragon Squire 1433 IBM ISS Real Secure Desktop Protector, ISS Real Secure Network o ISS Real Secure Server Sensor 1433 McAfee ePolicy Orchestrator, firewall de ePolicy Orchestrator o sistema de prevención de intrusiones en host de ePolicy Orchestrator 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 Otros nfxsql_userid Obligatoria. nfxsql_password Obligatoria. nfxsql_dbname Nombre de la base de datos (Opcional) El valor predeterminado es en blanco. nfxsql_splevel Nivel de Service Pack Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector), ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure Server Sensor (ISS Real Secure Server Sensor). El valor predeterminado es SP4 (SP4). nfxsql_version (Opcional) • El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es Oracle Audits. • El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es McAfee y Model (Modelo) es ePolicy Orchestrator, Firewall de ePolicy Orchestrator o Host IPS de ePolicy Orchestrator. 124 nfxsql_logtype Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA, GA o ambas). nfxsql_sid SID de base de Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor datos predeterminado es en blanco. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-59 Campos de nfxhttp — Inicio en columna CU Columna Descripción Detalles nfxhttp_port El valor predeterminado es 433. nfxhttp_userid Obligatoria. nfxhttp_password Obligatoria. nfxhttp_mode El valor predeterminado es secure. Tabla 3-60 Campos de email — Inicio en columna CY Columna Descripción Detalles email_port El valor predeterminado es 993. email_mailbox Protocolo de correo El valor predeterminado es imap pop3. email_connection Tipo de conexión El valor predeterminado es ssl clear. email_interval El valor predeterminado es 600 segundos. email_userid Obligatoria. email_password Obligatoria. Tabla 3-61 Campos de estream — Inicio en columna DE Columna Descripción Detalles Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación, de forma que actualmente se omiten. jestream_port El valor predeterminado es 993. jestream_password Obligatoria. jestream_estreamer_cert_file Obligatoria. jestream_collect_rna Tabla 3-62 Campos de origen de archivos — Inicio en columna DI Columna Descripción Detalles Se emplea para los protocolos cifs, ftp, http, nfs y scp. fs_record_lines Número de líneas por registro Se usa si existe compatibilidad con formato de archivo plano. El valor predeterminado es 1. fs_file_check Intervalo El valor predeterminado es 15 minutos. fs_file_completion El valor predeterminado es 60 segundos. fs_share_path El valor predeterminado es en blanco. fs_filename Expresión comodín Obligatoria. fs_share_name Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se usa). fs_username Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. fs_password Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. fs_encryption Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. McAfee Enterprise Security Manager 9.6.0 Guía del producto 125 3 Configuración del ESM Configuración de dispositivos Tabla 3-62 Campos de origen de archivos — Inicio en columna DI (continuación) Columna Descripción fs_port fs_verify_cert Detalles Se emplea si el Protocolo es ftp; el valor predeterminado es 990. Se emplea si el Protocolo es http; el valor predeterminado es 443. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. El valor predeterminado es 80. Verificar certificado SSL Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. fs_compression Se emplea si el Protocolo es scp o sftp. El valor predeterminado es no. fs_login_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_copy_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_wmi_version Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Microsoft y el Modelo es Adiscon Windows Events. El valor predeterminado es Windows 2000. fs_aruba_version Se emplea si hay compatibilidad con formato de archivo plano y el Proveedor es Aruba. El valor predeterminado es 332. fs_rev_pix_dir Invertir valores de red Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module. El valor predeterminado es no. fs_untrust_iface Interfaz de menos confianza Obligatoria si hay compatibilidad con formato de archivo plano y el Proveedor es CyberGuard. fs_burb Nombre de grupo de Obligatoria si hay compatibilidad con formato de archivo plano, el interfaces de Proveedor es McAfee y el Modelo es McAfee Firewall Internet Enterprise. fs_nsm Marca de administrador de seguridad Opcional si hay compatibilidad con formato de archivo plano, el Proveedor es Juniper Networks y el Modelo es Netscreen Firewall/ Security Manager o Netscreen IDP. El valor predeterminado es no. fs_autolearn Admitir syslogs genéricos Opcional si hay compatibilidad con formato de archivo plano y la Recuperación es gsyslog. Los valores válidos son: T, F y RECUENTO. El valor predeterminado es F. fs_type Asignación de regla genérica Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es 49190. fs_binary El valor predeterminado es no. fs_protocol El valor predeterminado es ''. Se emplea si el analizador es el predeterminado y el recopilador es un origen de archivos nfs. fs_delete_files Tabla 3-63 Campos de sql_ms — Inicio en columna EH Columna Detalles sql_ms_port El valor predeterminado es 1433. sql_ms_userid Obligatoria. sql_ms_password Obligatoria. sql_ms_dbname 126 Descripción Nombre de la base de datos McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-64 Campo de nas — Columna EL Columna Descripción Detalles nas_type El valor predeterminado es 49190 (Definido por el usuario 1). Este campo solo se utiliza para orígenes de datos de McAfee/PluginProtocol. Tabla 3-65 Campo de ipfix — Columna EM Columna Descripción Detalles ipfix_transport Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminado es TCP. Tabla 3-66 Campos de snmp — Inicio en columna EN Columna Descripción Detalles snmp_authpass Contraseña de autenticación Obligatoria si: • traptype = v3trap y secLevel = authPriv o authNoPriv. • traptype = v3inform y secLevel = authPriv o authNoPriv. snmp_authproto Protocolo de autenticación Los valores válidos son MD5 o SHA1. Obligatoria si: • traptype = v3trap y secLevel = authPriv o authNoPriv. • traptype = v3inform y secLevel = authPriv o authNoPriv con otros tipos de capturas. El valor predeterminado es MD5. snmp_community Nombre de comunidad Obligatoria si traptype = v1trap, v2trap, v2inform. snmp_engineid Obligatoria si traptype = v3trap. snmp_privpass Contraseña de privacidad Obligatoria si: • traptype = snmpv3trap y secLevel = authPriv. • traptype = snmpv3inform y secLevel = authPriv. snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si: • traptype = snmpv3trap y secLevel = authPriv. • traptype = snmpv3inform y secLevel = authPriv. Para otros tipos de traptype, el valor predeterminado es DES. snmp_seclevel Nivel de seguridad Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv. Obligatoria si traptype = v3trap o v3inform. Para otros tipos de traptype, el valor predeterminado es noAuthNoPriv. snmp_traptype Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform, v3trap y v3inform. snmp_username Obligatoria si traptype = snmpv3 o snmpv3inform. type Asignación de regla predeterminada snmp_version McAfee Enterprise Security Manager 9.6.0 Obligatoria. El valor predeterminado es 49190. Se rellena automáticamente. Guía del producto 127 3 Configuración del ESM Configuración de dispositivos Tabla 3-67 sql_ws — Inicio en columna EY Columna Descripción Detalles sql_ws_port (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es 1433. sql_ws_userid Obligatoria. sql_ws_password Obligatoria. sql_ws_dbname (Opcional) El valor predeterminado es en blanco. sql_ws_db_instance Nombre de instancia de la base Obligatoria. de datos Tabla 3-68 sql — Inicio en columna FD Columna Descripción sql_port Puerto utilizado para conectar con la base de datos sql_userid ID de usuario de la base de datos sql_password Contraseña de la base de datos sql_dbinstance Nombre de la instancia de la base de datos Detalles sql_config_logging Los valores válidos son 0 (para Base de datos de SQL Server Express) y 1 (para Base de datos SQL) sql_protocol Si el valor de sql_config_logging es 1, el de esta columna es gsql. sql_dbname Nombre de la base de datos Tabla 3-69 oracleidm — Inicio en columna FK Columna Descripción Detalles oracleidm_port Puerto usado para conectar con la base de datos de Oracle Identity Manager. oracleidm_userid ID de usuario de la base de datos de Oracle Identity Manager. oracleidm_password Contraseña de la base de datos de Oracle Identity Manager oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager oracleidm_dpsid Nombre TNS de la conexión utilizada Tabla 3-70 text — Inicio en columna FP Columna Descripción Detalles Estos campos se utilizan con el origen de datos ePolicy Orchestrator. text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos de ePolicy Orchestrator. 128 text_dbname Nombre de la base de datos de ePolicy Orchestrator text_password Contraseña de la base de datos de ePolicy Orchestrator text_port Puerto utilizado para conectar con la base de datos de ePolicy Orchestrator text_userid ID de usuario de la base de datos de ePolicy Orchestrator McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-71 gsql — Inicio en columna FU Columna Descripción Detalles gsql_port (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es 1433. gsql_userid Obligatoria. gsql_password Obligatoria. gsql_dbname (Opcional) El valor predeterminado es en blanco. gsql_db_instance Nombre de instancia de la base de datos Obligatoria. gsql_nsmversion Versión de NSM Obligatoria. Si se deja en blanco, el valor predeterminado es la versión 6.x. Migración de orígenes de datos a otro receptor Es posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema. Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar los orígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevo receptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos del receptor actual al nuevo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor y haga clic en Orígenes de datos. 2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar. 3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar. Véase también Página Migrar orígenes de datos en la página 129 Página Migrar orígenes de datos Permite seleccionar el receptor al que transferir los orígenes de datos. Tabla 3-72 Definiciones de opciones Opción Definición Receptor de destino Indica todos los receptores del ESM. Seleccione el receptor al que desee mover los orígenes de datos seleccionados. Véase también Migración de orígenes de datos a otro receptor en la página 129 Traslado de orígenes de datos a otro sistema A fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesario seleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar en una ubicación remota y finalmente importarlos al otro receptor. Antes de empezar Para llevar a cabo esta función es necesario disponer de derechos de administración de dispositivos en ambos receptores. McAfee Enterprise Security Manager 9.6.0 Guía del producto 129 3 Configuración del ESM Configuración de dispositivos Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Existen limitaciones a la hora de exportar información de orígenes de datos: • No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow). • Los eventos de origen de los eventos correlacionados no se muestran. • Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde el archivo. Para... Haga esto... Seleccionar los orígenes de datos y la ubicación remota 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Origen de datos. 2 Seleccione el origen de datos y haga clic en Editar. 3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile. Los datos se exportarán a una ubicación remota y se configurarán mediante un perfil. 4 Haga clic en Aceptar. A partir de este momento, los datos sin procesar generados por este origen de datos se copiarán en la ubicación remota. Crear el archivo de datos sin procesar 1 Acceda a la ubicación remota donde están almacenados los datos sin procesar. Crear un archivo que describa los orígenes de datos 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Origen de datos | Importar. 2 Guarde los datos sin procesar generados en una ubicación que permita mover el archivo al segundo receptor (como una memoria extraíble que se pueda transportar a la ubicación no segura). 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil. 4 Haga clic en Aceptar. Los orígenes de datos se agregarán al segundo receptor y se accederá a los datos sin procesar a través del perfil de recurso compartido remoto. Importar archivos 1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo de datos sin receptor y haga clic en Importar. procesar y archivos de orígenes de 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página datos Importar orígenes de datos muestra los orígenes de datos que se importarán. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil (véase Configuración de perfiles). 4 Haga clic en Aceptar. 130 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Visualización de los archivos generados por los orígenes de datos en la página 132 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) Si selecciona Origen de archivo NFS u Origen de archivo CIFS en el campo Recuperación de datos al agregar un origen de datos, es necesario elegir un método de recopilación. Las opciones son las siguientes. • Copiar archivo(s): se copian los registros completos desde el recurso compartido remoto al receptor para su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentemente con información nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento. • Leer final de archivo(s): los registros se leen de forma remota y solamente se leen los eventos nuevos. Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si el archivo cambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el principio. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono Agregar origen de datos de la barra de herramientas de acciones. 2 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en el campo Recuperación de datos. 3 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes. 4 • Registros multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una longitud dinámica. • Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y el comienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de registro. • El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe analizar como una expresión regular en lugar de como un valor estático. • Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primera ejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los eventos nuevos. • Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a los directorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión comodín. Si no se selecciona, solamente se buscan los archivos del directorio principal. Rellene los campos restantes y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 131 3 Configuración del ESM Configuración de dispositivos Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Visualización de los archivos generados por los orígenes de datos en la página 132 Página Agregar origen de datos en la página 96 Visualización de los archivos generados por los orígenes de datos A fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Ver archivos. No es posible acceder a ellos mediante una vista de ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el origen de datos de McAfee. 2 En la barra de herramientas de acciones, haga clic en el icono Ver archivos 3 Siga uno de estos procedimientos: 4 . • Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivo concreto. • Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos generados durante ese intervalo. • Haga clic en Actualizar para actualizar la lista de archivos. • Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo. Haga clic en Cancelar para cerrar la página. Véase también Orígenes de datos de receptor en la página 93 Adición de un origen de datos en la página 94 Administración de orígenes de datos en la página 98 Establecimiento del formato de fecha para los orígenes de datos en la página 112 Importación de una lista de orígenes de datos en la página 116 Traslado de orígenes de datos a otro sistema en la página 129 Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página 131 Tipos de orígenes de datos definidos por el usuario En esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada, que se muestra en el editor de orígenes de datos. ID 132 Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas 49190 User Defined 1 N/D syslog UserDefined1_ Generic 49191 User Defined 2 N/D syslog UserDefined2_ Generic 49192 User Defined 3 N/D syslog UserDefined3_ Generic 49193 User Defined 4 N/D syslog UserDefined4_ Generic McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas 49194 User Defined 5 N/D syslog UserDefined5_ Generic 49195 User Defined 6 N/D syslog UserDefined6_ Generic 49196 User Defined 7 N/D syslog UserDefined7_ Generic 49197 User Defined 8 N/D syslog UserDefined8_ Generic 49198 User Defined 9 N/D syslog UserDefined9_ Generic 49199 User Defined 10 N/D syslog UserDefined10_ Generic Orígenes de datos admitidos McAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptores pueden tener un máximo de 2000, 200 o 50 orígenes de datos. Para ver las guías de configuración de los orígenes de datos actuales, diríjase al Centro de conocimiento. Estos dispositivos pueden tener 2000 orígenes de datos asociados: • ERC-1225 • ENMELM-5600 • ERC-1250 • ENMELM-5750 • ERC-2230 • ENMELM-6000 • ERC-2250 • ELMERC-2230 • ERC-2600 • ELMERC-2250 • ERC-3450 • ELMERC-2600 • ERC-4245 • ELMERC-4245 • ERC-4600 • ELMERC-4600 • ENMELM-2250 • ESMREC-4245 • ENMELM-4245 • ESMREC-5205 • ENMELM-4600 • ESMREC-5510 • ENMELM-5205 El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200. Estas son las correspondencias de los intervalos de orígenes de datos: • Tipos de orígenes de datos: 1–48 999 • Tipos definidos por el usuario: 49 001–49 999 • Reservado para McAfee (por ejemplo, grupos de reglas): 50 001–65 534 Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de datos de McAfee. Configuración para orígenes de datos específicos Algunos orígenes de datos requieren más información y opciones de configuración especiales. Véanse las secciones siguientes para obtener detalles. McAfee Enterprise Security Manager 9.6.0 Guía del producto 133 3 Configuración del ESM Configuración de dispositivos • Check Point • Big Fix • IBM Internet Security Systems SiteProtector • Formato de evento común • McAfee ePolicy Orchestrator • ArcSight • ePolicy Orchestrator 4.0 • Security Device Event Exchange • NSM-SEIM • Analizador de syslog avanzado • Compatibilidad con la retransmisión de syslog • Registro de eventos de WMI • Adiscon También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centro de conocimiento. WMI Event Log WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según la definición de Distributed Management Task Force (DMTF). Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite el uso compartido de la información de administración por parte de las aplicaciones de administración. La capacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMI resulte útil. WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos. El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows. De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la tabla de eventos. Se necesitan privilegios de administrador u operador de copia de seguridad para los registros de eventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos como el usuario están correctamente configurados (véase Configuración para la extracción de registros de seguridad de Windows). Se admiten estos dispositivos adicionales del origen de datos de WMI: • McAfee Antivirus • Microsoft SQL Server • Windows • RSA Authentication Manager • Microsoft ISA Server • Symantec Antivirus • Microsoft Active Directory • Microsoft Exchange Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte Configuración de Adiscon. Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log. 134 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración para la extracción de registros de seguridad de Windows Cuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración pueden extraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y el usuario estén bien configurados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de eventos. 2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows. 3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos). 4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar. Origen de datos de correlación Un origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patrones sospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones e inserta estas alertas en la base de datos de alertas del receptor. Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva de correlación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes y distintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican su comportamiento. Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a la configuración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación de un receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de base de la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizados para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas y establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre la directiva de correlación, consulte Reglas de correlación. Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es Correlation Engine. Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del receptor. McAfee Enterprise Security Manager 9.6.0 Guía del producto 135 3 Configuración del ESM Configuración de dispositivos Asociación de gravedades y acciones Los parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos es asociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema. • severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor gravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, el dispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno y diez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar como gravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedente de McAfee IntruShield que muestra la gravedad en forma de texto. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la asociación de gravedad está en negrita solo para resaltarla): alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder"; severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+ ([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un formato que se puede utilizar. setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la gravedad. Todos los modificadores de setparm funcionan de esta forma. • action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port 49547 ssh2 alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd"; action_map:Failed=9,Accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid| illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones que se pueden utilizar. 136 • 0 = nulo • 20 = detención • 1 = paso • 21 = Detección • 2 = rechazo • 22 = De confianza • 3 = supresión • 23 = No fiable • 4 = sdrop • 24 = Falso positivo • 5 = alerta • 25 = alerta-rechazo • 6 = predeterminado • 26 = alerta-supresión • 7 = fallo • 27 = alerta-sdrop McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • 8 = correcto • 28 = reinicio • 9 = error • 29 = bloqueo • 10 = emergencia • 30 = limpieza • 11 = crítico • 31 = limpieza-error • 12 = advertencia • 32 = continuación • 13 = informativo • 33 = infectado • 14 = depuración • 34 = movimiento • 15 = estado • 35 = movimiento-error • 16 = adición • 36 = cuarentena • 17 = modificación • 37 = cuarentena-error • 18 = eliminación • 38 = eliminación-error • 19 = inicio • 39 = denegado En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema interpreta como Error. A continuación se ofrece un desglose de la estructura de una regla. Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or severity_map (if you need it); pcre:”your regular expression goes here”; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Analizador de syslog avanzado El analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidos en mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP cómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones. El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la página Agregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente los mensajes o interprete completamente puntos de datos relacionados con los eventos recibidos. También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX. Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas para su entorno Linux o UNIX. Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la dirección IP del receptor. Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar datos de eventos de forma genérica. Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor. La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea un formato muy similar al de Snort. McAfee Enterprise Security Manager 9.6.0 Guía del producto 137 3 Configuración del ESM Configuración de dispositivos ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las referencias a subcapturas de PCRE sin entrecomillar. Las reglas se definen como sigue. Sección Campo Encabezado de regla Descripción El encabezado de la regla contiene la acción Alert y el formato any any any. La regla es: ALERT any any any -> any any Acción Qué hacer con el evento cuando se produzca una coincidencia. Las opciones son: • ALERT: registrar el evento • DROP: registrar el evento pero no reenviarlo • SDROP: no registrar el evento ni reenviarlo • PASS: reenviarlo si se ha definido, pero no registrarlo Protocol Si el evento define un protocolo, se filtra la coincidencia efectiva en función del protocolo. Src/Dst IP Si el evento define una dirección IP de origen o destino, se filtra la coincidencia efectiva en función de la dirección. Src/Dst Port Si el evento define un puerto de origen o destino, se filtra la coincidencia efectiva en función del puerto. Cuerpo de la regla 138 El cuerpo de la regla contiene la mayoría de los criterios de coincidencia y define cómo se deben analizar y registrar los datos en la base de datos de ESM. Los elementos del cuerpo de la regla se definen mediante pares de palabra clave-opción. Algunas palabras clave no tienen opción. msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadena mostrada en el cliente ligero de ESM con fines de generación de informes a menos que se omita mediante un mensaje pcre/setparm detectado (véase más adelante). La primera tarea de msg es el nombre de la categoría seguido por el mensaje en sí (msg: "mensaje de regla de categoría"). content (Opcional, una o varias instancias) La palabra clave content es un calificador de texto sin caracteres comodín para el filtrado previo de eventos a medida que pasan por el grupo de reglas y que puede contener espacios (por ejemplo, content: "búsqueda 1"; content "algo más"). procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID) forma parte de un encabezado de mensaje syslog estandarizado. La palabra clave procname se puede utilizar a fin de filtrar las coincidencias de eventos para la regla. Se emplea para excluir o filtrar coincidencias de eventos en las que dos procesos de un servidor Linux o UNIX pueden tener un texto de mensaje idéntico o similar. adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación de regla predeterminada del editor de orígenes de datos. sid ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente ligero de ESM a menos que se omita mediante un sid pcre/setparm detectado. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Sección Campo Descripción rev Revisión de la regla. Se emplea para rastrear los cambios. severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se asigna a los eventos que coinciden con la regla. pcre La palabra clave PCRE es una expresión regular compatible con Perl que se compara con los eventos entrantes. La palabra clave PCRE se delimita mediante comillas, y todas las apariciones de "/" se consideran caracteres normales. El contenido entre paréntesis se reserva para el uso de la palabra clave setparm. La palabra clave PCRE puede modificarse mediante las palabras clave nocase, nomatch, raw y setparm. nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso de mayúsculas y minúsculas no sea igual. nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl). raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos del encabezado (función, daemon, fecha, host/IP, nombre de proceso e ID de proceso). Normalmente, el encabezado no se utiliza en la coincidencia de PCRE. setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de la PCRE se le asigna un número por orden de aparición. Esos números se pueden asignar a etiquetas de datos (por ejemplo: setparm:username=1). Se toma el texto capturado en el primer conjunto de paréntesis y se asigna a la etiqueta de datos de nombre de usuario. Las etiquetas reconocidas se enumeran en la tabla siguiente. Etiqueta Descripción * sid Este parámetro capturado omite el sid de la regla coincidente. * msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente. * action Este parámetro capturado indica qué acción realizó el dispositivo de terceros. * protocol * src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada para un evento. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid Se emplea para modificar el sid almacenado en la base de datos, que se usa para las coincidencias de snort ajenas a McAfee en los preprocesadores snort. * url Reservada y sin uso por ahora. * src_username Primer nombre de usuario/nombre de usuario de origen. * username Nombre alternativo para src_username. * dst_username Segundo nombre de usuario/nombre de usuario de destino. * domain * hostname * application McAfee Enterprise Security Manager 9.6.0 Guía del producto 139 3 Configuración del ESM Configuración de dispositivos Etiqueta Descripción * severity Debe ser un número entero. * action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s +password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones para obtener detalles. * severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee. Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for "; severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+ (\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?: \x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones para obtener detalles. * var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que capture solo una pequeña porción de la cadena en lugar de una PCRE larga con varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de usuario y un dominio, además de crear una dirección de correo electrónico a fin de almacenarla en el campo objectname. • Sintaxis = var:field=${PCRE:Capture} • PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos PCRE, sería la PCRE 1 o 2. • Captura = no la captura real, sino su número (primera, segunda o tercera captura [1,2,3]). • Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee. • PCRE: (Jim).*?(McAfee) • Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim"; pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev: 25; sid:610061000; rev:1; normID:1209008128; gensys:T;) • Usuario de origen asignado: Jim • Dominio asignado: McAfee • objectname asignado: [email protected] * sessionid Se trata de un entero. * commandname Se trata de un valor de cadena. 140 * objectname Se trata de un valor de cadena. * event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puede usar event_action y action_map en la misma regla. Por ejemplo, si obtiene un evento a partir de un inicio de sesión correcto, podría utilizar la etiqueta event_action y hacer que la acción de inicio de sesión correcto sea la predeterminada (por ejemplo, event_action:8;). McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Etiqueta Descripción * firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos. * lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos. Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o setparm:lasttime="1"). Por ejemplo: alert any any any -> any any (msg:"SSH Login Attempt"; content:"content"; firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H: %M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) Para conocer los formatos admitidos actualmente, véase http:// pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin de obtener más detalles. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y es el año con cuatro dígitos %m es el número correspondiente al mes (1-12) %d es la fecha (1-31) %H corresponde a la hora (1-24) %M son los minutos (0-60) %S son los segundos (0-60) %b es la abreviatura del mes (feb, may) A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario: alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s +port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html. Adición de un origen de datos ASP con codificación diferente ESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP que genere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 141 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen de datos . 2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog avanzado en el campo Modelo de origen de datos. 3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación. Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los reciba. Security Device Event Exchange (SDEE) El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos de dispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportan mediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionar información sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores de las solicitudes HTTP se denominan clientes SDEE. Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor puede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de intrusiones de Cisco. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un origen de datos). El receptor es capaz de extraer esta información de un evento SDEE/CIDEE: • Direcciones IP de origen y destino • Puertos de origen y destino • Protocolo • Hora del evento • Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor respeta) • ID de firma e ID secundario • El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE mediante la siguiente fórmula: ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de evento de ESMI sería 2000123. • 142 VLAN McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • Gravedad • Descripción del evento • Contenido del paquete (si está disponible) Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los eventos desde la última extracción correcta. Adición de un origen de datos de ArcSight Es posible agregar orígenes de datos para un dispositivo ArcSight. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En el árbol de navegación del sistema, seleccione el nodo del receptor. Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones. 3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común en el campo Modelo de origen de datos. 4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight. 5 Rellene el resto de campos (véase Adición de un origen de datos). 6 Haga clic en Aceptar. 7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight. Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM. Formato de evento común (CEF) ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común (CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que generan registros o eventos. Contiene la información más relevante sobre el dispositivo, además de facilitar el análisis y la utilización de los eventos. No es necesario que el causante del evento genere de forma explícita el mensaje de evento. El formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por barras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la extensión se especifican campos adicionales. El formato es: CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo| IDClaseEventoDispositivo|Nombre|Gravedad|Extensión McAfee Enterprise Security Manager 9.6.0 Guía del producto 143 3 Configuración del ESM Configuración de dispositivos La parte del mensaje correspondiente a la extensión es un marcador de posición para campos adicionales. A continuación se ofrecen las definiciones de los campos de prefijo: • Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos utilizan esta información para determinar lo que representan los campos. Actualmente, solo está establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La adición de formatos nuevos se gestiona a través del organismo de estandarización. • Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos. • IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de dispositivos, y ayuda a los motores de correlación a manipular los eventos. • Nombre es una cadena que representa una descripción legible y comprensible para los usuarios sobre el evento. El nombre del evento no debe contener información específicamente mencionada en otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no es un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es redundante y se puede obtener en los otros campos. • Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del 0 al 10, donde el 10 indica el evento de mayor importancia. • Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo: fileName=c:\Archivos de programa\ArcSight es un token válido. Este es un mensaje de muestra para ilustrar el aspecto final: Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped| 10|src=10.0.0.1 dst=2.1.2.2 spt=1232 Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor. De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto: CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid} proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/ Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt". 144 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de Adiscon Se admite el uso de WMI y syslog a través de Adiscon. Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos de eventos de Windows de Adiscon para Microsoft funcione correctamente: %sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%; %Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%; %Param11%;%Param12%;%Param13%;%Param14%;%Param15% Compatibilidad con la retransmisión de syslog El reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al receptor requiere algunas tareas adicionales. Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de datos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los orígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta situación: 1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog 2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA 3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort 4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog, habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de retransmisión de syslog. La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog. El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo: 1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123] Donde: 1= Versión de syslog (opcional) 345 = Longitud de syslog (opcional) <123> = Función (opcional) McAfee Enterprise Security Manager 9.6.0 Guía del producto 145 3 Configuración del ESM Configuración de dispositivos Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio) mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio) httpd = Nombre de aplicación (opcional) [123] PID de aplicación (opcional) := Dos puntos (opcional) El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se puede delimitar entre corchetes [ ]. Ejecución de la herramienta de configuración de NSM-SIEM Antes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuración de NSM-SIEM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Descargue la herramienta de configuración. a Acceda al sitio web de descarga de productos de McAfee. b Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro de búsqueda Descargar mis productos. c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de descarga de MFE <nombre_producto> <versión>. d Lea el EULA de McAfee y haga clic en Acepto. e Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM. Ejecute la herramienta de configuración en el servidor de NSM. La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso contrario, acceda a ella. 3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSM introducidos durante la instalación de NSM. 4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del receptor al que se agregará el origen de datos. Estos datos se introducen en la pantalla del origen de datos. Configuración de ePolicy Orchestrator Es posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una misma dirección IP con nombres distintos en el campo de nombre de la base de datos. Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todos apunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseña con la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campo Versión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433. El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión, deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]). 146 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crear orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar orígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator y cualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente. Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator: • ANTISPYWARE • MNAC • DLP • POLICYAUDITOR • EPOAGENT • SITEADVISOR • GSD • VIRUSCAN • GSE • SOLIDCORE • HOSTIPS Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes de datos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de 256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos con clientes. La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicy Orchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consulta de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de correlación de riesgos (véase Adición de un administrador de correlación de riesgos). SiteProtector de IBM Internet Security Systems El receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet Security Systems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Server utilizada por SiteProtector para almacenar sus eventos. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, la recuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base de datos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez que se recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para recopilar eventos de un servidor de SiteProtector. Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de McAfee Enterprise Security Manager 9.6.0 Guía del producto 147 3 Configuración del ESM Configuración de dispositivos los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado seleccionado. La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento común (CEF). Esta configuración es opcional. Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar conexiones del protocolo TCP/IP. Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433). Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos que se han producido tras el último evento recuperado correctamente. El receptor extrae esta información de un evento de SiteProtector: • Direcciones IP de origen y destino (IPv4) • Recuento de eventos • Puertos de origen y destino • VLAN • Protocolo • Gravedad • Hora del evento • Descripción del evento Configuración de Check Point Es posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor parte de entornos Check Point estándar. El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen de datos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datos principal no actúa como servidor de registro y se dispone de un servidor de registro dedicado. Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentra en un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cada SMS/CMA secundario. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal. OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función (véase el Apéndice A). 148 2 Haga clic en Opciones. 3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivo de entidad de servidor de este origen de datos. 4 Haga clic dos veces en Aceptar. 5 Haga lo siguiente, si procede: McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Si recibe este error... Haga lo siguiente... SIC Error for lea: Client could not choose an authentication method for service lea (Error SIC para lea: el cliente no pudo elegir un método de autenticación para lea) 1 Compruebe que seleccionó la configuración correcta para Usar autenticación y Usar cifrado al agregar el origen de datos de Check Point. Si seleccionó solamente Usar autenticación, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca_clear". Si seleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca". Si no seleccionó ninguna de estas opciones, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "none". 2 Compruebe que la aplicación OPSEC que está utilizando para comunicarse con el servidor de registro de Check Point tenga LEA seleccionado en la sección Client Entities (Entidades cliente). 3 Si verifica que ambos pasos son correctos, localice el archivo sic_policy.conf en la instalación del servidor de registro de Check Point. Por ejemplo, en un sistema R65 basado en Linux, este archivo se encuentra en /var/opt/CPshrd-R65/conf. 4 Cuando determine qué método de comunicación (método de autenticación del archivo) permite el método de comunicación de LEA con el servidor de registro, seleccione dicho método en la página Configuración avanzada como Método de comunicación. SIC Error for lea: Peer sent wrong DN: <expected dn> (Error SIC para lea: el componente envió un nombre distintivo incorrecto: <nombre distintivo esperado>) • Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de servidor mediante la introducción de la cadena que representa "<DN esperado>" en el mensaje de error. Una alternativa es localizar el nombre distintivo del servidor de registro de Check Point consultando el objeto network del servidor de registro de Check Point en la interfaz de usuario de SmartDashboard. El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC, basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo, supongamos que el nombre distintivo de la aplicación OPSEC es CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3. 6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA secundario administrado por el origen de datos principal configurado (véase Adición de un origen de datos secundario). El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola de informes principal es, de forma predeterminada, el origen de datos principal. Grupos de reglas de McAfee Esta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo. ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas 50201 Firewall 0 2 000 000–2 099 999 50202 Firewall personalizado 0 2 200 000–2 299 999 50203 Firmas personalizadas 0 5 000 000–5 999 999 50204 Interno 0 3 000 000–3 999 999 50205 Vulnerabilidad y exploit 2 N/D McAfee Enterprise Security Manager 9.6.0 Guía del producto 149 3 Configuración del ESM Configuración de dispositivos ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas 50206 Contenidos para adultos 5 N/D 50207 Chat 8 N/D 50208 Directiva 11 N/D 50209 Peer to Peer 14 N/D 50210 Multimedia 17 N/D 50211 Alfa 25 N/D 50212 Virus 28 N/D 50213 Aplicación de perímetro seguro 31 N/D 50214 Gateway 33 N/D 50215 Malware 35 N/D 50216 SCADA 40 N/D 50217 MCAFEESYSLOG 41 N/D Orígenes de activos de receptor Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. También permite manipular los activos de aprendizaje automático de un proveedor de evaluación de vulnerabilidades. La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si está disponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante la selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario de origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad para satisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptores pueden tener varios orígenes de activos. Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades y Descubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridad agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad, el que descubra el activo en último lugar tiene prioridad sobre el primero. Véase también Adición de un origen de activos en la página 150 Adición de un origen de activos A fin de recuperar datos de Active Directory, es necesario configurar un receptor. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de activos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos. Véase también Orígenes de activos de receptor en la página 150 150 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de Enterprise Log Manager (ELM) El ELM admite el almacenamiento, la administración y el acceso a los datos de registro, así como la generación de informes. Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto de varios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de almacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativas gubernamentales, del sector y de las empresas requieren que los registros se almacenen durante periodos de tiempo diferentes. Es posible configurar trabajos de búsqueda y comprobación de integridad en el ELM. Cada uno de estos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el trabajo. Posteriormente, se pueden ver los resultados y exportar la información. Para configurar un ELM, debe conocer lo siguiente: • Los orígenes que almacenan registros en el ELM • Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos • Los dispositivos de almacenamiento necesarios para almacenar los datos Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de almacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento necesarios que contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es: 1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento. A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el espacio necesario. 2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados. 3 Revise los registros del ELM durante un período corto de tiempo. 4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de almacenamiento de datos reales. McAfee Enterprise Security Manager 9.6.0 Guía del producto 151 3 Configuración del ESM Configuración de dispositivos Preparativos para almacenar datos en el ELM Existen varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacene datos. Paso Acción Descripción 1 Según los requisitos de instalación de ELM, defina el número de tiempos de retención distintos necesarios. Los tiempos habituales de retención de datos son: Definir los tiempos de retención de datos • SOX – 7 años • PCI – 1 año • GLBA – 6 años • Directiva de conservación de datos de la UE – 2 años • Basilea II – 7 años • HIPAA – 6 o 7 años • NERC – 3 años • FISMA – 3 años 152 2 Definir los orígenes El objetivo aquí es definir todos los orígenes de los registros almacenados de datos de en el ELM y calcular el promedio de tamaño en bytes de los registros y el registro promedio de registros generados por día en cada caso. Basta con que se trate de un cálculo estimativo. Puede que resulte más fácil estimar el promedio de tamaño en bytes de los registros y el promedio de registros generados al día por cada tipo de origen (como por ejemplo firewall, enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de orígenes de cada tipo. El siguiente paso requiere la asociación de cada origen con un tiempo de retención definido en el Paso 1, así que asegúrese de tener esto en cuenta a la hora de calcular los tipos de orígenes (por ejemplo, firewall SOX o DEM PCI). 3 Definir los grupos En función de los requisitos de instalación de ELM, asocie cada origen u de almacenamiento origen de registros con un tiempo de retención de datos y defina el conjunto de grupos de almacenamiento necesarios para la instalación de ELM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Paso Acción Descripción 4 Por cada grupo de almacenamiento, calcule los requisitos de almacenamiento mediante una de las ecuaciones siguientes. Estimar los requisitos de tamaño de los grupos de almacenamiento • Con orígenes individuales: ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días SUM() = La suma de todos los orígenes de datos PBOD = Promedio de bytes de origen de datos por registro PRODD = Promedio de registros de origen de datos por día • Con tipos de orígenes: ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días NOD = Número de orígenes de datos de un tipo SUM() = La suma de todos los tipos de orígenes de datos PBTOD = Promedio de bytes de tipo de origen de datos por registro PRTODD = Promedio de registros de tipo de origen de datos por día 5 Crear dispositivos Cree uno o varios dispositivos de almacenamiento ELM de forma que de almacenamiento sean suficientemente grandes como para almacenar los datos de cada inicial ARIGB (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). 6 Cree grupos de almacenamiento Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo de almacenamiento de ELM con el tiempo retención asociado del Paso 1, los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento asociados del Paso 5 (véase Adición de un grupo de almacenamiento). 7 Iniciar el registro de datos Configure los orígenes para que envíen sus registros al ELM, y deje que lo hagan durante uno o dos días. 8 Ajustar las estimaciones sobre requisitos de tamaño de los grupos de almacenamiento Por cada grupo de almacenamiento creado en el Paso 6, ajuste la estimación sobre los requisitos de almacenamiento mediante la ecuación siguiente: ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024) Donde: ARGB = Almacenamiento requerido en gigabytes TRDD = Tiempo de retención de datos en días PTBGAD = Valor de promedio de tasa de bytes del grupo de almacenamiento diario del informe estadístico correspondiente 9 Modificar o crear dispositivos de almacenamiento Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de almacenamiento ELM para que tengan capacidad de almacenar los datos de ARGB. 10 Modificar los grupos de almacenamiento Si fuera necesario, modifique cada uno de los grupos de almacenamiento creados en el Paso 6 mediante la adición de los dispositivos de almacenamiento creados en el Paso 9, o bien aumente la asignación de los dispositivos de almacenamiento existentes. McAfee Enterprise Security Manager 9.6.0 Guía del producto 153 3 Configuración del ESM Configuración de dispositivos Configuración del almacenamiento de ELM A fin de almacenar registros, el ELM debe tener acceso al menos a un dispositivo de almacenamiento. El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de datos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisito de almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vida de una instalación de ELM. Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema, véase Configuración de ELM. Terminología de almacenamiento de ELM Repase estos términos para trabajar con el almacenamiento de ELM: • Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede acceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado, otros cuentan con capacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos de ELM ofrecen capacidad de conexión NAS. • Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un dispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento NAS). • Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro. • Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican una cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el número máximo de días que se almacena un registro. • Origen de registro: cualquier origen de registros almacenados por ELM. Tipos de dispositivos de almacenamiento de ELM Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de dispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo. Tipo de dispositivo Detalles NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento que contiene la base de datos de administración de ELM, use la opción Migrar base de datos a fin de mover la base de datos a un dispositivo de almacenamiento distinto (véase Migración de la base de datos de ELM). Entonces, es posible cambiar de forma segura el campo de punto de montaje remoto y mover la base de datos de vuelta al dispositivo de almacenamiento actualizado. CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba posteriores a la 3.2 puede provocar la fuga de datos. • Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña. • Si emplea un equipo Windows 7 como recurso compartido CIFS, véase Desactivación del uso compartido de archivos en el Grupo Hogar. iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña. • El intento de conectar varios dispositivos a un IQN puede provocar la fuga de datos y otros problemas de configuración. 154 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tipo de dispositivo Detalles SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y hay volúmenes SAN disponibles. Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELM virtual. Es necesario aplicar formato al dispositivo antes de usarlo para el almacenamiento (véase Configuración de una unidad local virtual para almacenar datos). Desactivación del uso compartido de archivos en el Grupo Hogar Windows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona con otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7 como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos. 2 Haga clic en Cambiar configuración de uso compartido avanzado. 3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual. 4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública. 5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y haga clic con el botón derecho en ella. 6 Seleccione Propiedades y haga clic en la ficha Compartir. 7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta. 8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos. Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = se puede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá que modificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en el permiso. Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, es necesario definir sus parámetros. Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo. Un dispositivo no se puede eliminar si está almacenando datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla superior. McAfee Enterprise Security Manager 9.6.0 Guía del producto 155 3 Configuración del ESM Configuración de dispositivos 3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada. 4 Haga clic en Aceptar para guardar la configuración. El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles. Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos de almacenamiento. Véase también Página Agregar dispositivo de almacenamiento en la página 156 Página Elegir un dispositivo de almacenamiento en la página 157 Página Agregar dispositivo de almacenamiento Permite definir los parámetros de conexión de un dispositivo de almacenamiento utilizados en un grupo de almacenamiento para la retención de datos. Tabla 3-73 Definiciones de opciones Opción Definición Tipo de dispositivo Seleccione el tipo de dispositivo de almacenamiento. La migración de la base de datos de ELM requiere un mínimo de 506 GB de espacio libre en el disco. Véase Tipos de dispositivos de almacenamiento de ELM en Configuración del almacenamiento de ELM para obtener detalles sobre cada tipo. Nombre Introduzca un nombre para el dispositivo de almacenamiento. Tamaño máx. Seleccione la cantidad máxima de espacio de almacenamiento que desee asignar en el dispositivo. • Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio de almacenamiento se reserva para la administración del almacenamiento remoto. • Cuando se agrega un dispositivo de almacenamiento local virtual, el valor predeterminado de Tamaño máx. es la capacidad total de almacenamiento del dispositivo. Se reservan 6 GB del espacio de almacenamiento para la administración del almacenamiento virtual. No es posible ajustar este campo. Dirección IP, Punto de montaje remoto, Ruta remota Escriba esta información para el dispositivo NFS. Dirección IP, Nombre de recurso compartido remoto, Ruta, Nombre de usuario, Contraseña Escriba esta información para el dispositivo CIFS. Dispositivo iSCSI Seleccione el dispositivo agregado (véase Adición de un dispositivo iSCSI). IQN de iSCSI Seleccione el IQN. SAN Seleccione el volumen SAN que desee agregar (véase Aplicación de formato a un dispositivo de almacenamiento SAN para datos de ELM). Volumen local virtual Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo está disponible cuando el tipo de dispositivo es Local virtual. Véase también Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento en la página 155 156 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Página Elegir un dispositivo de almacenamiento Permite seleccionar los dispositivos de almacenamiento que se vincularán al grupo de almacenamiento. Tabla 3-74 Definiciones de opciones Opción Definición Dispositivos de almacenamiento de datos Seleccione el dispositivo que desee agregar. Si el dispositivo deseado no está en la lista, deberá agregarlo (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). Un dispositivo se puede asignar a más de un grupo de forma simultánea. Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenar datos. El 10 % del espacio de almacenamiento se emplea para la sobrecarga. Si selecciona 4 GB en el campo de espacio de almacenamiento, habrá realmente solo 3,6 de los 4 GB disponibles para almacenar datos. Dispositivo de almacenamiento de datos duplicado Si desea que los datos de este dispositivo de almacenamiento se dupliquen en otro dispositivo, seleccione el segundo dispositivo de almacenamiento (véase Adición de almacenamiento de datos de ELM duplicado). Véase también Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento en la página 155 Adición o edición de un grupo de almacenamiento Un grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo de retención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros de ELM y cuánto tiempo deben conservarse. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información solicitada. 3 Haga clic en Aceptar. Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre que este y los dispositivos que tiene asignados no estén almacenando datos. Véase también Página Grupos de almacenamiento en la página 158 Página Agregar grupo de almacenamiento en la página 158 McAfee Enterprise Security Manager 9.6.0 Guía del producto 157 3 Configuración del ESM Configuración de dispositivos Página Grupos de almacenamiento Permite administrar los dispositivos y los grupos de almacenamiento a fin de almacenar datos de ELM. Tabla 3-75 Definiciones de opciones Opción Definición Agregar dispositivo de almacenamiento Agregar un dispositivo de almacenamiento que utilizar con un grupo de almacenamiento para la retención de datos. Editar dispositivo de almacenamiento Cambiar la configuración de un dispositivo de almacenamiento existente. Eliminar dispositivo de almacenamiento Eliminar un dispositivo de almacenamiento del sistema. Agregar grupo de almacenamiento Agregar un grupo de almacenamiento a fin de albergar una cantidad máxima de datos durante un periodo de tiempo concreto. Editar grupo de almacenamiento Cambiar la configuración de un grupo de almacenamiento existente. Eliminar grupo de almacenamiento Eliminar un grupo de almacenamiento del sistema. Reconstruir Reparar grupos de almacenamiento duplicados que han perdido la conexión con uno de sus dispositivos de almacenamiento. Esta opción solo está disponible cuando existe un problema con un grupo de almacenamiento duplicado. Reducir tamaño Reducir la cantidad de espacio definido para cada asignación. Actualizar Actualizar la información de las tablas. Véase también Adición o edición de un grupo de almacenamiento en la página 157 Página Agregar grupo de almacenamiento Permite agregar un grupo de almacenamiento donde guardar los datos de registro de ELM. Tabla 3-76 Definiciones de opciones Opción Definición Nombre del grupo de almacenamiento Escriba un nombre para este grupo. Tiempo de retención de los datos Seleccione la cantidad de tiempo que desee almacenar los datos. Dispositivos de almacenamiento de Enumera los dispositivos vinculados a este grupo de almacenamiento. datos vinculados a este grupo de Para agregar dispositivos, haga clic en Agregar. almacenamiento Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFS o iSCSI) requieren configuraciones específicas para funcionar de forma fiable, como por ejemplo estar en el mismo conmutador y tener una latencia muy baja. Las especificaciones de red recomendadas son: • Latencia total (servidor más red) — 10 ms • Rendimiento total (servidor más red) — 20 Mb/s En la duplicación se da por hecho un 100 % de disponibilidad para el recurso compartido. Columna Activado Seleccione los dispositivos que desee activar para almacenar datos. Los dispositivos de almacenamiento duplicados se desactivan hasta que termina el proceso de duplicación. Las asignaciones de dispositivos de grupo de almacenamiento creadas en la versión 9.0.0 de ESM o versiones posteriores están limitadas a un terabyte por asignación. Si desea crear un grupo con más de un terabyte, deberá agregar varios dispositivos de un terabyte. 158 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Véase también Adición o edición de un grupo de almacenamiento en la página 157 Traslado de un grupo de almacenamiento Cabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro. Antes de empezar Configure el dispositivo de almacenamiento al que desee mover el grupo de almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo (véase Adición de almacenamiento de datos de ELM duplicado). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de almacenamiento y haga clic en el icono Propiedades . 2 Haga clic en Grupos de almacenamiento. 3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el grupo que se va a mover. 4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el dispositivo que duplique el grupo de almacenamiento que desea mover. Se convertirá entonces en el dispositivo de almacenamiento de datos principal. 5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la lista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar. Reducción del tamaño de asignación de almacenamiento Si un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos de almacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación. Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos de almacenamiento. Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño. 3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 159 3 Configuración del ESM Configuración de dispositivos Duplicación del almacenamiento de datos de ELM Es posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datos recopilados en el dispositivo principal. Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridad sigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar, se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datos según van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posible reasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y, después, designar un dispositivo distinto para la duplicación. Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado dispositivo ELM en el árbol de navegación del sistema. junto al Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de almacenamiento. La pérdida de conexión puede deberse a lo siguiente: • El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado. • El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento. • Se ha eliminado accidentalmente un archivo de asignación. Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento muestran un icono de advertencia la función Reconstruir para repararlo. en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizar Adición de almacenamiento de datos de ELM duplicado Cualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con el espacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo de almacenamiento ELM. Antes de empezar Agregue los dos dispositivos que desee usar para duplicar los datos al ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla inferior. 3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación. Un dispositivo se puede asignar a más de un grupo de forma simultánea. 4 Haga clic dos veces en Aceptar. Reconstrucción de un grupo de almacenamiento duplicado Si un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento, puede emplear la función Reconstruir para repararlo. 160 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia. Un cuadro de información sobre herramientas le indicará que la asignación de ELM se está reconstruyendo o que el dispositivo duplicado se debe reconstruir. 3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir. Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta. Desactivación de un dispositivo de duplicación Si desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegir otro dispositivo para sustituirlo o seleccionar Ninguno. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de almacenamiento y haga clic en el icono Propiedades . 2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de almacenamiento y haga clic en Editar. 3 Siga uno de estos procedimientos: 4 • Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno. • Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para que actúe como dispositivo de almacenamiento de datos. Haga clic en Aceptar para guardar los cambios. Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo de almacenamiento. Configuración del almacenamiento de datos externo Existen cuatro tipos de almacenamiento externo que se pueden configurar para almacenar datos de ELM: iSCSI, SAN, DAS y dispositivo virtual local. Cuando conecte estos tipos de almacenamiento externo al ELM, podrá configurarlos para almacenar los datos del ELM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 161 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichas correspondientes. 2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios. 3 Haga clic en Aplicar o en Aceptar. Adición de un dispositivo iSCSI Si desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar las conexiones con el dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 En la ficha iSCSI, haga clic en Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI como a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar. Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para el almacenamiento de ELM. 4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en Formato. 5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado. 6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en Descubrir. Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos. Véase también Ficha iSCSI en la página 163 Página Configuración iSCSI en la página 163 162 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Ficha iSCSI Permite conectar un dispositivo de almacenamiento iSCSI al ESM para poder almacenar datos del ELM. Tabla 3-77 Definiciones de opciones Opción Definición Agregar Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI. Eliminar Eliminar la conexión iSCSI seleccionada. Descubrir Descubrir o volver a descubrir los IQN para el iSCSI seleccionado. Comprobar estado Comprobar el estado del IQN mientras se le aplica formato. Formato Aplicar formato al IQN seleccionado antes de usarlo para el almacenamiento de ELM. Véase también Adición de un dispositivo iSCSI en la página 162 Página Configuración iSCSI Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI. Tabla 3-78 Definiciones de opciones Opción Definición Nombre Escriba el nombre del dispositivo iSCSI. Dirección IP Escriba la dirección IP del dispositivo iSCSI. Puerto Seleccione el puerto del dispositivo iSCSI. Véase también Adición de un dispositivo iSCSI en la página 162 Configuración del almacenamiento de datos de ESM en la página 279 Aplicación de formato a un dispositivo de almacenamiento para datos de ELM Si tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM. Antes de empezar Instale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic 2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el Soporte de McAfee). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados. • Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles en la página Agregar dispositivo de almacenamiento. • Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista de volúmenes disponibles. • Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes se pueden usar para almacenar datos de ELM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 163 3 Configuración del ESM Configuración de dispositivos 3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y, después, en Formato. Al formatear un volumen, se eliminan todos los datos almacenados. 4 Para comprobar si el formato está completo, haga clic en Actualizar. Si ha finalizado la aplicación de formato, el estado cambia a Preparado. 5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen. Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM. Asignación de un dispositivo DAS para almacenar datos Es posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM. Antes de empezar Configure dispositivos DAS. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga clic en el icono Propiedades . En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic en el icono Propiedades. 2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS. La tabla DAS incluye los dispositivos disponibles para el almacenamiento. 3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de ELM o ESM. 4 Haga clic en Asignar y, después, en Sí en la página de advertencia. Una vez asignado un dispositivo, no se puede cambiar. El ELM se reiniciará. Configuración de una unidad local virtual para almacenar datos En primer lugar, es necesario detectar un dispositivo de almacenamiento virtual en el ELM virtual y aplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos de almacenamiento. Antes de empezar Agregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entorno virtual. Para agregar el almacenamiento, véase la documentación correspondiente al entorno de máquina virtual. Entornos virtuales compatibles 164 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • VMware • KVM • Amazon Web Services Formatos de unidad compatibles • SCSI • SATA IDE no se admite. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades y, después, haga clic en Almacenamiento de datos. Aparecerá un icono de carga mientras el sistema devuelve todos los dispositivos de almacenamiento disponibles. Si el sistema cuenta con un ESM redundante, los dispositivos se devolverán en la ficha Redundante. Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables. 2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales disponibles. La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual. 3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos ext4 al dispositivo. El estado cambiará a Preparado. Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos de almacenamiento. Redundancia de ELM Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo principal de su sistema. Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM (véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de almacenamiento con una cantidad de espacio combinado que coincida con el espacio de almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la página Propiedades de ELM | Redundancia de ELM. Cambio Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las acciones de configuración se bloquean durante el proceso de cambio. McAfee Enterprise Security Manager 9.6.0 Guía del producto 165 3 Configuración del ESM Configuración de dispositivos Nueva puesta en servicio Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione de nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el proceso de redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero se devuelve un estado de error que indica que uno o varios grupos no están configurados. Deberá corregir esos grupos manualmente. Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a aplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELM en espera y la redundancia continúa como hasta el momento. Suspensión Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el proceso para volver a ponerlo en servicio. Desactivación de la redundancia en el ELM Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia de los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al activar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuración guardados. Visualización del estado Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo; para ello, seleccione la opción Estado. Véase también Configuración de la redundancia de ELM en la página 166 Configuración de la redundancia de ELM Si dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el registro mediante la adición de un ELM en espera. Antes de empezar Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de fábrica. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades . 2 166 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos 3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar. 4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté seleccionada la ficha Activo. 5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). 6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo. 7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo de almacenamiento). La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Véase también Redundancia de ELM en la página 165 Página Redundancia de ELM en la página 167 Página Redundancia de ELM Permite activar y administrar la redundancia de ELM. Tabla 3-79 Definiciones de las opciones Opción Definición Solo está disponible cuando la redundancia de ELM no está activada. Activar Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a fin de activar la redundancia de ELM. Solo está disponible cuando la redundancia de ELM está activada. Quitar Permite desactivar la redundancia en el ELM. Cambiar ELM Permite intercambiar los ELM de manera que el ELM en espera se convierta en el ELM principal. El sistema asociará todos los dispositivos de registro con él. El registro y las acciones de configuración se bloquean durante el proceso de cambio. Suspender Permite suspender la comunicación con el ELM en espera si este está experimentando problemas. Todas las interrupciones de comunicación y notificaciones de errores relativas a la redundancia se enmascaran. Cuando vuelva a hacer funcionar el ELM en espera, haga clic en Volver a poner en servicio. Estado Permite ver detalles sobre el estado de la sincronización de los datos entre el ELM en espera y el activo. Volver a poner en servicio Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si el sistema vuelve a hacer funcionar el ELM y no detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta el momento. En caso de que el sistema detecte diferencias, el proceso de redundancia continúa para los grupos de almacenamiento que no tengan problemas y se le informa de que la configuración de uno o varios grupos no es correcta. Corrija tales grupos manualmente. Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y le solicita que vuelva a regenerarlo. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELM en espera y el proceso de redundancia continúa como hasta el momento. Véase también Configuración de la redundancia de ELM en la página 166 McAfee Enterprise Security Manager 9.6.0 Guía del producto 167 3 Configuración del ESM Configuración de dispositivos Administración de la compresión de ELM Comprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros por segundo. Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada nivel. Nivel Tasa de compresión Porcentaje de compresión máximo Porcentaje de máximo de registros procesados por segundo Baja 14:1 72 % 100 % Media 17:1 87 % 75 % Alta 20:1 100 % 50 % Las tasas de compresión reales variarán en función del contenido de los registros. • Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se procesan por segundo, elija la compresión alta. • Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el disco, elija la compresión baja. Véase también Establecimiento de la compresión de ELM en la página 168 Establecimiento de la compresión de ELM Seleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM | Compresión. 2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar. Se le notificará cuando se actualice el nivel. Véase también Administración de la compresión de ELM en la página 168 Página Compresión de ELM en la página 168 Página Compresión de ELM Permite seleccionar el nivel de compresión que se aplicará a los datos procesados por este ELM. Tabla 3-80 Definiciones de opciones Opción Definición Nivel de compresión de ELM Seleccione Baja, Media o Alta. Véase Establecimiento de la compresión de ELM para obtener detalles sobre cada una de estas opciones de configuración. Véase también Establecimiento de la compresión de ELM en la página 168 Creación de copias de seguridad y restauración de ELM Si se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad de la configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración, 168 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se incluyen en la copia de seguridad. Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de copias de seguridad de los datos de registro en tiempo real. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y restauración. 3 Siga uno de estos procedimientos: Para... Haga esto... Crear copia de seguridad de ELM ahora Proporcione la información solicitada y haga clic en Hacer una copia de seguridad ahora. Crear copia de seguridad de la configuración de ELM automáticamente Seleccione la frecuencia y proporcione la información necesaria. Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datos de ELM se restaurará a la configuración de una copia de seguridad anterior. Procedimientos • Restauración de los datos de registro y la base de datos de administración de ELM en la página 170 Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse. Véase también Página Copia de seguridad y restauración en la página 169 Página Copia de seguridad y restauración Permite crear una copia de seguridad de la configuración actual de un dispositivo ELM para poder restaurarla en caso de que falle el sistema o se produzca una fuga de datos. Tabla 3-81 Definiciones de opciones Opción Definición Frecuencia de copia de seguridad Si desea crear una copia de seguridad de la configuración automáticamente, seleccione esta opción y defina la frecuencia. Ubicación de copia de seguridad Seleccione el tipo de recurso compartido e introduzca la información sobre la ubicación remota donde se almacene la información. Conectar Permite probar la conexión. Hacer una copia de seguridad ahora Permite crear una copia de seguridad inmediatamente. Restaurar copia de seguridad Permite restaurar la base de datos de ELM a la configuración de una copia de seguridad anterior. El almacenamiento de datos de ELM no se restaura. Restaurar ELM Permite restaurar la base de datos de administración y el almacenamiento de datos de ELM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 169 3 Configuración del ESM Configuración de dispositivos Véase también Creación de copias de seguridad y restauración de ELM en la página 168 Restauración de los datos de registro y la base de datos de administración de ELM Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse. Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el Asistente de adición de dispositivos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM que se va a reemplazar. Una página de advertencia le informará de que el sistema no puede localizar el ELM. 2 Cierre la página de advertencia y haga clic en Conexión. 3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo. Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta. 4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente. 5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM. 6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM de la página Propiedades | Configuración de cada dispositivo. La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en el nuevo ELM. Este proceso puede durar varias horas. Definición de una ubicación de almacenamiento alternativa A fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajena al ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionar un segundo dispositivo para duplicar lo que se almacene. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM | Migrar base de datos. 2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación. 3 Haga clic en Aceptar. Véase también Migración de la base de datos de ELM en la página 171 Sustitución de una base de datos de administración de ELM duplicada en la página 172 Página Seleccionar ubicación de base de datos en la página 171 170 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Seleccionar ubicación de base de datos Permite definir una ubicación alternativa para almacenar registros de la base de datos de administración de ELM, así como una ubicación para las copias de seguridad. Tabla 3-82 Definiciones de opciones Opción Definición Gigabytes de espacio Establezca la cantidad de espacio que se debe asignar a la base de datos de administración. Dispositivos de almacenamiento de datos Seleccione la ubicación para almacenar la base de datos de administración. Si necesita agregar un dispositivo a la lista o editar un dispositivo que aparece en la lista, véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento. Dispositivo de almacenamiento de datos duplicado Seleccione una segunda ubicación de almacenamiento para duplicar el dispositivo de almacenamiento de datos. Si amplía el sistema desde una versión anterior a la 9.0, la primera vez que seleccione la duplicación de cualquiera de los dispositivos existentes el proceso tardará bastante tiempo. Véase también Definición de una ubicación de almacenamiento alternativa en la página 170 Visualización del uso de almacenamiento de ELM La visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre la asignación de espacio en el dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de ELM. 2 Haga clic en Ver uso. Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los grupos y el dispositivo de almacenamiento de ELM. 3 Haga clic en Aceptar. Migración de la base de datos de ELM La base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM. La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos de administración depende del modelo. Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco para almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para el almacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficiente en el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrar base de datos en la página Propiedades de ELM para establecer esa ubicación. McAfee Enterprise Security Manager 9.6.0 Guía del producto 171 3 Configuración del ESM Configuración de dispositivos Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias horas hasta que finaliza la migración, en función del número de registros que contenga. Se recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez. Véase también Definición de una ubicación de almacenamiento alternativa en la página 170 Sustitución de una base de datos de administración de ELM duplicada en la página 172 Sustitución de una base de datos de administración de ELM duplicada Si el dispositivo de almacenamiento de la base de datos de administración duplicada tiene un problema, podría ser necesario sustituirlo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de almacenamiento de la base de datos de administración que tiene el problema y haga clic en el icono Propiedades . 2 Haga clic en Configuración de ELM y seleccione Migrar base de datos. 3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista desplegable Dispositivo de almacenamiento de datos duplicado. 4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bien seleccione Ninguno para detener la duplicación. Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de almacenamiento. Véase también Migración de la base de datos de ELM en la página 171 Definición de una ubicación de almacenamiento alternativa en la página 170 Recuperación de datos de ELM Para recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridad en la página Datos. Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alterados desde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada de archivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestran qué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sido correcta. El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridad simultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puede realizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo la nueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar los trabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevar a cabo su búsqueda. Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de comprobar el estado, que aparece en la tabla Resultados de la búsqueda. 172 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Véase también Creación de un trabajo de búsqueda en la página 173 Creación de un trabajo de comprobación de integridad en la página 173 Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 175 Utilización de expresiones regulares para realizar consultas en el ELM en la página 176 Creación de un trabajo de búsqueda Para buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo de búsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en el menor tiempo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar. Véase también Recuperación de datos de ELM en la página 172 Creación de un trabajo de comprobación de integridad en la página 173 Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 175 Utilización de expresiones regulares para realizar consultas en el ELM en la página 176 Creación de un trabajo de comprobación de integridad Es posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente a través de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de los campos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menor tiempo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar. Véase también Recuperación de datos de ELM en la página 172 Creación de un trabajo de búsqueda en la página 173 Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 175 Utilización de expresiones regulares para realizar consultas en el ELM en la página 176 Ficha Comprobación de integridad en la página 174 McAfee Enterprise Security Manager 9.6.0 Guía del producto 173 3 Configuración del ESM Configuración de dispositivos Ficha Comprobación de integridad Permite definir los parámetros para comprobar si se han alterado los archivos desde que se almacenaron originalmente. Tabla 3-83 Definiciones de opciones Opción Definición Registros, Archivos Indique si desea comprobar los registros de ELM, los archivos de ELM o ambos. Espacio de tiempo Indique el espacio de tiempo de los datos que se deben comprobar. Dispositivo Haga clic en el icono de filtrado comprobarán. y seleccione los dispositivos que se Tipo de dispositivo Haga clic en el icono de filtrado se comprobarán. y seleccione los tipos de dispositivos que Nombre de archivo Si desea que se compruebe un archivo concreto, escriba su nombre. En el nombre de archivo se Si desea que no se distinga entre mayúsculas y minúsculas en el nombre de distingue entre mayúsculas archivo, seleccione esta opción. y minúsculas Limitar tiempo de búsqueda Para limitar el tiempo que se dedica a la búsqueda, seleccione el número de horas. Si selecciona cero, no existirá límite de tiempo. Tamaño máx. del archivo de A fin de limitar el tamaño del archivo de resultados, seleccione el número resultados máximo de MB. Campo abierto Escriba un nombre descriptivo para el trabajo. Buscar Haga clic aquí para iniciar el trabajo. Resultados de la búsqueda Ver la lista de los trabajos completados. El estado de cada trabajo se indicará en la columna Estado. • En espera: el trabajo aún no ha empezado a procesarse. El sistema solo puede procesar diez trabajos a la vez, y los procesa en el orden de recepción. • En ejecución: el trabajo está en curso. • Completo: el trabajo ha finalizado. Puede ver los resultados o descargar la exportación. • Límite alcanzado: se ha alcanzado el límite de tiempo o tamaño. Es posible ver los resultados, pero no están completos. Ver Ver los resultados del trabajo seleccionado. Exportar Exportar los resultados del trabajo seleccionado. Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM. Eliminar Marcar el trabajo seleccionado para su eliminación. Volver a cargar búsqueda Llevar a cabo el trabajo seleccionado de nuevo. Véase también Creación de un trabajo de comprobación de integridad en la página 173 174 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Visualización de los resultados de una búsqueda o una comprobación de integridad Cuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los resultados. Antes de empezar Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad. 3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver. Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM. Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM. Véase también Recuperación de datos de ELM en la página 172 Creación de un trabajo de búsqueda en la página 173 Creación de un trabajo de comprobación de integridad en la página 173 Utilización de expresiones regulares para realizar consultas en el ELM en la página 176 Página Resultados de búsqueda de ELM en la página 175 Página Resultados de búsqueda de ELM Permite ver y administrar los resultados de una búsqueda de ELM. Tabla 3-84 Definiciones de opciones Opción Definición Parámetros Ver los parámetros utilizados para generar los resultados de la página. Exportar Exportar un resumen de los datos. Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM. Descargar archivo Para guardar los datos de archivos específicos, resalte los archivos en la tabla y haga clic en esta opción. Valor Ver el valor del elemento seleccionado en la lista. Véase también Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 175 McAfee Enterprise Security Manager 9.6.0 Guía del producto 175 3 Configuración del ESM Configuración de dispositivos Utilización de expresiones regulares para realizar consultas en el ELM El ELM utiliza índices de Bloom para optimizar las consultas. Aunque pueden utilizarse la mayoría de expresiones regulares compatibles con PERL (PCRE) para las búsquedas del ELM, no todas las PCRE pueden optimizarse para el uso de Bloom. Aunque el optimizador de expresiones regulares de Bloom realiza un ajuste previo para ofrecer búsquedas óptimas, es posible obtener un rendimiento aún mejor de las consultas si se tienen en cuenta algunas cosas. • Solo pueden utilizarse las partes obligatorias de la expresión regular para el filtrado de Bloom. El filtro de Bloom solo emplea las subcadenas de la expresión regular que existen en todas las cadenas coincidentes. La única excepción es que se puede utilizar una agrupación de OR de un nivel de profundidad como (seth|matt|scott|steve). • No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatro caracteres. Por ejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson solo emplea wilson porque tom es demasiado corto. • Las agrupaciones de OR que contienen subcadenas no constantes o una subcadena demasiado corta no se pueden utilizar. Por ejemplo, no se puede utilizar (start|\w\d+|ending) porque el elemento central de la lista de OR no es una constante que se pueda buscar en Bloom. Otro ejemplo sería (seth|tom|steve), que no se puede utilizar porque tom es demasiado corto; sin embargo, se podría utilizar (seth|matt|steve). El proceso del optimizador de base de datos ejecuta la consulta de expresión regular para Bloom. Este optimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias. A modo de ejemplo, la expresión regular original es: \|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\| La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto de búsqueda de más de un millón de archivos a tan solo 20 000. La expresión regular se puede optimizar aún más de la forma siguiente: (\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\| En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás de cada elemento del grupo, lo cual tiene dos consecuencias: • Permite la inclusión de los caracteres de barra vertical. • Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres, contengan más de cuatro, lo que implica que pueden utilizarse. Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicaban al filtro de Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustes manuales en la expresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegar a unos 2000 archivos solamente. Véase también Recuperación de datos de ELM en la página 172 Creación de un trabajo de búsqueda en la página 173 Creación de un trabajo de comprobación de integridad en la página 173 Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 175 176 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de Advanced Correlation Engine (ACE) McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real mediante la lógica basada tanto en reglas como en el riesgo. Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores específicos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las reproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense. El ACE se puede configurar con los modos en tiempo real o histórico. • Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección inmediata de riesgos y amenazas. • Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado, permitiendo así la detección de amenazas subzero-day. Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM, ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. • Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja en función de la actividad en tiempo real. Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis e investigaciones sobre la situación de las amenazas a lo largo del tiempo. • Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos tradicional basada en reglas para analizar la información recopilada en tiempo real. El ACE correlaciona todos los registros, eventos y flujos de red junto con información contextual como identidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza mayor. Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACE complementa esta capacidad y proporciona un recurso de procesamiento dedicado para correlacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes de correlación existentes o para sustituirlos por completo. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. Selección del tipo de datos para el ACE ESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar al ACE. La opción predeterminada es enviar solo datos de eventos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 177 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE. 2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos. 3 Haga clic en Aceptar. Adición de un administrador de correlación Para utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación de reglas o riesgos. Antes de empezar Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de ESM). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE. 2 Haga clic en Administración de correlación y, después, en Agregar. 3 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar. Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tipos de administradores. 4 Introduzca la información solicitada y, a continuación, haga clic en Finalizar. Adición de un administrador de correlación de riesgos Es necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para los campos designados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas. 3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo. Véase también Página Administración de correlación en la página 179 Asistente Agregar administrador de correlación en la página 179 178 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Administración de correlación Permite administrar los administradores de correlación, los cuales contribuyen a calcular los niveles de riesgo. Tabla 3-85 Definiciones de opciones Opción Definición Tabla Ver los administradores de correlación existentes en el ACE. Agregar Agregar un nuevo administrador de correlación. Editar Editar el administrador de correlación seleccionado. Quitar Eliminar el administrador seleccionado. Activado Activar el administrador seleccionado. Número máximo de combinaciones de campo Seleccione el número máximo de combinaciones de campos que puede tener un administrador. Este límite contribuye a mejorar el tiempo de procesamiento en el sistema. Se trata de un número de cuatro cifras. Escribir Escribir los administradores de correlación en el dispositivo. Véase también Adición de un administrador de correlación de riesgos en la página 178 Asistente Agregar administrador de correlación Agregue un administrador de correlación para facilitar el cálculo de los niveles de riesgo. Tabla 3-86 Definiciones de opciones Ficha Opción Principal Nombre Definición Escriba un nombre para el administrador. Activar Anule la selección de esta opción si desea desactivar el administrador. Usar datos de eventos, Usar datos de flujos Seleccione una opción o ambas para indicar el tipo de datos que desee usar. Registro, Grupos de almacenamiento Seleccione Registro para guardar los registros en el ELM. Seleccione el grupo de almacenamiento del ELM donde quiera que se guarden los registros. Si no ha seleccionado un ELM para almacenar los datos, véase Establecimiento del grupo de registro predeterminado. Campos Zona Si desea que los datos se asignen a una zona, selecciónela en la lista desplegable (véase Administración de zonas). Tolerancia de orden de tiempo (Solo Correlación de reglas) Seleccione la cantidad de tiempo que los eventos pueden estar fuera de lugar según la correlación de reglas. Por ejemplo, si el valor es 60 minutos, se utilizará un evento con 59 minutos de retraso. Campo Seleccione los campos que debe usar este administrador para correlacionar los eventos (máximo de cinco por administrador). Porcentaje Seleccione el porcentaje que desee para cada campo. El total debe sumar una calificación global del 100 %. Las actualizaciones de riesgo, cuando se encuentran por debajo del 100 % del nivel crítico, informan de su criticidad según lo que se haya definido como Información, Leve, Advertencia, Grave y Crítico (véase la ficha Umbrales). Por ejemplo, si su idea de Información corresponde al 50 % del valor crítico cuando el riesgo está al 50 % de criticidad, la gravedad será en realidad 20 en lugar de 50. McAfee Enterprise Security Manager 9.6.0 Guía del producto 179 3 Configuración del ESM Configuración de dispositivos Tabla 3-86 Definiciones de opciones (continuación) Ficha Opción Definición Correlacionar Seleccione esta opción si no desea que se use un campo para determinar la exclusividad. Debido a la memoria necesaria, no se recomienda la correlación con respecto a varios campos de cardinalidad alta. El número de líneas de riesgo generadas dependerá del número de combinaciones exclusivas de todos los campos correlacionados. Umbrales Sección superior Filtros Permite establecer los umbrales de calificación para activar un evento por cada nivel de criticidad. Sección inferior Permite establecer la tasa de reducción de la calificación. La configuración predeterminada establece que, por cada 120 segundos que una calificación esté en un contenedor, se reducirá en un 10 % hasta que alcance una calificación de 5. Entonces, se elimina el contenedor de los valores de campos exclusivos. AND lógico, OR lógico Permiten configurar la estructura para los filtros mediante elementos lógicos (véase Elementos lógicos). Componente de filtrado de campos Arrastre y suelte el icono Coincidir componente en un elemento lógico y, después, rellene la página Agregar campo de filtro. Para editar las condiciones de un componente una vez agregado a un correspondiente al elemento lógico, haga clic en el icono Menú componente y seleccione Editar. Esto le permitirá realizar cambios en la configuración. Véase también Adición de un administrador de correlación de riesgos en la página 178 Adición de una calificación de correlación de riesgos Es necesario agregar sentencias condicionales que asignen una calificación a un campo de destino. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Véase también Página Calificación de correlación de riesgos en la página 181 Asistente de calificación de correlación de riesgos en la página 181 180 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Calificación de correlación de riesgos La calificación de correlación de riesgos permite agregar sentencias condicionales de calificación. Estas se basan en un campo de riesgo, el cual contiene un valor que genera una calificación definida para un campo de riesgo de destino. Tabla 3-87 Definiciones de opciones Opción Definición Tabla Ver las calificaciones de correlación de riesgos existentes. Agregar Permite agregar una calificación de correlación de riesgos. Editar Cambiar la configuración de la calificación seleccionada. Quitar Eliminar la calificación seleccionada. Activado Seleccione esta opción si desea activar la calificación de correlación de riesgos para la sentencia condicional seleccionada. La configuración se refleja en la columna Activado de la tabla. Escribir Escribir la nueva configuración en el dispositivo. Véase también Adición de una calificación de correlación de riesgos en la página 180 Asistente de calificación de correlación de riesgos Permite agregar una sentencia condicional que asigna una calificación. Tabla 3-88 Definiciones de opciones Opción Definición Calificación activada Seleccione esta opción si desea activar la sentencia condicional. Tipo de datos Seleccione el tipo de datos que desee que resulte visible para la sentencia condicional. Puede seleccionar Evento, Flujo o ambos tipos. Campo de calificación Busque el campo que recibirá la calificación deseada. Campo de búsqueda Busque el campo con el que hacer coincidir el tipo de origen. Tipo de origen Seleccione el tipo de origen que utilizar para la comparación. Si el tipo de origen seleccionado contiene un valor de calificación además del valor de coincidencia, se aplicará esa calificación; también es posible asignar una calificación introducida manualmente si se marca la casilla de verificación de la columna Usar calificación. Valor Escriba o seleccione el valor de comparación. Las opciones disponibles en esta columna varían en función del tipo de origen seleccionado en la columna anterior. Usar calificación Seleccione la casilla de verificación para utilizar una calificación introducida manualmente. Calificación La calificación que se asignará al Campo de calificación seleccionado. Existe la posibilidad de aplicar una calificación fusionada al campo de calificación cuando se introducen varias reglas en la cuadrícula. Ponderación Ponderación asignada a la fila o el tipo de origen para una calificación fusionada de la sentencia condicional. No puede superar el 100 %. Botón Agregar fila Permite agregar una nueva fila condicional a la sentencia condicional general. Ponderación total Total de cada una de las filas o tipos de origen bajo la columna de ponderación. Intervalo de calificación de riesgo actual para El intervalo de calificación que se puede asignar al campo seleccionado como campo de calificación en función del resultado de las filas condicionales. Véase también Adición de una calificación de correlación de riesgos en la página 180 McAfee Enterprise Security Manager 9.6.0 Guía del producto 181 3 Configuración del ESM Configuración de dispositivos Utilización de la correlación histórica La opción de correlación histórica permite correlacionar los eventos pasados. Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registros históricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de red fácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas de Correlación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual es posible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puede resultar útil en las siguientes situaciones: • No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuenta de que la correlación podría haber revelado información valiosa. • Está configurando una nueva correlación en función de los eventos activados en el pasado y desea probarla para confirmar que ofrece los resultados esperados. Tenga en cuenta lo siguiente cuando utilice la correlación histórica: • La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. • La distribución de riesgo se verá distorsionada por la agregación de eventos. • Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, es necesario ajustar los umbrales. Para configurar y ejecutar la correlación histórica es necesario: 1 Agregar un filtro de correlación histórica. 2 Ejecutar una correlación histórica. 3 Descargar y ver los eventos históricos correlacionados. Véase también Adición y ejecución de una correlación histórica en la página 182 Descarga y visualización de los eventos de correlación histórica en la página 183 Adición y ejecución de una correlación histórica A fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y, después, ejecutar la correlación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica. 2 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. 3 Seleccione Activar correlación histórica y haga clic en Aplicar. La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. 4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora. El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables. Véase también Utilización de la correlación histórica en la página 182 Página Correlación histórica en la página 183 Página Filtro de correlación histórica en la página 183 182 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Página Correlación histórica Configure un filtro para poder correlacionar eventos pasados. Tabla 3-89 Definiciones de opciones Opción Definición Activar correlación histórica Seleccione esta opción si desea que la correlación histórica esté activada en el ACE. La correlación en tiempo real deja de funcionar cuando se activa la correlación histórica. Tabla Ver los filtros que hay actualmente en el ACE. Agregar Agregar un filtro para recuperar datos de eventos de correlación histórica. Editar Cambiar la configuración de filtrado para el filtro seleccionado. Quitar Eliminar un filtro. Ejecutar ahora Ejecutar los filtros seleccionados en ese momento. El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables. Véase también Adición y ejecución de una correlación histórica en la página 182 Página Filtro de correlación histórica La adición de un filtro de correlación histórica permite correlacionar los eventos pasados. Tabla 3-90 Definiciones de opciones Opción Definición Nombre Escriba un nombre para este filtro. Espacio de tiempo Seleccione el espacio de tiempo para correlacionar los eventos históricos. Resto de campos Seleccione o escriba los valores por los que desee filtrar. Aparecerá una sugerencia sobre el campo en el que haga clic en la parte inferior de la página. Véase también Adición y ejecución de una correlación histórica en la página 182 Descarga y visualización de los eventos de correlación histórica Una vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros | Obtener eventos. Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM. 2 Cierre la ventana Propiedades de ACE. 3 Para ver los datos: a En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba de ejecutar los datos históricos. b En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas, seleccione el periodo especificado al configurar la ejecución. McAfee Enterprise Security Manager 9.6.0 Guía del producto 183 3 Configuración del ESM Configuración de dispositivos Los resultados de la consulta aparecerán en el panel de visualización. Véase también Utilización de la correlación histórica en la página 182 Configuración de Application Data Monitor (ADM) McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en la red mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido de las aplicaciones. Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su uso en la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoría de conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que se enmascaran como aplicaciones legítimas. ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a fin de conservar una traza de auditoría. ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación. • Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente) • Correo electrónico: SMTP, POP3, NNTP, MAPI • Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC • Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail • P2P: Gnutella, bitTorrent • Shell: SSH (solo detección), Telnet ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete de la tabla de consultas. ADM puede generar los siguientes tipos de eventos. 184 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos. • Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en los módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o para contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no válido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla de eventos. • Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla que detectan anomalías en los metadatos generados por el motor de Internet Communications Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos. La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes, donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento. La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la tabla de eventos. La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de contenido o el protocolo completo. Configuración de la zona horaria de ADM El dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que el dispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean el activador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera. El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a la hora de evaluar las reglas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. 2 Haga clic en Zona horaria y seleccione su zona horaria. 3 Haga clic en Aceptar. Véase también Página Configurar zona horaria de ADM en la página 186 McAfee Enterprise Security Manager 9.6.0 Guía del producto 185 3 Configuración del ESM Configuración de dispositivos Página Configurar zona horaria de ADM Permite configurar la zona horaria para los eventos que registre este ADM. Véase también Configuración de la zona horaria de ADM en la página 185 Visualización de contraseñas en el Visor de sesión El Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Las reglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada, no se muestran. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. La opción Contraseñas indica que el registro está Desactivado. 2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar. El sistema ejecutará el comando y le avisará cuando haya terminado. La opción Contraseñas indica ahora que el registro está Activado. Diccionarios de Application Data Monitor (ADM) Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las claves capturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que emplean de forma predeterminada el valor booleano verdadero cuando están presentes. Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tener que escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin de seleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario con palabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente para comprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario: protocol == email && naughtyWords[objcontent] Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el diccionario al que debe hacer referencia la regla. Los diccionarios admiten millones de entradas. La adición de un diccionario a una regla implica los pasos siguientes: 1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores. 2 Administrar el diccionario en el ESM. 3 Asignar el diccionario a una regla. Véase también Configuración de un diccionario de ADM en la página 187 Administración de diccionarios de ADM en la página 190 Cómo hacer referencia a un diccionario de ADM en la página 192 Ejemplos de diccionarios de ADM en la página 189 186 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Configuración de un diccionario de ADM Un diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay diccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una clave como un valor. Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores son booleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se utiliza el valor booleano verdadero si no se indica otro. Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM: cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las siguientes directrices de formato: Tipo Reglas de sintaxis Ejemplos Contenido de coincidencia Cadena • Las cadenas se deben delimitar entre comillas dobles “Contenido malo” Contenido malo “Dijo: \“Contenido malo\”” Dijo: “Contenido malo” /[Aa]pple/ Apple o apple /apple/i Apple o apple • Las comillas dobles incluidas en una cadena deben ir acompañadas de barras diagonales invertidas a modo de caracteres de escape antes de cada comilla Expresión regular • Las expresiones regulares se delimitan mediante barras diagonales simples / [0-9]{1,3}\.[0-9]{1,3}\. • Las barras diagonales y los [0-9]\.[0-9]/ caracteres de expresión /1\/2 de todo/ regular reservados incluidos en la expresión regular se deben acompañar de barras diagonales invertidas como caracteres de escape Números Direcciones IP: 1.1.1.1 127.0.0.1 1/2 de todo • Valores decimales (0-9) Valor decimal 123 • Valores hexadecimales (0x0-9a-f) Valor hexadecimal 0x12ab Valor octal 0127 • Valores octales (0-7) McAfee Enterprise Security Manager 9.6.0 Guía del producto 187 3 Configuración del ESM Configuración de dispositivos Tipo Reglas de sintaxis Booleanos • Pueden ser verdaderos o falsos Literales booleanos verdadero • Todo en minúscula falso 192.168.1.1 • Se puede escribir en el formato estándar de cuatro 192.168.1.0/24 números separados por puntos 192.168.1.0/255.255.255.0 • Se puede escribir en notación CIDR 192.168.1.1 IPv4 Ejemplos Contenido de coincidencia 192.168.1.[0 – 255] 192.168.1.[0 – 255] • Se puede escribir en formato largo con máscaras completas Tenga en cuenta lo siguiente sobre los diccionarios: • Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los diccionarios. • Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único archivo de diccionario de ADM. • Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#) se consideran comentarios en un diccionario de ADM. • Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener una longitud total igual o inferior a 20 caracteres. • No se admiten las listas. • En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación o creación de nuevos diccionarios de ADM. Véase también Diccionarios de Application Data Monitor (ADM) en la página 186 Administración de diccionarios de ADM en la página 190 Cómo hacer referencia a un diccionario de ADM en la página 192 Ejemplos de diccionarios de ADM en la página 189 188 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Ejemplos de diccionarios de ADM El motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica o propiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en el diccionario o no existe en el diccionario). Tabla 3-91 Ejemplos de diccionarios de una columna Tipo de diccionario Ejemplo Diccionario de cadenas con palabras comunes en spam “Cialis” “cialis” “Viagra” “viagra” “web para adultos” “Web para adultos” “¡actúe ahora, no se lo piense!” Diccionario de expresiones regulares con palabras clave de autorización /(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña| usuario)/i /(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i /fondos[^a-z0-9]{1,3}transacción/i /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i Diccionario de cadenas con valores de hash de ejecutables maliciosos conocidos "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb607468465f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec8027833791c" "ff7025e261bd09250346bc9efdfc6c7c" Direcciones IP de activos críticos 192.168.1.12 192.168.2.0/24 192.168.3.0/255.255.255.0 192.168.4.32/27 192.168.5.144/255.255.255.240 McAfee Enterprise Security Manager 9.6.0 Guía del producto 189 3 Configuración del ESM Configuración de dispositivos Tabla 3-92 Ejemplos de diccionarios de dos columnas Tipo de diccionario Ejemplo Diccionario de cadenas con palabras y categorías comunes en spam “Cialis” “genérico” “cialis” “genérico” “Viagra” “genérico” “viagra” “genérico” “web para adultos” “adultos” “Web para adultos” “adultos” “¡actúe ahora, no se lo piense!” “fraude” Diccionario de expresiones /(contraseña|contras|con)[^a-z0-9]{1,3}(admin|inicio|contraseña| regulares con palabras clave usuario)/i “credenciales” y categorías de autorización /(consumidor|cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i “pii” /fondos[^a-z0-9]{1,3}transacción/i “sox” /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i “sox” Diccionario de cadenas con "fec72ceae15b6f60cbf269f99b9888e9" “Troyano” valores de hash y categorías "fed472c13c1db095c4cb0fc54ed28485" “Malware” de ejecutables maliciosos conocidos "feddedb607468465f9428a59eb5ee22a" “Virus” "ff3cb87742f9b56dfdb9a49b31c1743c" “Malware” "ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware” "ff669082faf0b5b976cec8027833791c" “Troyano” "ff7025e261bd09250346bc9efdfc6c7c" “Virus” Direcciones IP y grupos de activos críticos 192.168.1.12 “Activos críticos” 192.168.2.0/24 “LAN” 192.168.3.0/255.255.255.0 “LAN” 192.168.4.32/27 “DMZ” 192.168.5.144/255.255.255.240 “Activos críticos” Véase también Diccionarios de Application Data Monitor (ADM) en la página 186 Configuración de un diccionario de ADM en la página 187 Administración de diccionarios de ADM en la página 190 Cómo hacer referencia a un diccionario de ADM en la página 192 Administración de diccionarios de ADM Una vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También es posible exportarlo, editarlo y eliminarlo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM. La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet, foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema. 190 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 2 3 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar. Véase también Diccionarios de Application Data Monitor (ADM) en la página 186 Configuración de un diccionario de ADM en la página 187 Cómo hacer referencia a un diccionario de ADM en la página 192 Ejemplos de diccionarios de ADM en la página 189 Página Administrar diccionarios de ADM en la página 191 Página Editar diccionario de ADM en la página 191 Página Importar diccionario de ADM en la página 192 Página Administrar diccionarios de ADM Permite administrar la lista de diccionarios de ADM disponibles en el ESM para poder usarlas en reglas de ADM. Tabla 3-93 Definiciones de opciones Opción Definición Importar Importar un diccionario de ADM al ESM. Exportar Exportar el diccionario de ADM seleccionado a un archivo local. Editar Editar el diccionario seleccionado. Eliminar Eliminar el diccionario seleccionado. Cuando se elimina un diccionario, cualquier intento de desplegar un grupo de reglas con reglas que hagan referencia a este diccionario provocará un error de compilación. Si asigna este diccionario a una regla, vuelva a escribir la regla para que no haga referencia al diccionario (véase Cómo hacer referencia a un diccionario de ADM) o bien no siga con la eliminación. Véase también Administración de diccionarios de ADM en la página 190 Página Editar diccionario de ADM Permite realizar cambios en un diccionario de ADM. Tabla 3-94 Definiciones de opciones Opción Definición Buscar Si desea buscar una entrada concreta, escriba en el campo y haga clic en esta opción. Tabla Ver las entradas existentes. Es posible agregar entradas nuevas y cambiar o eliminar las existentes. Véase también Administración de diccionarios de ADM en la página 190 McAfee Enterprise Security Manager 9.6.0 Guía del producto 191 3 Configuración del ESM Configuración de dispositivos Página Importar diccionario de ADM Permite importar un diccionario de ADM al ESM. Tabla 3-95 Definiciones de opciones Opción Definición Diccionario Buscar el archivo de diccionario y cargarlo. Tipo de clave Seleccione el tipo de clave empleado en el diccionario. Si existe una discrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor y el contenido del archivo, se le informará de que los datos no son válidos. Tipo de valor Seleccione el tipo de valor empleado en el diccionario. Véase también Administración de diccionarios de ADM en la página 190 Cómo hacer referencia a un diccionario de ADM Cuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribir las reglas. Antes de empezar Importe el diccionario al ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM. 2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica de expresión. 3 Arrastre y suelte el icono Componente de expresión en el elemento lógico. 4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario. 5 Rellene los campos restantes y haga clic en Aceptar. Véase también Diccionarios de Application Data Monitor (ADM) en la página 186 Configuración de un diccionario de ADM en la página 187 Administración de diccionarios de ADM en la página 190 Ejemplos de diccionarios de ADM en la página 189 Material de referencia para reglas de ADM Este apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor de directivas. Véase también Sintaxis de las reglas de ADM en la página 193 Tipos de términos para reglas de ADM en la página 195 Referencias métricas para reglas de ADM en la página 197 Propiedades específicas de protocolos en la página 199 Anomalías de protocolo en la página 200 192 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Sintaxis de las reglas de ADM Las reglas de ADM son muy similares a las expresiones de C. La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresiones regulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden comparar con literales de cadena y expresión regular a fin de comprobar su contenido, pero también se pueden comparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y de dirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es que cualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términos pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de los archivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf. Tabla 3-96 Operadores Operador Descripción Ejemplo && AND lógico protocol = = http && type = = image/gif || OR lógico time.hour < 8 || time.hour > 18 ^^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]" ! NOT unario ! (protocol = = http | | protocol = = ftp) == Igual que type = = application/pdf != No igual que srcip ! = 192.168.0.0/16 > Mayor que objectsize > 100M >= Mayor o igual que time.weekday > = 1 < Menor que objectsize < 10K <= Menor o igual que time.hour < = 6 Tabla 3-97 Literales Literal Ejemplo Número 1234, 0x1234, 0777, 16K, 10M, 2G Cadena "una cadena" Expresión regular /[A-Z] [a-z]+/ IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0 MAC aa:bb:cc:dd:ee:ff Booleano true, false Tabla 3-98 Compatibilidad entre tipos y operadores Tipo Operadores Número = =, ! =, >, > =, <, < = Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresión regular Cadena >, > =, <, <= Comparar la longitud de la cadena IPv4 = =, ! = McAfee Enterprise Security Manager 9.6.0 Notas Guía del producto 193 3 Configuración del ESM Configuración de dispositivos Tabla 3-98 Compatibilidad entre tipos y operadores (continuación) Tipo Operadores MAC = =, ! = Booleano = =, ! = Notas Comparar con verdadero/falso; también admite la comparación implícita con verdadero, por ejemplo, lo siguiente comprueba si aparece el término “email.bcc”: email.bcc Tabla 3-99 Gramática de las expresiones regulares de ADM Operadores básicos | Alternancia (o) * Cero o más + Uno o más ? Cero o uno () Agrupación (a | b) {} Intervalo repetitivo {x} o {,x} o {x,} o {x,y} [] Intervalo [0-9a-z] [abc] [^ ] Intervalo exclusivo [^abc] [^0-9] . Cualquier carácter \ Carácter de escape Caracteres de escape 194 \d Dígito [0-9] \D No dígito [^0-9] \e Escape (0x1B) \f Avance de página (0x0C) \n Avance de línea (0x0A) \r Retorno de carro (0x0D) \s Espacio en blanco \S No espacio en blanco \t Tabulación (0x09) \v Tabulación vertical (0x0B) \w Palabra [A-Za-z0-9_] \W No palabra \x00 Representación hexadecimal \0000 Representación octal ^ Inicio de línea McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Caracteres de escape S Fin de línea Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent. Clases de caracteres POSIX [:alunum:] Dígitos y letras [:alpha:] Todas las letras [:ascii:] Caracteres ASCII [:blank:] Espacio y tabulación [:cntrl:] Caracteres de control [:digit:] Dígitos [:graph:] Caracteres visibles [:lower:] Letras minúsculas [:print:] Espacios y caracteres visibles [:punct:] Puntuación y símbolos [:space:] Todos los caracteres de espacio en blanco [:upper:] Caracteres en mayúscula [:word:] Caracteres de palabras [:xdigit:] Dígito hexadecimal Véase también Material de referencia para reglas de ADM en la página 192 Tipos de términos para reglas de ADM en la página 195 Referencias métricas para reglas de ADM en la página 197 Propiedades específicas de protocolos en la página 199 Anomalías de protocolo en la página 200 Tipos de términos para reglas de ADM Todos los términos de una regla de ADM son de un tipo concreto. Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valor booleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un término de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo o una lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla: 1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La regla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password” es un término de cadena): password < 8 2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/ 3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una dirección CC (“email.cc” es un término de cadena): email.cc == true McAfee Enterprise Security Manager 9.6.0 Guía del producto 195 3 Configuración del ESM Configuración de dispositivos Tipo Descripción del formato Direcciones IP • Los literales de dirección IP se escriben con el formato estándar de cuatro números separados por puntos y no se delimitan mediante comillas: 192.168.1.1 • Las direcciones IP pueden presentar una máscara expresada en notación CIDR estándar; no deben existir espacios en blanco entre la dirección y la máscara: 192.168.1.0/24 • Las direcciones IP también se pueden escribir con el formato largo: 192.168.1.0/255.255.255.0 Direcciones MAC • Los literales de dirección MAC se escriben mediante la notación estándar y, al igual que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar en formato decimal: 1234 • Se pueden expresar en formato hexadecimal: 0xabcd • Se pueden expresar en formato octal: 0777 • Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o 1 073 741 824 (G): 10M Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena" • Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una \"cadena\" que contiene\x20secuencias de escape\n" • Al comparar un término con una cadena, el término debe coincidir con la cadena al completo. Si un mensaje de correo electrónico tiene la dirección de origen “[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com” • Para usar la coincidencia parcial con un término, hay que usar un literal de expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea posible, ya que resultan más eficaces. Todos los términos de dirección de correo electrónico y URL se normalizan antes de la coincidencia, por lo que no es necesario tener en cuenta cosas como los comentarios incluidos en las direcciones de correo electrónico. Booleanos 196 • Los literales booleanos son verdadero (true) y falso (false). McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tipo Descripción del formato Expresiones regulares • Los literales de expresión regular emplean la misma notación que algunos lenguajes, como Javascript y Perl, por lo que la expresión regular se delimita mediante barras diagonales: /[a-z]+/ • Las expresiones regulares pueden ir seguidas de indicadores de modificación estándar, aunque "i" es el único que se reconoce actualmente (sin distinción entre mayúsculas y minúsculas): /[a-z]+/i • Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En este momento, las extensiones Perl funcionan para todos los términos excepto el de contenido, pero esto podría cambiar en versiones futuras. • Si se compara un término con una expresión regular, esta puede coincidir con cualquier subcadena incluida en el término a menos que se apliquen operadores de anclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje de correo electrónico con la dirección “[email protected]”: email.from == / @lugar.com/ Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y separados por comas: [1, 2, 3, 4, 5] • Las listas pueden contener cualquier tipo de literal, incluidas otras listas: [192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]] • Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y números, cadenas y expresiones regulares o direcciones IP y direcciones MAC. • Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a” (!=), la expresión es verdadera si el término coincide con cualquier literal de la lista. La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las direcciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3] • Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3 • Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si el término no coincide con todos los literales de la lista. La siguiente regla se activa si la dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1, 192.168.1.2] • Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2 • Las listas también se pueden usar con otros operadores relacionales, aunque no tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior a 100, o bien si es superior a 200: objectsize > [100, 200] • Esto es equivalente a: objectsize > 100 || objectsize > 200 Véase también Material de referencia para reglas de ADM en la página 192 Sintaxis de las reglas de ADM en la página 193 Referencias métricas para reglas de ADM en la página 197 Propiedades específicas de protocolos en la página 199 Anomalías de protocolo en la página 200 Referencias métricas para reglas de ADM A continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cuales están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede indicar para cada una se muestra entre paréntesis tras la referencia métrica. Propiedades comunes McAfee Enterprise Security Manager 9.6.0 Guía del producto 197 3 Configuración del ESM Configuración de dispositivos Propiedad o término Descripción Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.). Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correo electrónico o mensaje de chat, etc.). La coincidencia de contenido no está disponible para los datos binarios. Sin embargo, los objetos binarios se pueden detectar mediante el tipo de objeto (objtype). Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos de Office, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.). Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K, M y G tras el número (10K, 10M, 10G). Object Hash (cadena) El hash del contenido (actualmente, MD5). Object Source IP Address (número) Dirección IP de origen del contenido. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Object Destination IP Address (número) Dirección IP de destino del contenido. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Object Source Port (número) El puerto TCP/UDP de origen del contenido. Object Destination Port (número) El puerto TCP/UDP de destino del contenido. Object Source IP v6 Address (número) Dirección IPv6 de origen del contenido. Object Destination IPv6 Address (número) Dirección IPv6 de destino del contenido. Object Source MAC Address Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff). (nombre de MAC) Object Destination MAC Address (nombre de MAC) Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff). Flow Source IP Address (IPv4) Dirección IP de origen del flujo. La dirección IP se puede especificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. Flow Destination IP Address Dirección IP de destino del flujo. La dirección IP se puede especificar (IPv4) como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0. 198 Flow Source Port (número) Puerto TCP/UDP de origen del flujo. Flow Destination Port (número) Puerto TCP/UDP de destino del flujo. Flow Source IPv6 Address (número) Dirección IPv6 de origen del flujo. Flow Destination IPv6 Address (número) Dirección IPv6 de destino del flujo. Flow Source MAC Address (nombre de MAC) Dirección MAC de origen del flujo. Flow Destination MAC Address (nombre de MAC) Dirección MAC de destino del flujo. VLAN (número) ID de LAN virtual. Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1 corresponde al lunes. Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre 0 y 23. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Propiedad o término Descripción Declared Content Type (cadena) Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de objeto (objtype) es siempre el tipo real, mientras que el tipo de contenido declarado (content-type) no resulta fiable, ya que el servidor o la aplicación lo pueden falsificar. Password (cadena) La contraseña utilizada por la aplicación para la autenticación. URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP. File Name (cadena) Nombre del archivo transferido. Display Name (cadena) Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS. Anomalías comunes • User logged off (literal booleano) • Authorization error (literal booleano) • Authorization successful (literal booleano) • Authorization failed (literal booleano) Véase también Material de referencia para reglas de ADM en la página 192 Sintaxis de las reglas de ADM en la página 193 Tipos de términos para reglas de ADM en la página 195 Propiedades específicas de protocolos en la página 199 Anomalías de protocolo en la página 200 Propiedades específicas de protocolos Además de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM también ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todas las propiedades específicas de protocolos están disponibles también en la página Componente de expresión a la hora de agregar una regla de ADM. Ejemplos de propiedades específicas de protocolos Estas propiedades se aplican a las tablas siguientes: * Solo detección ** Sin descifrado, se capturan los certificados X.509 y los datos cifrados *** A través del módulo RFC822 Tabla 3-100 Módulos de protocolo de transferencia de archivos FTP HTTP SMB* SSL** Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo Nombre de host Nombre de host Nombre de host Nombre de host URL Referer URL Todos los encabezados HTTP McAfee Enterprise Security Manager 9.6.0 Guía del producto 199 3 Configuración del ESM Configuración de dispositivos Tabla 3-101 Módulos de protocolo de correo electrónico DeltaSync MAPI NNTP POP3 SMTP CCO*** CCO CCO*** CCO*** CCO*** CC*** CC CC*** CC*** CC*** Nombre de pantalla Nombre de pantalla Nombre de pantalla De*** De*** Nombre de host Nombre de host Asunto*** Para*** Para*** Asunto*** Nombre de usuario Nombre de pantalla Nombre de pantalla De*** De Nombre de host Nombre de host Asunto*** Asunto Para*** Para De*** Nombre de host Asunto*** Para*** Nombre de usuario Tabla 3-102 Módulos de protocolo de correo web AOL Gmail Hotmail Yahoo Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos CCO*** CCO*** CCO*** CCO*** CC*** CC*** CC*** CC*** Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo Nombre de host Nombre de host Nombre de host Nombre de host De*** De*** De*** De*** Asunto*** Asunto*** Asunto*** Asunto*** Para*** Para*** Para*** Para*** Véase también Material de referencia para reglas de ADM en la página 192 Sintaxis de las reglas de ADM en la página 193 Tipos de términos para reglas de ADM en la página 195 Referencias métricas para reglas de ADM en la página 197 Anomalías de protocolo en la página 200 Anomalías de protocolo Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. Tabla 3-103 200 IP Término Descripción ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido. ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete. ip.fragmented El paquete IP está fragmentado. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-103 IP (continuación) Término Descripción ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos. ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo. Tabla 3-104 TCP Término Descripción tcp.too-small El paquete TCP es demasiado pequeño para contener un encabezado válido. tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final del paquete. tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido. tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido. tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado. tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeña de TCP del módulo, no la ventana real). tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no se ha definido el indicador URG. Tabla 3-105 DNS Término Descripción dns.too-small El paquete DNS es demasiado pequeño para contener un encabezado válido. dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete. dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete. dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de longitud. dns.answer-circular-reference La respuesta de DNS contiene una referencia circular. Véase también Material de referencia para reglas de ADM en la página 192 Sintaxis de las reglas de ADM en la página 193 Tipos de términos para reglas de ADM en la página 195 Referencias métricas para reglas de ADM en la página 197 Propiedades específicas de protocolos en la página 199 Configuración de Database Event Monitor (DEM) McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de auditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación de informes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide con patrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todas las transacciones se registran para garantizar la conformidad. El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la misma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil ajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, qué transacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general. McAfee Enterprise Security Manager 9.6.0 Guía del producto 201 3 Configuración del ESM Configuración de dispositivos El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión de red, seguridad, conformidad y bases de datos. Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría. Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de servidor de base de datos compatibles. Sistema operativo Base de datos Appliance DEM Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux (todas las versiones) Oracle² Oracle 8.x, 9.x, 10g, 11g (c), 11g R2³ Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix (disponible en la versión 8.4.0 o posterior) 11.5 MySQL Sí, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystems Cache 2011.1.x Greenplum 8.2.15 Vertica 5.1.1-0 Mainframe DB2/zOS Todas las versiones AS400 DB2 Todas las versiones Windows, UNIX/Linux (todas las versiones) UNIX/Linux (todas las versiones) 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0 y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores. 3 Oracle 11g está disponible en la versión 8.3.0 y posteriores. Lo siguiente es aplicable a estos servidores y estas versiones: • Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las plataformas de base de datos. • MySQL solo se admite en plataformas Windows de 32 bits. • El descifrado de paquetes se admite en MSSQL y Oracle. Actualización de la licencia de DEM El DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviará una nueva licencia en un mensaje de correo electrónico y deberá actualizarla. 202 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo. 3 Haga clic en Aceptar. El sistema actualizará la licencia y le avisará cuando haya terminado. 4 Despliegue la directiva en el DEM. Véase también Página Actualizar licencia de DEM en la página 203 Página Actualizar licencia de DEM Permite ver las limitaciones de la licencia actual del DEM, así como actualizarla. Tabla 3-106 Definiciones de opciones Opción Definición Actualizar licencia Permite actualizar la licencia del DEM. Página Actualizar licencia Copie la licencia que le ha enviado McAfee, péguela aquí y haga clic en Aceptar. Véase también Actualización de la licencia de DEM en la página 202 Sincronización de los archivos de configuración de DEM Cuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, es necesario escribirlos en el DEM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Sincronizar archivos. Aparecerá un mensaje que indica el estado de la sincronización. Configuración de opciones avanzadas de DEM Estas opciones avanzadas cambian o aumentan el rendimiento del DEM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si experimenta una carga muy elevada en el DEM. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 203 3 Configuración del ESM Configuración de dispositivos Véase también Página Opciones de DEM avanzadas en la página 204 Página Opciones de DEM avanzadas Permite cambiar o aumentar el rendimiento del DEM. Tabla 3-107 Definiciones de opciones Opción Definición Defina las opciones de configuración siguientes según proceda. Nivel de detalle del archivo de registro Permite establecer el nivel de detalle de la información de registro enviada del agente de DEM al administrador del DEM. Estas son las tres opciones: Información, Advertencia y Depuración. Si selecciona Depuración, la información será muy detallada y puede consumir una gran parte de espacio de disco. Puerto de registro de agente y Puerto de servicio de agente Cambiar los puertos predeterminados de registro y servicio del agente. Se trata de los puertos que se emplean para comunicarse con el agente. Usar cifrado Indique si se debe cifrar o no la información enviada al administrador de DEM desde el agente de DEM. Este registro se descifra cuando se recibe. IP de servidor Kerberos Indique la dirección IP del servidor Kerberos si desea recuperar los nombres de usuario mediante el análisis del protocolo Kerberos para la autenticación de la base de datos con el uso de la Seguridad integrada de Windows. Es posible especificar diversas opciones de IP, puertos y VLAN mediante el formato siguiente: IP;PUERTO;VLAN;IP;PUERTO (por ejemplo, 10.0.0.1;88;11,10.0.0.2;88;12). IPv6 también se admite con este mismo formato. Memoria compartida Elija el tamaño del búfer que empleará el DEM para procesar eventos de base de datos. El aumento del tamaño del búfer proporciona un mejor rendimiento. Repositorio de eventos Seleccione la ubicación desde la que se recuperarán los eventos. Si selecciona Archivo, se leerá el archivo del DEM local y se analizarán esos eventos. Si selecciona EDB, se recopilarán los eventos de la base de datos. Tabla 3-108 Definiciones de opciones Opción Definición Anule la selección de cualquiera de estas opciones si experimenta una sobrecarga en el DEM. 204 Captura de paquetes de McAfee Firewall Proporciona al DEM una forma más rápida de analizar los datos de la base de datos. Rastreo de transacciones Rastrear las transacciones de base de datos y conciliar los cambios automáticamente. Anule su selección para aumentar la velocidad del DEM. Rastreo de identidades de usuario Rastrear las identidades de usuario cuando no se propagan a la base de datos debido al uso de nombres de usuario genéricos para acceder a la base de datos. Anule su selección para aumentar la velocidad del DEM. Enmascaramiento de datos confidenciales Evitar la visualización no autorizada de datos confidenciales gracias a la sustitución de la información de carácter confidencial por una cadena genérica definida por el usuario, denominada “máscara”. Anule su selección para aumentar la velocidad del DEM. Auditoría de hosts locales Auditar los hosts locales para rastrear las rutas de acceso desconocidas a la base de datos y enviar eventos en tiempo real. Anule su selección para aumentar la velocidad del DEM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-108 Definiciones de opciones (continuación) Opción Definición Análisis de consultas Llevar a cabo inspecciones de consultas. Anule su selección para aumentar la velocidad del DEM. Captura de primera fila de resultado Permite ver la primera fila del resultado de una consulta cuando se recupera un paquete para un evento y se ha establecido una gravedad para la sentencia de selección inferior a 95. Anule su selección para aumentar la velocidad del DEM. Compatibilidad de variable de enlace Reutilizar la variable de enlace de Oracle una y otra vez sin necesidad de volver a analizar el comando cada vez que se ejecuta. Véase también Configuración de opciones avanzadas de DEM en la página 203 Aplicación de las opciones de configuración al DEM Los cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM. En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración de DEM permite hacerlo para todas las opciones de configuración del DEM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Aplicar. Un mensaje le informará de la escritura de las opciones de configuración en el DEM. Definición de acciones para eventos de DEM La configuración de Administración de acciones del DEM define las acciones y operaciones para los eventos que se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar acciones personalizadas y establecer la Operación para las acciones predeterminadas y personalizadas. El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la página Administración de acciones, y estas son las operaciones predeterminadas: • ninguna • secuencia de comandos • ignorar • restablecer • rechazar Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia de comandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cual se ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables de entorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene una lista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash de muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede capturar la acción de importancia en una secuencia de comandos. Recuerde lo siguiente cuando trabaje con acciones y operaciones: • Las acciones aparecen por orden de prioridad. • Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a un localizador, a menos que se especifique como acción de alerta. McAfee Enterprise Security Manager 9.6.0 Guía del producto 205 3 Configuración del ESM Configuración de dispositivos • Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una acción para el nivel de alerta más alto. • Los eventos se escriben en un archivo de eventos independientemente de la acción. La única excepción es una operación Rechazar. Véase también Adición de una acción de DEM en la página 206 Edición de una acción personalizada de DEM en la página 207 Establecimiento de la operación para una acción de DEM en la página 207 Adición de una acción de DEM Si se agrega una acción a la administración de acciones de DEM, aparece en la lista de acciones disponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla como acción para una regla. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas | Administrador de acciones de DEM. y, después, en La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad. No es posible cambiar el orden de prioridad de las acciones predeterminadas. 2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción. No es posible eliminar una acción personalizada una vez agregada. 3 Haga clic en Aceptar. La nueva acción se agregará a la lista de Administración de acciones de DEM. La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase Establecimiento de la operación para una acción de DEM. Véase también Definición de acciones para eventos de DEM en la página 205 Edición de una acción personalizada de DEM en la página 207 Establecimiento de la operación para una acción de DEM en la página 207 Página Regla de acción de DEM en la página 206 Página Regla de acción de DEM Permite definir la configuración para una acción de DEM. Tabla 3-109 Definiciones de opciones Opción Definición Nombre de la acción Escriba el nombre para la acción. Descripción (Opcional) Escriba una descripción para esta acción. Véase también Adición de una acción de DEM en la página 206 206 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Edición de una acción personalizada de DEM Tras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editar su nombre o cambiar la prioridad. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 3 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas | Administrador de acciones de DEM. y, después, en Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones: • Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que se encuentre en la posición correcta. • Para cambiar el nombre o la descripción, haga clic en Editar. Haga clic en Aceptar para guardar la configuración. Véase también Definición de acciones para eventos de DEM en la página 205 Adición de una acción de DEM en la página 206 Establecimiento de la operación para una acción de DEM en la página 207 Establecimiento de la operación para una acción de DEM Todas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción de DEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación de cualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de acciones. 2 Resalte la acción que desee editar y haga clic en Editar. 3 Seleccione una operación y haga clic en Aceptar. Véase también Definición de acciones para eventos de DEM en la página 205 Adición de una acción de DEM en la página 206 Edición de una acción personalizada de DEM en la página 207 Página Administración de acciones en la página 208 Página Administración de acciones de DEM en la página 208 McAfee Enterprise Security Manager 9.6.0 Guía del producto 207 3 Configuración del ESM Configuración de dispositivos Página Administración de acciones Permite cambiar la operación de una acción de regla. Tabla 3-110 Definiciones de opciones Opción Definición Operación Seleccione lo que desea que haga esta acción si la regla activa un evento. Las opciones son las siguientes: • Ninguna: no se hace nada. • Ignorar: el evento se mantiene en la base de datos pero no aparece en la interfaz de usuario. • Rechazar: el evento no se mantiene en la base de datos ni aparece en la interfaz de usuario. • Secuencia de comandos: se ejecuta una secuencia de comandos previamente definida. • Restablecer: se intenta interrumpir la conexión de la base de datos mediante el envío de paquetes TCP RST al cliente y el servidor. Nombre de secuencia de comandos Si selecciona Secuencia de comandos como operación, deberá definir el nombre de la secuencia de comandos. Si no hay ninguna secuencia de comandos en la lista desplegable, haga clic en Nombre de secuencia de comandos y seleccione un archivo en la página Administración de archivos de secuencias de comandos. Véase también Establecimiento de la operación para una acción de DEM en la página 207 Página Administración de acciones de DEM Permite agregar y organizar acciones globales para poder seleccionarlas a modo de acción para una regla. Tabla 3-111 Definiciones de opciones Opción Definición Agregar Agregar una acción nueva. No es posible eliminar una acción personalizada una vez agregada. Editar Cambiar el nombre o la descripción de la acción personalizada seleccionada. Flechas Subir y Bajar Permiten cambiar el orden de las acciones personalizadas. No es posible cambiar el orden de prioridad de las acciones predeterminadas. Véase también Establecimiento de la operación para una acción de DEM en la página 207 Utilización de máscaras de datos confidenciales Las máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datos confidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica, denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datos 208 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y editar o eliminar las existentes. Estas son las máscaras estándar: • Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13} Índice de subcadenas: \0 Patrón de enmascaramiento: ####-####-####-#### • Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS Expresión: (\d\d\d-\d\d)-\d\d\d\d Índice de subcadenas: \1 Patrón de enmascaramiento: ###-## • Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) Índice de subcadenas: \2 Patrón de enmascaramiento: ******** Véase también Administración de máscaras de datos confidenciales en la página 209 Administración de máscaras de datos confidenciales A fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras de datos confidenciales y editar o eliminar las existentes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos confidenciales. 2 Seleccione una opción y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM. Véase también Utilización de máscaras de datos confidenciales en la página 208 Página Máscaras de datos confidenciales en la página 210 McAfee Enterprise Security Manager 9.6.0 Guía del producto 209 3 Configuración del ESM Configuración de dispositivos Página Máscaras de datos confidenciales Permite agregar una máscara de datos confidenciales a fin de proteger la información de carácter confidencial introducida en el ESM. Tabla 3-112 Definiciones de opciones Opción Definición Nombre de máscara de datos confidenciales Escriba un nombre para la máscara de datos confidenciales. Expresión Escriba una expresión regular conforme a la sintaxis de expresión regular compatible con Perl (PCRE) (véase Utilización de máscaras de datos confidenciales para ver ejemplos). Índice de subcadenas Seleccione una opción. Las opciones dependen del número de paréntesis () utilizados en la expresión. Si solo dispone de un conjunto de paréntesis, las opciones serán \0 y \1. Si selecciona \0, toda la cadena se sustituirá por la máscara. Si selecciona \1, solo se sustituyen las cadenas por la máscara. Patrón de enmascaramiento Escriba el patrón de enmascaramiento que debe aparecer en lugar del valor original. Véase también Administración de máscaras de datos confidenciales en la página 209 Administración de la identificación de usuarios Gran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse y distinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para acceder a la base de datos. La administración de identificadores proporciona una forma de capturar el nombre de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patrones de expresión regular. Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Se agregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega un dispositivo DEM al sistema. • Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL Expresión: select\s+username=(\w+) Aplicación: Oracle Índice de subcadenas: \1 • Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)', Aplicación: MSSQL Índice de subcadenas: \2 Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación, servidor web y sistema. Véase también Adición de una regla de identificador de usuario en la página 211 210 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Adición de una regla de identificador de usuario A fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas de identificación de usuarios existentes o de agregar una regla nueva. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de identificadores. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM. Véase también Administración de la identificación de usuarios en la página 210 Página Reglas de identificador de usuario en la página 211 Página Reglas de identificador de usuario Permite agregar una regla de identificación de usuarios para asociar las consultas de base de datos con personas. Tabla 3-113 Definiciones de opciones Opción Definición Nombre de regla de identificador Escriba un nombre para esta regla de identificador. Expresión Escriba una expresión regular conforme a la sintaxis PCRE (véase Administración de la identificación de usuarios para ver ejemplos). El operador de la expresión regular implementa la biblioteca PCRE para la coincidencia de patrones mediante la misma semántica que Perl 5. La sintaxis general es: <"nombre métrica"> EXPRESIÓN REGULAR <"patrón">. Para obtener información sobre PCRE, consulte http://www.pcre.org. Aplicación Seleccione la aplicación (tipo de base de datos) donde se observa la información. Índice de subcadenas Seleccione una subcadena. Las opciones dependen del número de paréntesis () utilizados en la expresión. Si dispone de un conjunto de paréntesis, las opciones serán \0 y \1. Véase también Adición de una regla de identificador de usuario en la página 211 Acerca de los servidores de base de datos Los servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en un servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso, se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos. El DEM admite actualmente los siguientes servidores y versiones de base de datos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 211 3 Configuración del ESM Configuración de dispositivos SO Base de datos Appliance DEM Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows UNIX/Linux (todas las versiones) Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix (véase la nota 4) 11.5 MySQL Sí, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystems Cache 2011.1.x UNIX/Linux (todas las versiones) Greenplum 8.2.15 Vertica 5.1.1-0 Mainframe DB2/zOS Todas las versiones AS 400 DB2 Todas las versiones 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones 8.3.0 y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 y posteriores. 3 Oracle 11g está disponible en la versión 8.3.0 y posteriores. 4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores. • Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos y las plataformas de base de datos. • MySQL solo se admite en plataformas Windows de 32 bits. • El descifrado de paquetes se admite para MSSQL y Oracle. Véase también Administración de servidores de base de datos en la página 212 Administración de notificaciones de descubrimiento de base de datos en la página 215 Administración de servidores de base de datos La página Servidores de base de datos es el punto de inicio para la administración de la configuración de todos los servidores de base de datos del dispositivo DEM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 212 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de datos. 2 Seleccione cualquiera de las opciones disponibles. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Véase también Acerca de los servidores de base de datos en la página 211 Administración de notificaciones de descubrimiento de base de datos en la página 215 Página Servidores de base de datos en la página 213 Página Agregar servidor de base de datos en la página 213 Página Servidores de base de datos El dispositivo DEM supervisa las bases de datos definidas en los servidores de base de datos. Tabla 3-114 Definiciones de opciones Opción Definición Tabla Ver la lista de servidores de base de datos del DEM. Agregar Agregar un nuevo servidor de base de datos. Agregar agente El agente de McAfee DEM ya no se comercializa. Si adquirió la licencia para el agente de DEM de una versión anterior a la 9.2 y necesita ayuda, póngase en contacto con el Soporte de McAfee. Editar Realizar cambios en el servidor de base de datos seleccionado. Quitar Eliminar el servidor de base de datos seleccionado. Copiar Crear una copia del servidor de base de datos seleccionado. Escribir Aplicar la configuración de los servidores de base de datos al DEM. Activar Haga clic si desea recibir una notificación de alerta cuando se encuentren servidores de bases de datos nuevos. Desactivar Permite desactivar la notificación. Véase también Administración de servidores de base de datos en la página 212 Página Agregar servidor de base de datos Permite agregar un servidor de base de datos para supervisar la actividad de base de datos. Es posible asociar un máximo de 255 servidores de base de datos con un único DEM. Tabla 3-115 Definiciones de opciones Opción Definición Activado Indique si desea que el DEM procese los datos correspondientes a este servidor de base de datos. Si se desactiva, las opciones de configuración se guardan en el ESM para su uso en el futuro. Grupo de almacenamiento Haga clic y seleccione un grupo de almacenamiento si desea que los datos recibidos se envíen al dispositivo ELM. Zona Si tiene zonas definidas en el sistema, seleccione la zona a la que desee asignar este servidor de base de datos. Para agregar una zona al sistema, haga clic en Zona. Tipo de base de datos Seleccione el tipo de base de datos. Los campos restantes variarán en función de lo que se seleccione en este campo. El DEM implementa un controlador PI JDBC para conectar con el sistema PI. PI SQL Data Access Server (DAS) actúa como gateway entre el controlador PI JDBC y PI OLEDB. Proporciona comunicación de red segura (HTTPS) con PI JDBC y ejecuta consultas como cliente PI OLEDB. McAfee Enterprise Security Manager 9.6.0 Guía del producto 213 3 Configuración del ESM Configuración de dispositivos Tabla 3-115 Definiciones de opciones (continuación) Opción Definición Nombre del servidor de base de datos Escriba un nombre para este servidor de base de datos. Si ha seleccionado PIServer en el campo Tipo de base de datos, este campo será Nombre de origen de datos DAS, que corresponde al nombre del servidor PI al que accederá el gateway de Data Access Server (DAS). Debe coincidir exactamente con el especificado en la configuración de DAS. Puede ser el mismo que el nombre de host de DAS si el servidor DAS está instalado en el mismo host que el servidor PI. URL del dispositivo Si está disponible, escriba la dirección URL para ver la información del servidor de base de datos. Si la dirección URL introducida incluye la dirección de una aplicación de terceros, puede adjuntar variables a la dirección URL mediante el icono correspondiente . Dirección IP Introduzca una única dirección para este servidor de base de datos o DAS en el campo de dirección IP. Este campo acepta una única dirección IP con formato de notación de puntos IPv4. No se aceptan las máscaras para estas direcciones IP. Grupo de prioridad Asigne el servidor de base de datos a un grupo de prioridad. Esto permite equilibrar la carga de datos procesados por el DEM. Es posible ver una lista de los servidores de base de datos y los grupos de prioridad a los que pertenecen en la tabla Servidores de base de datos. ID de LAN virtual Escriba el ID de LAN virtual, en caso de ser necesario. Si introduce el valor "0", representa todas las VLAN. Opción de codificación Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5. Seleccionar opciones especiales Seleccione una de las opciones siguientes (las opciones disponibles dependen del tipo de base de datos seleccionado): • Es necesario especificar la Redirección de puerto cuando se supervisa un servidor Oracle que se ejecuta en una plataforma Windows. • Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de base de datos emplea el protocolo SMB de canalizaciones con nombre. El nombre de canalización predeterminado para MSSQL es \\.\pipe\sql\query, y el puerto predeterminado es el 445. • Se debe seleccionar Puertos dinámicos si el servidor de base de datos tiene puertos dinámicos TCP activados. Introduzca un número de puerto para el servidor de base de datos o DAS en el campo Puerto. Este puerto es el puerto de servicio del servidor de base de datos donde este escucha las conexiones. Algunos números de puertos predeterminados habituales son: 1433 para Microsoft SQL Server (MSSQL), 1521 para Oracle, 3306 para MySQL, 5461 para Data Access Server (DAS) y 50000 para DB2/UDB. Autenticación Kerberos Indique si desea que SQL Server emplee la autenticación Kerberos. Tipo de cifrado RSA Seleccione Ninguno o RSA. Nivel de cifrado RSA Seleccione la opción adecuada en función de lo que haya elegido para el cifrado forzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado es No y Descifrar todos los paquetes si el valor de Cifrado forzado es Sí. Clave RSA Haga clic en Examinar y seleccione el archivo de Clave RSA, o bien copie la clave del archivo y péguela en el campo Clave RSA. La consola de ESM solo acepta certificados RSA con el formato de archivo .pem y sin contraseña. 214 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Tabla 3-115 Definiciones de opciones (continuación) Opción Definición Nombre de usuario Escriba el nombre de usuario para el inicio de sesión de PI DAS. Ya que PI DAS se instala en Windows, emplea la seguridad integrada de Windows. El nombre de usuario debe especificarse con el formato dominio\nombre de inicio de sesión. Contraseña Escriba la contraseña correspondiente al nombre de usuario de DAS. Recuperar registros de archivado Indique si desea que se sondee la base de datos de archivos del servidor PI en busca de cambios para todos los puntos. Puntos que supervisar Introduzca una lista de puntos separados por comas para que se supervisen solamente esos puntos. Véase también Administración de servidores de base de datos en la página 212 Administración de notificaciones de descubrimiento de base de datos El DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista de excepciones de servidores de base de datos que no se supervisan. Esta lista permite a un administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y los puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos. Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Es posible elegir entonces si agregar o no el servidor a los supervisados en el sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores de base de datos | Activar. Se le notificará la activación. 2 Haga clic en Aceptar para cerrar Propiedades de DEM. 3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y seleccione Vistas de evento | Análisis de eventos. 4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú y seleccione Agregar servidor. Véase también Acerca de los servidores de base de datos en la página 211 Administración de servidores de base de datos en la página 212 Configuración del ESM distribuido (DESM) El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal conectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extrae los datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder a información detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM. El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas ni eventos del DESM hasta que está aprobado. McAfee Enterprise Security Manager 9.6.0 Guía del producto 215 3 Configuración del ESM Configuración de dispositivos Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.". Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM principal puede tener con el DESM. El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se desactivan en todos los dispositivos secundarios del DESM. El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los filtros que se hayan definido. Adición de filtros de DESM Los datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos por el usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de forma que se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), es necesario establecer filtros para que se recuperen los datos del ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros. 2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar. Configuración de ePolicy Orchestrator Es posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán como elementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a algunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP de origen o destino directamente y a los eventos generados por alarmas. ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de ePolicy Orchestrator. Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicy Orchestrator para poder usar ePolicy Orchestrator. ® Si el dispositivo McAfee ePO tiene un servidor de McAfee Threat Intelligence Exchange (TIE), se agrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con Threat Intelligence Exchange). Ejecución de ePolicy Orchestrator Si dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP de ePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestrator desde ESM. Antes de empezar Agregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM. Esta función está disponible en ePolicy Orchestrator 4.6 o posterior. 216 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione una vista. 2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular que devuelva datos de IP de origen o destino. 3 En el menú del componente , haga clic en Acción | Ejecutar ePO. • Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y ha seleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator. • Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema, seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator. • Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique si desea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicy Orchestrator. Autenticación de dispositivos McAfee ePO Se requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO. Hay dos tipos de autenticación: • Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO, puede utilizar estas funciones tras introducir las credenciales globales. • Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en el árbol de dispositivos. Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método de autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este dispositivo. Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo plano mediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradas originalmente. Configuración de la autenticación mediante cuentas independientes La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas que debe hacer para configurar la autenticación mediante cuentas independientes. 1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePO al ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola de ESM o Cambio de la conexión con ESM). 2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticación de McAfee ePO). McAfee Enterprise Security Manager 9.6.0 Guía del producto 217 3 Configuración del ESM Configuración de dispositivos Adición de credenciales de autenticación de McAfee ePO Antes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, es necesario agregar las credenciales de autenticación al ESM. Antes de empezar Instale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola de ESM). Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto con el administrador del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en Credenciales de ePO. 2 Haga clic en el dispositivo y, después, en Editar. 3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión. 4 Haga clic en Aceptar. Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP La ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventos generados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. También se puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP. A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando. 2 Introduzca la información solicitada y, a continuación, haga clic en Asignar. Las etiquetas seleccionadas se aplicarán a la dirección IP. Véase también Página Etiquetando en la página 219 218 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Página Etiquetando Permite asignar etiquetas a las direcciones IP. Tabla 3-116 Definiciones de opciones Opción Definición Tabla de etiquetado Contiene las etiquetas disponibles en el dispositivo. Dirección IP para asignar las etiquetas seleccionadas Escriba un nombre de host o dirección IP (se puede usar una lista delimitada por comas) y, después, seleccione una o varias etiquetas en la lista Etiquetas. Para acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de actividad del agente. Activar cliente Permite activar la aplicación para aplicar las etiquetas inmediatamente. Asignar Permite aplicar las etiquetas seleccionadas a la dirección IP. Véase también Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP en la página 218 Adquisición de datos de McAfee Risk Advisor Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un administrador de correlación de riesgos. Activación de la adquisición de datos de McAfee Risk Advisor Cuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se genera una lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificación de los campos IP de origen e IP de destino. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y, después, haga clic en Activar. Se le informará cuando la adquisición haya sido activada. 2 Haga clic en Aceptar. Véase también Página Administración de ePO en la página 220 McAfee Enterprise Security Manager 9.6.0 Guía del producto 219 3 Configuración del ESM Configuración de dispositivos Página Administración de ePO Permite administrar el registro de ELM, la asignación de zonas, la actualización de las aplicaciones, la prioridad y la adquisición de datos de McAfee Risk Advisor. Tabla 3-117 Definiciones de opciones Opción Definición Administrar registro de ELM Configurar el grupo de registro predeterminado para el dispositivo seleccionado (véase Establecimiento del grupo de registro predeterminado). Esta opción solo está disponible si hay un ELM presente en el ESM. Zona Asignar McAfee ePO a una zona o cambiar la configuración actual (véase Administración de zonas). Actualizar dispositivo manualmente Actualizar la lista de aplicaciones desde el dispositivo McAfee ePO y crear un origen de datos cliente por cada aplicación. Hora de última actualización Ver la última vez que se actualizaron las aplicaciones. Activar MRA Activar la adquisición de datos de McAfee Risk Advisor (véase Adquisición de datos de McAfee Risk Advisor). Prioridad Cabe la posibilidad de que tenga más de un dispositivo McAfee ePO, origen de activos o dispositivo de evaluación de vulnerabilidades configurado para recibir los mismos activos o amenazas. En tal caso, seleccione la prioridad que debe tener la información de este dispositivo McAfee ePO si los dispositivos reciben la misma información. Por ejemplo, su equipo está supervisado por ePO-1 y EV-1. ePO-1 recopila información sobre el software y el hardware de su equipo, mientras que EV-1 recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1 para que tenga una prioridad superior a la de EV-1, de manera que la información que recopile no se pueda sobrescribir con la información recopilada por EV-1. Planificar actualización de aplicación A fin de actualizar automáticamente la lista de aplicaciones del dispositivo ePolicy Orchestrator, seleccione la frecuencia en la lista desplegable. Véase también Activación de la adquisición de datos de McAfee Risk Advisor en la página 219 Realización de acciones de McAfee Real Time for McAfee ePO Es posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una pregunta desde el ESM y el componente que muestra una dirección IP en la vista. Antes de empezar Diseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta en McAfee ePO del panel de McAfee Real Time for McAfee ePO). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 220 de un componente de vista que muestre En la consola de ESM, haga clic en el icono de menú los resultados de una pregunta de McAfee Real Time for McAfee ePO. 2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO. 3 En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos 4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos seleccionados. 5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación, pulse Finalizar. Los filtros no están disponibles en el panel o los componentes de McAfee ePO. Integración con Threat Intelligence Exchange Threat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpoints conectados a estos archivos. Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hay un servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza a escuchar los eventos de DXL y de registro. Cabe la posibilidad de experimentar un retardo cuando el ESM conecta con DXL. Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, el enriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agregan automáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificación visual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor de Threat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo se haya agregado al ESM. Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos. Reglas de correlación Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas reglas generan eventos que se pueden buscar y ordenar. • TIE - Reputación de GTI cambiada de limpia a contaminada • TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts • TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts • TIE - Varios archivos maliciosos encontrados en un único host • TIE - Reputación de TIE cambiada de limpia a contaminada • TIE - Aumento de archivos maliciosos detectado en todos los hosts Alarmas El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat Intelligence Exchange. • Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts. • Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega información a la lista de vigilancia IP de orígenes de datos de TIE. Lista de vigilancia La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad. McAfee Enterprise Security Manager 9.6.0 Guía del producto 221 3 Configuración del ESM Configuración de dispositivos Historial de ejecución de Threat Intelligence Exchange Es posible ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange), el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página, puede seleccionar un elemento y realizar cualquiera de estas acciones: • Crear una lista de vigilancia. • Agregar la información a una lista negra • Anexar la información a una lista de vigilancia • Exportar la información a un archivo .csv • Crear una alarma. Véase también Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange en la página 222 Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange La página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemas que han ejecutado el archivo asociado con el evento seleccionado. Antes de empezar Es necesario que exista un dispositivo ePolicy Orchestrator con un servidor de Threat Intelligence Exchange conectado en el ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicy Orchestrator. 2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en el evento. 3 Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE. 4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat Intelligence Exchange. 5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú desplegable Acciones y seleccione una opción para abrir su página de ESM. 6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones). Véase también Integración con Threat Intelligence Exchange en la página 221 222 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Consultas en dispositivos McAfee ePO sobre informes o vistas Es posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si están integrados con McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono Propiedades y, después, en Informes. 2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la sección 5. 3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular. 4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación, seleccione el elemento o la pregunta para la consulta. 5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee ePO que consultar. 6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en Aceptar. 7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccione los elementos que desee incluir en la pregunta y haga clic en Aceptar. 8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y guarde el informe. Consultas en dispositivos McAfee ePO para el enriquecimiento de datos Es posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos si están integrados con McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades después, haga clic en Enriquecimiento de datos. y, Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal. McAfee Enterprise Security Manager 9.6.0 Guía del producto 223 3 Configuración del ESM Configuración de dispositivos 3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después, seleccione los dispositivos en el campo Dispositivo. 4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación, haga clic en Finalizar. Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time for McAfee ePO Se puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee Real Time for McAfee ePO. Antes de empezar Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real Time for McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar. 2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO. 3 Seleccione los filtros en el panel Filtros: 4 a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para la consulta. b En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto. c Seleccione la acción de filtrado y escriba el valor. Haga clic en el icono Ejecutar consulta . Configuración de Nitro Intrusion Prevention System (Nitro IPS) El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en la red sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPS incluye un administrador de datos incrustado (empleado para la administración, la adquisición y el análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, la detección de anomalías. El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todo ello en función de un conjunto de reglas definido por el usuario que se especifica mediante un lenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewall completamente funcional controlado por reglas de firewall estándar del sector, el cual proporciona capacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar. Asistente de detección de anomalías Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si se han recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y una descripción de todas las variables disponibles en el dispositivo seleccionado. Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla que solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de la categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa 224 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin de elegir los mejores valores en su caso. El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo deseado. A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las variables que afectan a su funcionamiento: Regla Variables Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT, LARGE_INBOUND_BYTE_RATE_SECONDS Large inbound bytes LARGE_INBOUND_BYTES_LIMIT Large inbound network connections rate LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT, LARGE_INBOUND_PACKET_RATE_SECS Large inbound packet LARGE_INBOUND_PACKETS_LIMIT Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT, LARGE_OUTBOUND_BYTE_RATE_SECONDS Large outbound network connection rate LARGE_OB_CONN_RATE_BURST, LARGE_OB_CONN_RATE_LIMIT Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT, LARGE_OUTBOUND_PACKET_RATE_SECS Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT Long connection duration LONG_DURATION_SECONDS Véase también Edición de variables de detección de anomalías en la página 225 Generación de un Informe de análisis en la página 226 Edición de variables de detección de anomalías El Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías y proporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa. McAfee Enterprise Security Manager 9.6.0 Guía del producto 225 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile datos de flujo y haga clic en el icono Propiedades . 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar. Véase también Asistente de detección de anomalías en la página 224 Generación de un Informe de análisis en la página 226 Generación de un Informe de análisis El Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red. Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de una inspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valores correspondientes a los parámetros de reglas de anomalías según la tasa. Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado datos de flujo y haga clic en el icono Propiedades . 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para el informe. 4 Haga clic en Aceptar. Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles. Véase también Asistente de detección de anomalías en la página 224 Edición de variables de detección de anomalías en la página 225 Acceso a reglas de firewall y estándar Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver, exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales. Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor de directivas. 226 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de dispositivos 3 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en Reglas estándar. 2 Seleccione cualquiera de las opciones y haga clic en Aceptar. Véase también Reglas de firewall en la página 227 Páginas Reglas estándar o Reglas de firewall en la página 228 Reglas de firewall Las reglas de firewall se usan para detectar los eventos de red en función de la información de los paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS. La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También rastrean la velocidad y el tamaño del tráfico de red. Estos son los tipos de reglas de firewall: • Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada regla, consulte la sección de detalles en la parte inferior de la página. • Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IP interna reservada se detecta entrando en la red a través de un dispositivo, se activa la regla antifalsificación. • Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con origen o destino en una dirección IP o un puerto incluidos en la lista negra. • DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo. • IPv6: detecta el tráfico IPv6. • Port-Block (Bloqueo de puertos): bloquea ciertos puertos. Detección de anomalías Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos parámetros (véase Asistente de detección de anomalías). Excepciones de firewall Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de firewall. McAfee Enterprise Security Manager 9.6.0 Guía del producto 227 3 Configuración del ESM Configuración de dispositivos También se puede considerar una excepción como una excepción a los patrones definidos en otras excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la selección de la casilla. A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de excepciones. Véase también Acceso a reglas de firewall y estándar en la página 226 Adición de una regla de firewall personalizada en la página 516 Adición de excepciones de firewall en la página 518 Páginas Reglas estándar o Reglas de firewall Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver, exportar e importar reglas de firewall y estándar del dispositivo IPS. Tabla 3-118 Definiciones de opciones Opción Definición Leer Recuperar las reglas del dispositivo. Las reglas se almacenan en un búfer de la base de datos de ESM. Escribir Escribir las reglas de la copia de la base de datos de ESM almacenada en el búfer en el dispositivo. Ver Ver las reglas almacenadas actualmente en la copia de ESM almacenada en el búfer. Exportar Exportar las reglas de la copia de ESM almacenada en el búfer a un archivo local. Importar Importar las reglas del archivo local para sobrescribir la copia de ESM almacenada en el búfer. Si desea que estas reglas se almacenen en el dispositivo, haga clic en Escribir. Véase también Acceso a reglas de firewall y estándar en la página 226 Lista negra de dispositivo virtual o IPS La lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, los destinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si el dispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificación Incluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que el dispositivo incluya dicha configuración. La pantalla Editor de la lista negra incluye tres fichas: 228 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos • Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. • Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. • Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional. Recuerde lo siguiente cuando agregue entradas: • Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa Modificar. • Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. • Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. • Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o permanente. No obstante, las entradas de Exclusiones deben ser permanentes. • Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción. Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para garantizar el bloqueo de ciertos sitios web. Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra. El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos. Véase también Administración de la lista negra de IPS en la página 229 Configuración de inclusión automática en la lista negra en la página 231 Administración de la lista negra de IPS Es posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar, modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva y actualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones o resolver un nombre de host o dirección IP. McAfee Enterprise Security Manager 9.6.0 Guía del producto 229 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra | Editor. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones. 3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar. Véase también Lista negra de dispositivo virtual o IPS en la página 228 Configuración de inclusión automática en la lista negra en la página 231 Página Editor de la lista negra en la página 230 Página Editor de la lista negra Permite administrar los orígenes bloqueados, los destinos bloqueados y la configuración de la lista negra de exclusión. Tabla 3-119 Definiciones de opciones Opción Definición Incluir lista negra global Seleccione esta opción si desea agregar las entradas de la lista negra global a esta lista negra. 230 Ficha Orígenes bloqueados Permite administrar las direcciones IP de origen que se desea bloquear. Ficha Destinos bloqueados Permite administrar las direcciones IP de destino que se desea bloquear. Ficha Exclusiones Permite administrar la lista de direcciones IP que nunca se deben incluir en la lista negra de forma automática, como los servidores DNS o de otro tipo, o bien la estación de trabajo del administrador del sistema. Dirección IP A la hora de agregar un elemento a una lista, escriba la dirección IP. Búsqueda Permite buscar la descripción correspondiente a la dirección IP introducida. Agregar Tras escribir la dirección IP, haga clic aquí para agregarla a la lista. Puerto Escriba un número de puerto si desea restringir el efecto de la lista negra a un puerto de destino específico. La configuración predeterminada es cero (0), lo cual permite cualquier puerto. Modificar Puede cambiar la descripción de un elemento de lista negra existente y, después, hacer clic en esta opción. Descripción (Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda para localizar una descripción. A fin de cambiar la descripción de una dirección existente, realice los cambios y haga clic en Modificar. Duración Seleccione la cantidad de tiempo que debe durar la inclusión en la lista negra. Icono Escribir Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si sale de la página de lista negra antes de escribir los cambios, no se guardarán. Icono Leer Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y las exclusiones. Icono Quitar Permite quitar el elemento seleccionado de la lista negra. El campo Estado cambiará a Eliminar en la siguiente operación de escritura. Icono Ver eventos Permite generar un informe de eventos procedentes de las direcciones IP que los provocan. El informe se muestra a modo de vista en la consola. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Véase también Administración de la lista negra de IPS en la página 229 Configuración de inclusión automática en la lista negra La página Configuración de lista negra automática permite administrar las opciones de configuración de inclusión automática en la lista negra para el dispositivo. La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma independiente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra | Configuración. 2 Defina la configuración según proceda y haga clic en Aceptar. Véase también Lista negra de dispositivo virtual o IPS en la página 228 Administración de la lista negra de IPS en la página 229 Página Configuración de lista negra automática en la página 231 Página Configuración de lista negra automática Permite definir las opciones de configuración de lista negra automática para el dispositivo seleccionado. Tabla 3-120 Definiciones de opciones Opción Definición Las alertas de lista negra se deben activar cuando el recuento de eventos alcance Emplea el recuento de agregación de eventos para la inclusión en la lista negra después de que una regla se haya activado un número específico de veces. El valor predeterminado es 10. Para que la inclusión en la lista negra se produzca tras una sola infracción de una regla de inclusión automática en la lista negra, utilice el valor 1. Duración de lista negra automática Define la cantidad de tiempo que una dirección IP infractora debe permanecer en la lista negra antes de que se elimine. El valor se puede especificar en minutos, horas o días. Agregar a lista de Agrega el host infractor de un evento a las listas negras de orígenes y destinos destinos bloqueados si la bloqueados. Esto se debe a que algunos eventos son generados por el emisor respuesta activa la alerta de una conexión, mientras que otros los genera el host situado en el otro extremo de la conexión y que responde a la solicitud del emisor. Una vez agregado un host a la lista negra, los intentos de este host de enviar datos a través del dispositivo generarán uno de estos cuatro eventos: LISTA NEGRA Destino entrante (2000050), LISTA NEGRA Origen entrante (2000049), LISTA NEGRA Destino saliente (2000052) o LISTA NEGRA Origen saliente (2000051). El uso predeterminado de estos eventos es el bloqueo, lo que significa que todo el tráfico de los orígenes o destinos incluidos en la lista negra no pasará por el dispositivo. Sin embargo, la acción realizada para estos cuatro eventos de lista negra se puede modificar de la misma forma que en caso de cualquier otra regla. A estas cuatro reglas de lista negra específicas se puede acceder mediante la opción Firewall del panel Tipos de regla del Editor de directivas. Véase también Configuración de inclusión automática en la lista negra en la página 231 McAfee Enterprise Security Manager 9.6.0 Guía del producto 231 3 Configuración del ESM Configuración de dispositivos Configuración de McAfee Vulnerability Manager McAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciar un análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido un dispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM. McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Vulnerability Manager. Véase también Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la página 232 Ejecución de análisis de McAfee Vulnerability Manager en la página 232 Configuración de la conexión con McAfee Vulnerability Manager en la página 233 Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager Es necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes de configurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone Certificate Manager.exe. 2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL). 3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver. 4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para generar la frase de contraseña y un archivo .zip. 5 Cargue el archivo .zip y copie la frase de contraseña generada. Véase también Configuración de McAfee Vulnerability Manager en la página 232 Ejecución de análisis de McAfee Vulnerability Manager en la página 232 Configuración de la conexión con McAfee Vulnerability Manager en la página 233 Ejecución de análisis de McAfee Vulnerability Manager La página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se han ejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, una API comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posible iniciar un nuevo análisis desde esta página. 232 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis. 2 Haga clic en Nuevo análisis y rellene la información solicitada. 3 Haga clic en Aceptar. Una vez terminado el análisis, se agrega a la lista de análisis. Véase también Configuración de McAfee Vulnerability Manager en la página 232 Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la página 232 Configuración de la conexión con McAfee Vulnerability Manager en la página 233 Configuración de la conexión con McAfee Vulnerability Manager Es necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin de extraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como para que la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager. Antes de empezar Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee Vulnerability Manager. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el dispositivo se comunica con ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión. 2 Rellene la información solicitada y, después, haga clic en Aceptar. Véase también Configuración de McAfee Vulnerability Manager en la página 232 Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la página 232 Ejecución de análisis de McAfee Vulnerability Manager en la página 232 Configuración de McAfee Network Security Manager Es posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permite acceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y desea acceder a él desde el ESM. Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores del dispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación del sistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Network Security Manager. McAfee Enterprise Security Manager 9.6.0 Guía del producto 233 3 Configuración del ESM Configuración de dispositivos Véase también Adición de una entrada de lista negra en la página 234 Adición o eliminación de una entrada de lista negra previamente borrada en la página 235 Recopilación de capa 7 en un dispositivo NSM en la página 235 Adición de una entrada de lista negra McAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La página Lista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página, es posible agregar, editar y eliminar elementos de la lista negra. Es necesario ser superusuario para utilizar la función de lista negra. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y seleccione un sensor. 2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global. El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, la dirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager. Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario eliminar los elementos manualmente. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. La entrada aparecerá en la lista negra hasta que caduque. Véase también Configuración de McAfee Network Security Manager en la página 233 Adición o eliminación de una entrada de lista negra previamente borrada en la página 235 Recopilación de capa 7 en un dispositivo NSM en la página 235 Página Agregar entrada de lista negra de NSM en la página 234 Página Agregar entrada de lista negra de NSM Permite definir la configuración para una entrada de la lista negra. Tabla 3-121 Definiciones de opciones Opción Definición Dirección IP Escriba la dirección IP que desee incluir en la lista negra. Duración Seleccione la cantidad de tiempo que desee que esta dirección permanezca en la lista negra. Descripción Escriba una descripción para esta entrada. Véase también Adición de una entrada de lista negra en la página 234 234 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de dispositivos Adición o eliminación de una entrada de lista negra previamente borrada Cualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tiene una duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negra cuando se realiza una consulta en McAfee Network Security Manager (Manager). Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en el ESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra. 2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en Agregar o en Eliminar. 3 Haga clic en Aplicar o en Aceptar. Véase también Configuración de McAfee Network Security Manager en la página 233 Adición de una entrada de lista negra en la página 234 Recopilación de capa 7 en un dispositivo NSM en la página 235 Recopilación de capa 7 en un dispositivo NSM Los datos de capa 7 se introducen en la base de datos de NSM una vez escrito el evento de NSM en su base de datos. No se insertan en el sistema como parte del evento. Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción del evento a fin de incluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no solo a los que tienen datos de capa 7 asociados. Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM: • Adición de un dispositivo McAfee NSM a la consola • Configuración de un dispositivo NSM • Adición de un origen de datos NSM Adición de un dispositivo McAfee NSM Al agregar el dispositivo NSM al ESM (véase Adición de dispositivos a la consola de ESM), seleccione Activar recopilación de capa 7 y establezca el retraso en la cuarta página del Asistente de adición de dispositivos. Configuración de un dispositivo NSM Tras agregar un dispositivo NSM a la consola de ESM, puede establecer la configuración de conexión para el dispositivo (véase Cambio de la conexión con ESM). Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Conexión. Adición de un origen de datos NSM Para agregar un origen de datos NSM a un receptor (véase Adición de un origen de datos), seleccione McAfee en el campo Proveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en el campo Modelo de origen de datos. Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Agregar origen de datos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 235 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Configuración de McAfee Network Security Manager en la página 233 Adición de una entrada de lista negra en la página 234 Adición o eliminación de una entrada de lista negra previamente borrada en la página 235 Configuración de los servicios auxiliares Entre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocolo Network Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que se comuniquen con el ESM. Contenido Información general del sistema Opciones de configuración del servidor de Remedy Detención de la actualización automática del Árbol de sistemas de ESM Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Configuración de las opciones de red Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP Información general del sistema En la página Propiedades del sistema | Información del sistema , se puede ver información general sobre el sistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventos que se han producido en el sistema o los dispositivos. Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado de una actualización de reglas o de una copia de seguridad del sistema. • Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y su estado operativo actual. • La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas funciones. El estado OK significa que la base de datos funciona de la forma normal. • Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las Propiedades del sistema. • Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de copia de seguridad y restauración. • En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba automática de FIPS, así como su estado. • Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento. Véase también Página Información del sistema en la página 237 236 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Página Información del sistema Permite ver información general sobre el sistema y el estado de las diversas funciones. Esto puede resultar útil cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado actual de una actualización de reglas o de una copia de seguridad del sistema. Tabla 3-122 Definiciones de opciones Opción Definición Sistema El tipo de dispositivo, la versión del software y el número de compilación, y el ID de equipo, que es un número exclusivo asignado a cada dispositivo. ID de cliente El número que se le asigna cuando configura sus credenciales permanentes en McAfee. Hardware Información sobre el hardware y la memoria. Número de serie El número de serie del fabricante de este dispositivo. Reloj del sistema (GMT) La fecha y la hora en que se abrió o actualizó por última vez la página Propiedades del sistema. Si hace clic en el vínculo, podrá realizar cambios en el reloj del sistema y la configuración de NTP. Sincronizar relojes de dispositivos Permite sincronizar la hora del ESM y los servidores NTP con la de los dispositivos. Actualización de reglas La última vez que se actualizaron las reglas, cómo se actualizaron y, en caso de no haber configurado las credenciales permanentes, cuándo caduca la licencia (véase Comprobación de la existencia de actualizaciones de reglas u Obtención y adición de credenciales de actualización de reglas). Eventos, flujos y registros La última vez que el sistema comprobó la existencia de eventos, flujos y registros, así como cuándo volverá a hacerlo. Puede hacer clic en el vínculo para descargarlos inmediatamente o configurar la comprobación automática (véase Eventos, flujos y registros). Copia de seguridad y restauración La última vez que se realizó una copia de seguridad del sistema, y si se hizo de forma manual o automática. Haga clic en el vínculo para definir la configuración de copia de seguridad y restauración (véase Copia de seguridad y restauración de la configuración del sistema). Estado de base de datos El estado de la base de datos. Si se está realizando alguna función, como por ejemplo la reconstrucción de la base de datos o una reconstrucción en segundo plano, muestra el estado de esa función. El estado OK significa que funciona de la forma normal. Actualizar información del sistema Actualiza los datos que aparecen en la página. Informes de resumen de dispositivos Muestra los informes Recuento de tipos de dispositivos y Hora del evento. Es posible exportar un archivo .csv con estos datos. Véase también Información general del sistema en la página 236 Opciones de configuración del servidor de Remedy Si utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se pueda comunicar con él. Antes de empezar Configure el sistema Remedy. McAfee Enterprise Security Manager 9.6.0 Guía del producto 237 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada | Remedy. 2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic en Aceptar. Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con la información introducida en esta página. Véase también Página Configuración de Remedy en la página 238 Página Configuración de Remedy Permite configurar el Servidor de correo electrónico de Remedy para que el ESM se pueda comunicar con el sistema Remedy. Tabla 3-123 Definiciones de opciones Opción Definición Host Escriba el host del sistema Remedy. Puerto Cambie el número de puerto, si procede. Usar TLS Seleccione esta opción si desea usar TLS como protocolo de cifrado. Nombre de usuario Escriba el nombre de usuario del sistema Remedy, en caso de ser necesario. Contraseña Escriba la contraseña del sistema Remedy, en caso de ser necesaria. Dirección de origen Escriba la dirección de correo electrónico del remitente del mensaje de Remedy. Dirección de destino Escriba la dirección de correo electrónico a la que se enviará el mensaje de Remedy. Véase también Opciones de configuración del servidor de Remedy en la página 237 Detención de la actualización automática del Árbol de sistemas de ESM El Árbol de sistemas de ESM se actualiza automáticamente cada cinco minutos. Puede detener esta actualización automática si es necesario. Antes de empezar Es necesario disponer de derechos de Administración del sistema para cambiar esta configuración. Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si tiene muchos dispositivos en el ESM, esto puede interferir con el acceso a la página Propiedades de los dispositivos. 238 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades . Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas. Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos en la barra de herramientas de acciones del Árbol de sistemas. , situado Definición de la configuración de los mensajes Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog. ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo de transporte para transmitir datos entre los administradores y los agentes. En una configuración SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una captura distinta. Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada línea de los resultados de la consulta organizados mediante campos separados por comas. Véase también Conexión con el servidor de correo en la página 239 Administración de destinatarios en la página 240 Adición de grupos de destinatarios de correo electrónico en la página 241 Creación de plantillas de mensajes de alarma en la página 348 Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Administración de los destinatarios de alarmas en la página 351 Conexión con el servidor de correo Configure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajes de alarma e informes. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de usuarios. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. McAfee Enterprise Security Manager 9.6.0 Guía del producto 239 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades 2 . Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con el servidor de correo. Opción Descripción Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico. Usar TLS Indique si desea usar el protocolo de cifrado TLS. Nombre de usuario y Contraseña Escriba el nombre de usuario y la contraseña para acceder al servidor de correo electrónico. Título Escriba un título genérico para todos los mensajes de correo electrónico enviados desde su servidor de correo, por ejemplo, la dirección IP de ESM, a fin de identificar qué ESM ha generado el mensaje. De Escriba su nombre. Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios de alarmas en la página 351). 3 Envíe un mensaje de correo electrónico de prueba para verificar la configuración. 4 Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios de alarmas en la página 351). 5 Haga clic en Aplicar o en Aceptar para guardar la configuración. Véase también Definición de la configuración de los mensajes en la página 239 Administración de destinatarios en la página 240 Adición de grupos de destinatarios de correo electrónico en la página 241 Administración de destinatarios Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de forma que es posible enviar un mensaje a varios destinatarios a la vez. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de correo electrónico. 2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos. 3 Haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleen destinatarios dentro del ESM. 240 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Definición de la configuración de los mensajes en la página 239 Conexión con el servidor de correo en la página 239 Adición de grupos de destinatarios de correo electrónico en la página 241 Adición de grupos de destinatarios de correo electrónico Agrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a la vez. Antes de empezar Los destinatarios y sus direcciones de correo electrónico deben estar presentes en el sistema (véase Adición de un usuario). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades . 2 Haga clic en Configuración de correo electrónico, después en Configurar destinatarios y, después, en Grupos de correo electrónico | Agregar. 3 Escriba un nombre para el grupo, seleccione los usuarios que formarán parte de él y haga clic en Aceptar. El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correo electrónico. Véase también Definición de la configuración de los mensajes en la página 239 Conexión con el servidor de correo en la página 239 Administración de destinatarios en la página 240 Configuración de NTP en un dispositivo Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP (Network Time Protocol). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | NTP. 3 Rellene la información solicitada y, después, haga clic en Aceptar. Procedimientos • Visualización del estado de los servidores NTP en la página 242 Es posible ver el estado de todos los servidores NTP del ESM. McAfee Enterprise Security Manager 9.6.0 Guía del producto 241 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Visualización del estado de los servidores NTP en la página 242 Página Configurar servidores NTP en la página 242 Página Configurar servidores NTP Permite administrar los servidores NTP para el dispositivo e indicar si se utilizarán servidores NTP para la sincronización de tiempo. Tabla 3-124 Definiciones de opciones Opción Definición Usar servidores NTP para sincronización de tiempo Seleccione esta opción para utilizar los servidores NTP a fin de sincronizar la hora del dispositivo en lugar de emplear el reloj del sistema. Tabla Ver los servidores NTP predeterminados y los que se han agregado al dispositivo. Columna Servidor NTP Haga clic en esta columna para agregar las direcciones IP de los servidores NTP que desee agregar al dispositivo. Se pueden agregar hasta diez servidores. Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP. Columnas Clave de autenticación e ID de clave Escriba la clave de autenticación y el ID de clave de cada uno de los servidores NTP (póngase en contacto con el administrador de red si no los conoce). Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha realizado cambios en la lista de servidores, deberá hacer clic en Aceptar para guardar los cambios y cerrar la página; después, vuelva a abrirla antes de hacer clic en Estado. Véase también Configuración de NTP en un dispositivo en la página 241 Visualización del estado de los servidores NTP Es posible ver el estado de todos los servidores NTP del ESM. Antes de empezar Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del sistema o Configuración de NTP en un dispositivo). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En el árbol de navegación del sistema, realice una de las siguientes acciones: • Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema. • En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y seleccione Configuración | NTP. Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar. Véase también Configuración de NTP en un dispositivo en la página 241 Página Estado de servidor NTP en la página 243 242 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Página Estado de servidor NTP Permite ver el estado de los servidores NTP. Si ha realizado cambios en la lista de servidores NTP de las páginas Reloj del sistema o Configurar servidores NTP, puede que los cambios tarden hasta 10 minutos en aparecer en esta página. Tabla 3-125 Definiciones de opciones Opción Definición Columna Servidor NTP Incluye las direcciones IP de los servidores NTP. Estas marcas pueden aparecer antes de la dirección: • * – Servidor al que se hace referencia • + – Seleccionado, incluido en el conjunto final • # – Seleccionado, la distancia supera el valor máximo • o – Seleccionado, con el uso de Pulso Por Segundo (PPS) • x – Marca de falso de origen • . – Seleccionado al final de la lista de candidatos • - – Descartado por el algoritmo de clúster Columna Accesible Sí significa que se puede acceder al servidor, y No que no se puede. Columna Autenticación Ninguna significa que no se han proporcionado las credenciales, Incorrecta significa que las credenciales no eran correctas y Sí significa que se han proporcionado las credenciales. Columna Condición La condición corresponde a la marca de la columna Servidor NTP. Candidato significa que es una opción posible, sys.peer significa que es la opción actual y rechazo significa que no resulta accesible. Si todos los servidores presentan el valor rechazo, es posible que la configuración de NTP se esté reiniciando. Véase también Visualización del estado de los servidores NTP en la página 242 Configuración de las opciones de red Configure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESM y las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, la configuración de SSH y la adición de rutas estáticas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de red. 2 Rellene la información para configurar la conexión con la red. 3 Haga clic en Aplicar o en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 243 3 Configuración del ESM Configuración de los servicios auxiliares Procedimientos • Configuración del puerto IPMI en el ESM o los dispositivos en la página 256 Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. • Configuración del control del tráfico de red en el ESM en la página 258 Defina un valor de salida de datos máximo para el ESM. • Configuración de DHCP en la página 262 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. • Configuración de DHCP en una VLAN en la página 263 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Página Configuración de red Permite definir la configuración para la conexión entre el ESM y la red. Tabla 3-126 Definiciones de opciones Ficha Opción Definición Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en Configuración. Siempre se debe tener activada al menos una interfaz. Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras intentan obtener los certificados a través de IPv6. Para solucionar este problema, agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en lugar de la dirección IPv6 para navegar al ESM. Activar SSH (no disponible en el modo FIPS) Puerto SSH Seleccione esta opción para permitir las conexiones SSH. Se debe definir al menos una interfaz para activar SSH. ESM y los dispositivos emplean una versión de SSH compatible con FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede descargarla en http://www.chiark.greenend.org.uk/~sgtatham/ putty/download.html. Introduzca el puerto concreto mediante el que se permite el acceso. Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos de la lista se comunicarán. Para detener la comunicación, elimine el ID de equipo de la lista. Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6. • Si el valor es Desactivado, el modo IPv6 estará desactivado. • Si selecciona Automático, se desactivan los campos de IPv6 Principal y Secundario. Cada host determinará su dirección a partir del contenido de las publicaciones de usuario recibidas. Se emplea el estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. • Si selecciona Manual, se activan los campos de IPv6 Principal y Secundario. Agregue las direcciones IPv6 en estos campos. 244 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-126 Definiciones de opciones (continuación) Ficha Opción Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos. Mensajes de ICMP Definición Seleccione cualquiera de las siguientes opciones para ICMP. • Redirigir: el ESM ignora los mensajes de redirección. • Destino inaccesible: el ESM genera un mensaje cuando un paquete no se puede entregar en su destino por motivos distintos a la congestión. • Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/difusión por proximidad. Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesita administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI, agregue la configuración de IPMI. • Activar configuración IPMI: permite el acceso a los comandos de IPMI. • VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la red para el puerto IPMI. Proxy Tráfico Rutas estáticas Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM. IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona IPv4. Dirección IP, Puerto, Nombre de usuario, Contraseña Introduzca la información necesaria para conectar con el servidor proxy. Autenticación básica Permite implementar la comprobación de autenticación básica. Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío del tráfico saliente. Tabla Permite ver los controles que se han configurado. Columna Red Permite ver las direcciones de las redes en las que el sistema controla el tráfico saliente en función de lo que se ha definido. Columna Máscara (Opcional) Ver las máscaras para las direcciones de red. Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red. Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar. Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Cuando se agrega una ruta estática, el cambio se inserta en el ESM y entra en vigor inmediatamente al hacer clic en Aplicar. Tras la aplicación de los cambios, el ESM se reinicializa y, por tanto, se pierden todas las sesiones en curso. Véase también Configuración del puerto IPMI en el ESM o los dispositivos en la página 256 McAfee Enterprise Security Manager 9.6.0 Guía del producto 245 3 Configuración del ESM Configuración de los servicios auxiliares Ficha Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM. Tabla 3-127 Definiciones de opciones Opción Definición IPv4 o IPv6 (no disponible en todas las fichas Proxy) Si dispone de una interfaz que emplea una dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona IPv4. Dirección IP, Puerto, Nombre de usuario, Contraseña Introduzca la información necesaria para conectar con el servidor proxy. Autenticación básica Permite implementar la comprobación de autenticación básica. Ficha Red de los dispositivos Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página dependen del dispositivo. Tabla 3-128 Definiciones de opciones de la ficha Red Opción Definición Configuración de NIC de omisión Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico, incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el modo IDS no tienen capacidad de omisión, de forma que su estado será Funcionamiento normal. Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen y destino en el dispositivo. ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y descargar los archivos de registro de ELM almacenados para los dispositivos. Si dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes: 1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666. Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP 5.11, FileZilla, CoreFTP LE o FireFTP. HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen la dirección del tráfico de flujo que recopila el dispositivo. Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de red también. Si introduce una dirección IPv6, incluya la máscara de red en la dirección o, de lo contrario, recibirá un mensaje de error. A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista desplegable>), agregue más interfaces. Para activar el enlace de NIC, seleccione Administración en el primer campo y, después, escriba la dirección IP y la máscara de red correspondientes al NIC principal (primera línea del cuadro de diálogo). 246 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-128 Definiciones de opciones de la ficha Red (continuación) Opción Definición Modo IPv6 Seleccione si se debe activar o no el modo IPv6. • Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6 estarán desactivados. • Automático: el modo IPv6 está activado. Cada host determinará su dirección a partir del contenido de las publicaciones de usuario recibidas. Se emplea el estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los campos correspondientes a IPv6 estarán desactivados. • Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán activados. Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el dispositivo Nitro IPS. Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el dispositivo. Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como interfaces de administración. Véase también Configuración de interfaces de red en la página 250 Página Propiedades de interfaz Permite establecer la configuración de Interfaz 1 o Interfaz 2. Tabla 3-129 Definiciones de las opciones Opción Definición DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si es necesario restablecer las direcciones IP de la red. Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se cambia la dirección IP del dispositivo redundante. IPv4, Máscara de red, IPv6 Escriba las direcciones IP y una máscara de red para IPv4. Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras intentan obtener los certificados a través de IPv6. Para solucionar este problema, agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C: \WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en lugar de la dirección IPv6 para navegar al ESM. Gateway Introduzca el gateway que funciona con la configuración de red. Debe tratarse de una dirección IPv4. McAfee Enterprise Security Manager 9.6.0 Guía del producto 247 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-129 Definiciones de las opciones (continuación) Opción Definición Servidor DNS 1 y 2 Especifique al menos un servidor DNS. Sin un servidor DNS, el ESM no puede comprobar la existencia de actualizaciones de firmas y software en los servidores de McAfee. Las funciones tales como el correo electrónico y WHOIS también dejan de estar disponibles sin un servidor DNS válido. Se trata de campos Y/O para las direcciones IPv4 e IPv6. Es necesario tener una dirección IPv6 definida en Interfaz 1 o 2 a fin de usarla como dirección del servidor DNS. Configurar las VLAN Haga clic en Avanzada. y los alias • Si utiliza una VLAN, agréguela al ESM. • En caso de disponer de más de una dirección IP para un dispositivo de red, agregue un alias. Ficha Comunicación Permite definir la configuración de comunicación para la interfaz entre el dispositivo y el ESM. Los campos de esta página dependen del dispositivo. Tabla 3-130 Definiciones de opciones para la ficha Comunicación en el dispositivo receptor Opción Definición Puerto SNMP, Puerto de syslog, Puerto de sFlow Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la información del protocolo de entrada del origen de datos. El puerto 0 significa que la recopilación está desactivada. El receptor lleva a cabo la recopilación de syslog mediante UDP y TCP. Puerto TLS de syslog Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la información del protocolo TLS de entrada del origen de datos. El puerto predeterminado es 10514. El puerto 0 significa que la recopilación de syslog mediante TLS está desactivada. Cuando se agrega un origen de datos, se puede especificar que solo se acepte syslog mediante TLS de los datos para los que el puerto está activado. TLS solo admite certificados autofirmados. Puerto de MEF Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la información de MEF de entrada del origen de datos. El puerto predeterminado es 8081. El puerto 0 significa que la recopilación de MEF está desactivada. Todos los orígenes de datos MEF con la misma dirección IP deben marcarse como cifrados o sin cifrar. 248 Puerto IPFIX Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la información del protocolo IPFIX de entrada del origen de datos. El puerto predeterminado es 4739. El puerto 0, que es el predeterminado, indica que la recopilación de IPFIX está desactivada. Puertos de NetFlow Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la información del protocolo NetFlow de entrada del origen de datos. Esta lista puede contener varios puertos separados por comas. Un valor en blanco en este campo significa que la recopilación de NetFlow está desactivada. Dirección DHCP Un intervalo de direcciones IP DHCP que permite la recopilación de registros enviados a Event Receiver desde orígenes de datos DHCP contenidos en el intervalo. Un origen de datos DHCP puede presentar cualquier tipo de datos admitido y enviado al receptor a través del Recopilador de eventos de Windows de McAfee Labs. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Administración de interfaces de red La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección IP. Interfaz de administración Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo requieren el uso de una interfaz de administración: • Control completo de las tarjetas de red de omisión • Uso de la sincronización de hora NTP • Syslog generado por dispositivo • Notificaciones SNMP Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la comunicación hacia otra dirección IP o nombre de host de destino. No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y su seguridad podría ponerse en peligro. En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo. NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión (véase Configuración de NIC de omisión). Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Enlace de interfaz de ESM El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1 (activo-copia de seguridad). Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC. McAfee Enterprise Security Manager 9.6.0 Guía del producto 249 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Configuración de interfaces de red en la página 250 Adición de VLAN y alias en la página 252 Adición de rutas estáticas en la página 254 NIC de omisión en la página 255 Configuración de NIC de omisión en la página 255 Configuración de interfaces de red La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas opciones para cada dispositivo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces. 3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar. Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso. Véase también Administración de interfaces de red en la página 249 Adición de VLAN y alias en la página 252 Adición de rutas estáticas en la página 254 NIC de omisión en la página 255 Configuración de NIC de omisión en la página 255 Ficha Red de los dispositivos en la página 246 Ficha Avanzada de los dispositivos en la página 252 Página Interfaces avanzadas en la página 252 Ficha Red de los dispositivos Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página dependen del dispositivo. Tabla 3-131 Definiciones de opciones de la ficha Red Opción Definición Configuración de NIC de omisión Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico, incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el modo IDS no tienen capacidad de omisión, de forma que su estado será Funcionamiento normal. Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen y destino en el dispositivo. ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y descargar los archivos de registro de ELM almacenados para los dispositivos. Si dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes: 1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666. Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP 5.11, FileZilla, CoreFTP LE o FireFTP. 250 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-131 Definiciones de opciones de la ficha Red (continuación) Opción Definición HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen la dirección del tráfico de flujo que recopila el dispositivo. Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de red también. Si introduce una dirección IPv6, incluya la máscara de red en la dirección o, de lo contrario, recibirá un mensaje de error. A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista desplegable>), agregue más interfaces. Para activar el enlace de NIC, seleccione Administración en el primer campo y, después, escriba la dirección IP y la máscara de red correspondientes al NIC principal (primera línea del cuadro de diálogo). Modo IPv6 Seleccione si se debe activar o no el modo IPv6. • Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6 estarán desactivados. • Automático: el modo IPv6 está activado. Cada host determinará su dirección a partir del contenido de las publicaciones de usuario recibidas. Se emplea el estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los campos correspondientes a IPv6 estarán desactivados. • Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán activados. Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el dispositivo Nitro IPS. Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el dispositivo. Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como interfaces de administración. Véase también Configuración de interfaces de red en la página 250 McAfee Enterprise Security Manager 9.6.0 Guía del producto 251 3 Configuración del ESM Configuración de los servicios auxiliares Ficha Avanzada de los dispositivos Permite definir la configuración de red avanzada para el dispositivo seleccionado. Los campos de esta página varían en función del dispositivo con el que se trabaja. Tabla 3-132 Definiciones de opciones Opción Definición Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP. Redirigir: si se selecciona esta opción, el ESM ignora los mensajes de redirección. Destino inaccesible: si se selecciona, el ESM genera un mensaje cuando un paquete no se puede entregar en su destino por motivos distintos a la congestión. Activar ping: si se selecciona esta opción, el ESM envía un mensaje Echo Reply en respuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/ difusión por proximidad. Configuración IPMI Para administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI cuando hay un NIC IPMI conectado a un conmutador, agregue la configuración de IPMI. • Activar configuración IPMI: permite el acceso a los comandos de IPMI. • VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la red para el puerto IPMI. Véase también Configuración de interfaces de red en la página 250 Página Interfaces avanzadas Permite agregar VLAN y alias a la interfaz. Tabla 3-133 Definiciones de opciones Opción Definición Agregar alias Resalte la VLAN a la que desee agregar el alias y haga clic en esta opción. Esta opción no está disponible cuando se selecciona DHCP. Agregar VLAN Haga clic aquí para agregar una VLAN a la interfaz. Editar Resalte un alias o una VLAN en la tabla y haga clic aquí para cambiar la configuración. Eliminar Resalte un alias o una VLAN en la tabla y haga clic aquí para eliminarlos. Véase también Configuración de interfaces de red en la página 250 Adición de VLAN y alias Es posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los alias son pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de un dispositivo de red con más de una dirección IP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y, después, en la opción Configuración correspondiente al dispositivo. 2 252 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares 3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar. 4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias. 5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Véase también Administración de interfaces de red en la página 249 Configuración de interfaces de red en la página 250 Adición de rutas estáticas en la página 254 NIC de omisión en la página 255 Configuración de NIC de omisión en la página 255 Página Agregar alias en la página 253 Página Agregar VLAN en la página 253 Página Agregar alias Permite agregar un alias, que es un par de dirección IP y máscara de red, en caso de disponer de un dispositivo con más de una dirección IP. Tabla 3-134 Definiciones de opciones Opción Definición VLAN Ver la VLAN a la que pertenece este alias. Este campo se rellena previamente con el número de la VLAN a la que se va a agregar este alias. Si se trata de la VLAN Sin etiquetar, el número es el 0. Versión de IP Seleccione si la dirección IP tiene el formato IPv4 o IPv6. Dirección IP Escriba la dirección IP del alias. Máscara de red Si la dirección está en formato IPv4, escriba la máscara de red. Véase también Adición de VLAN y alias en la página 252 Página Agregar VLAN Permite agregar una VLAN a la interfaz. Tabla 3-135 Definiciones de opciones Opción Definición VLAN Introduzca un número para la VLAN. DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si es necesario restablecer las direcciones IP de la red. Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se cambia la dirección IP del dispositivo redundante. IPv4 o IPv6 Seleccione la versión de IP. La opción predeterminada es IPv4. Si tiene IPv6 configurado con el valor Manual o Automático en la página Configuración de red, el botón de opción IPv6 estará activado. Seleccione esta opción si la dirección IP está en formato IPv6. Al seleccionarla, se desactiva el campo Máscara de red. Dirección IP Escriba la dirección IP de la VLAN. Máscara de red Si la dirección IP está en formato IPv4, agregue la máscara de red. Véase también Adición de VLAN y alias en la página 252 McAfee Enterprise Security Manager 9.6.0 Guía del producto 253 3 Configuración del ESM Configuración de los servicios auxiliares Adición de rutas estáticas Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 Junto a la tabla Rutas estáticas, haga clic en Agregar. 4 Introduzca la información y, a continuación, haga clic en Aceptar. Véase también Administración de interfaces de red en la página 249 Configuración de interfaces de red en la página 250 Adición de VLAN y alias en la página 252 NIC de omisión en la página 255 Configuración de NIC de omisión en la página 255 Página Rutas estáticas en la página 254 Página Agregar ruta estática en la página 254 Página Rutas estáticas Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Si el ESM o los dispositivos necesitan rutas estáticas para comunicarse con la red, puede administrarlas en esta página. Tabla 3-136 Definiciones de opciones Opción Definición Tabla Rutas estáticas Permite ver las rutas estáticas del sistema. Agregar Agregar la información de una ruta estática. Editar Realizar cambios en la configuración de la ruta estática seleccionada. Quitar Eliminar la ruta estática seleccionada. Véase también Adición de rutas estáticas en la página 254 Página Agregar ruta estática Permite agregar una ruta estática a fin de proporcionar instrucciones sobre cómo llegar a un host o una red que no están disponibles a través del gateway predeterminado. Tabla 3-137 Definiciones de opciones Opción Definición IPv4 o IPv6 Indique si esta ruta estática corresponde al tráfico IPv4 o IPv6. Red y Gateway Escriba la dirección IP de red y gateway para la ruta. Máscara Seleccione la máscara. Véase también Adición de rutas estáticas en la página 254 254 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión. Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Enlace de interfaz de ESM El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1 (activo-copia de seguridad). Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC. Véase también Administración de interfaces de red en la página 249 Configuración de interfaces de red en la página 250 Adición de VLAN y alias en la página 252 Adición de rutas estáticas en la página 254 Configuración de NIC de omisión en la página 255 Configuración de NIC de omisión En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase todo el tráfico. Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de omisión, pero no cambiar la configuración. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Configuración | Interfaces. 3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte inferior. 4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración. 5 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 255 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Administración de interfaces de red en la página 249 Configuración de interfaces de red en la página 250 Adición de VLAN y alias en la página 252 Adición de rutas estáticas en la página 254 NIC de omisión en la página 255 Configuración del puerto IPMI en el ESM o los dispositivos Es posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos. Esto permite realizar varias acciones: • Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para el software IPMI. • Acceder a una máquina virtual basada en el kernel (KVM) de IPMI. • Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0. • Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de alimentación. • Restablecer la tarjeta IPMI. • Llevar a cabo un restablecimiento en caliente o en frío. Configuración del puerto IPMI en el ESM o los dispositivos Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga clic en el icono Propiedades 2 3 . Acceda a la ficha Configuración de red Avanzada. • En el ESM, haga clic en Configuración de red | Avanzada. • En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces | Opciones avanzadas Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway de IPMI. Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/ areca/system_bios_update/Contents‑README.txt. 4 Haga clic en Aplicar o en Aceptar. Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de configurar el IPMI. Véase también Página Configuración de red en la página 244 256 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Página Configuración de red Permite definir la configuración para la conexión entre el ESM y la red. Tabla 3-138 Definiciones de opciones Ficha Opción Definición Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en Configuración. Siempre se debe tener activada al menos una interfaz. Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras intentan obtener los certificados a través de IPv6. Para solucionar este problema, agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en lugar de la dirección IPv6 para navegar al ESM. Activar SSH (no disponible en el modo FIPS) Puerto SSH Seleccione esta opción para permitir las conexiones SSH. Se debe definir al menos una interfaz para activar SSH. ESM y los dispositivos emplean una versión de SSH compatible con FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede descargarla en http://www.chiark.greenend.org.uk/~sgtatham/ putty/download.html. Introduzca el puerto concreto mediante el que se permite el acceso. Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos de la lista se comunicarán. Para detener la comunicación, elimine el ID de equipo de la lista. Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6. • Si el valor es Desactivado, el modo IPv6 estará desactivado. • Si selecciona Automático, se desactivan los campos de IPv6 Principal y Secundario. Cada host determinará su dirección a partir del contenido de las publicaciones de usuario recibidas. Se emplea el estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. • Si selecciona Manual, se activan los campos de IPv6 Principal y Secundario. Agregue las direcciones IPv6 en estos campos. Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos. Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP. • Redirigir: el ESM ignora los mensajes de redirección. • Destino inaccesible: el ESM genera un mensaje cuando un paquete no se puede entregar en su destino por motivos distintos a la congestión. • Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/difusión por proximidad. McAfee Enterprise Security Manager 9.6.0 Guía del producto 257 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-138 Definiciones de opciones (continuación) Ficha Opción Definición Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesita administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI, agregue la configuración de IPMI. • Activar configuración IPMI: permite el acceso a los comandos de IPMI. • VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la red para el puerto IPMI. Proxy Tráfico Rutas estáticas Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM. IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona IPv4. Dirección IP, Puerto, Nombre de usuario, Contraseña Introduzca la información necesaria para conectar con el servidor proxy. Autenticación básica Permite implementar la comprobación de autenticación básica. Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío del tráfico saliente. Tabla Permite ver los controles que se han configurado. Columna Red Permite ver las direcciones de las redes en las que el sistema controla el tráfico saliente en función de lo que se ha definido. Columna Máscara (Opcional) Ver las máscaras para las direcciones de red. Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red. Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar. Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. Cuando se agrega una ruta estática, el cambio se inserta en el ESM y entra en vigor inmediatamente al hacer clic en Aplicar. Tras la aplicación de los cambios, el ESM se reinicializa y, por tanto, se pierden todas las sesiones en curso. Véase también Configuración del puerto IPMI en el ESM o los dispositivos en la página 256 Configuración del control del tráfico de red en el ESM Defina un valor de salida de datos máximo para el ESM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. 258 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 . En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades Haga clic en Configuración de red y, después, en la ficha Tráfico. La tabla presenta una lista de los controles existentes. 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. Véase también Ficha Tráfico en la página 56 Página Agregar tasa de rendimiento en la página 56 Ficha Tráfico Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío de tráfico. Tabla 3-139 Definiciones de las opciones Opción Definición Columna Red Permite ver las direcciones de las redes en las que el sistema controla el tráfico saliente en función de lo que se haya definido. Columna Máscara (Opcional) Ver las máscaras para las direcciones de red. Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red. Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar. Véase también Configuración del control de tráfico de la red en un dispositivo en la página 55 Configuración del control del tráfico de red en el ESM en la página 258 Página Agregar tasa de rendimiento Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío de tráfico saliente. Tabla 3-140 Definiciones de las opciones Opción Definición Red Escriba la dirección de la red en la que desee controlar el tráfico saliente. Máscara (Opcional) Seleccione una máscara para la dirección de red. Tasa Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por segundo para el envío de tráfico. Véase también Configuración del control de tráfico de la red en un dispositivo en la página 55 Configuración del control del tráfico de red en el ESM en la página 258 McAfee Enterprise Security Manager 9.6.0 Guía del producto 259 3 Configuración del ESM Configuración de los servicios auxiliares Uso de los nombres de host El nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar los nombres de host de forma que se asocien con sus correspondientes direcciones IP. En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, así como establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático. Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host inferior de los componentes de vista. , situado en la parte Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se agregan a la tabla de hosts. En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la página Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la siguiente vez que se selecciona la opción Mostrar nombres de host en una vista. La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la introducción de una dirección IP y un nombre de host individualmente, o bien a través de la importación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase Importación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menos tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca, pero es posible editarlo o quitarlo. Véase también Administración de los nombres de host en la página 260 Importación de una lista de nombres de host en la página 261 Administración de los nombres de host Lleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts, tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer el momento de caducidad de los hosts de aprendizaje automático. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts. 2 Seleccione una opción e introduzca la información solicitada. 3 Haga clic en Aplicar o en Aceptar. Véase también Uso de los nombres de host en la página 260 Importación de una lista de nombres de host en la página 261 Página Hosts en la página 261 Página Agregar host en la página 261 260 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Página Hosts Permite administrar la lista de nombres de host en el ESM. Tabla 3-141 Definiciones de opciones Opción Definición Agregar Permite agregar un nombre de host, o bien un nombre de host y su dirección IP. Se agregará a la tabla Hosts. Editar Cambiar el nombre de host asociado con una dirección IP. Quitar Eliminar el elemento seleccionado de la tabla. Búsqueda Permite buscar el nombre de host correspondiente a una dirección IP. Esto resulta útil cuando se configura la información para una red interna. Cuando la búsqueda finaliza, los resultados aparecen en la tabla. Actualizar hosts Actualizar la tabla para reflejar los cambios realizados en la lista y las entradas caducadas. Importar Importar una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase Importación de una lista de nombres de host). Las entradas caducan después de Establezca la cantidad de tiempo que desea que los nombres de host de aprendizaje automático permanezcan en la tabla. Si no desea que caduquen, seleccione cero (0) en todos los campos. Véase también Administración de los nombres de host en la página 260 Página Agregar host Permite agregar un host individual a la tabla de hosts. Tabla 3-142 Definiciones de opciones Opción Definición Nombre de host Escriba un nombre para el host. Puede ser una cadena de hasta 100 caracteres. Dirección IP Escriba la dirección IP del host en notación IPv4 o IPv6 válidas. Cabe la posibilidad de incluir una máscara. Véase también Administración de los nombres de host en la página 260 Importación de una lista de nombres de host Es posible importar un archivo de texto que contenga las direcciones IP y los correspondientes nombres de host a la tabla de hosts. Antes de empezar Cree el archivo delimitado por tabulaciones de direcciones IP y nombres de host. Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar en formato IPv4 o IPv6. Por ejemplo: 102.54.94.97 rhino.acme.com 08c8:e6ff:0100::02ff x.acme.com McAfee Enterprise Security Manager 9.6.0 Guía del producto 261 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts | Importar. 2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que se encuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la página Duplicados aparecerán los registros duplicados. • Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo en la columna Uso y haga clic en Aceptar. • Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic en Aceptar. Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondiente a estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán. Véase también Uso de los nombres de host en la página 260 Administración de los nombres de host en la página 260 Configuración de DHCP El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. Los alias se desactivan cuando se activa DHCP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades 2 3 . Siga uno de los procedimientos siguientes: • En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. • En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. 4 262 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Configuración de DHCP en una VLAN El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades 2 . Siga uno de los procedimientos siguientes: • En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. • En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. 3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada. 4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP. 5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. Sincronización de la hora del sistema Ya que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, es importante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionar que el ESM y los dispositivos se sincronicen con un servidor NTP. Véase también Configuración de la hora del sistema en la página 263 Sincronización de los relojes de dispositivos en la página 264 Configuración de la hora del sistema Antes de empezar Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves de autorización y sus ID de clave. McAfee Enterprise Security Manager 9.6.0 Guía del producto 263 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar. Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP. La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puede acceder de nuevo a la lista de servidores NTP y comprobar su estado. Véase también Sincronización de la hora del sistema en la página 263 Página Reloj del sistema en la página 264 Página Reloj del sistema Permite configurar el reloj del sistema o seleccionar servidores NTP para la sincronización horaria del ESM. Tabla 3-143 Definiciones de opciones Opción Definición Establecer la hora del sistema de ESM (GMT) en Si no utiliza un servidor NTP para sincronizar la hora del sistema, asegúrese de que la fecha y la hora se configuren como GMT. Usar servidores NTP para sincronización de tiempo Seleccione esta opción para utilizar servidores NTP a fin de sincronizar la hora del sistema en lugar de emplear el reloj del sistema. Columna Servidor NTP Es posible agregar las direcciones IP de los servidores NTP haciendo clic en esta columna. Se pueden agregar hasta diez servidores. Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP. Columnas Clave de autenticación e ID de clave Escriba la clave de autenticación y el ID de clave de cada uno de los servidores NTP (póngase en contacto con el administrador de red si no los conoce). Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha realizado cambios en la lista de servidores, deberá hacer clic en Aceptar para guardar los cambios y cerrar la página; después, vuelva a abrirla antes de hacer clic en Estado. Véase también Configuración de la hora del sistema en la página 263 Sincronización de los relojes de dispositivos Es posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datos generados por los diversos sistemas reflejen la misma configuración. 264 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo. Se le informará cuando finalice la sincronización o en caso de que exista algún problema. 2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página Información del dispositivo. Véase también Sincronización de la hora del sistema en la página 263 Instalación de un nuevo certificado El ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. La mayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificado no se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para el ESM, deberá instalarlo. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Administración de claves y, después, en Certificado. 3 Haga su selección y, a continuación, haga clic en Cerrar. Véase también Página Administrar certificado en la página 265 Página Administrar certificado Permite instalar un certificado SSL en el ESM. Opción Definición Cargar certificado Instale el certificado, la clave y los archivos de cadena opcionales, en caso de disponer de ellos. Se le pedirá que cargue el archivo .crt, después el archivo .key y, por último, los archivos de cadena. Filtro de certificado autofirmado Genere e instale un certificado de seguridad autofirmado para el ESM. Haga clic en Generar e introduzca la información en la página Administrar certificado. Haga clic en Aceptar y, después, en Generar. Solicitud de firma de certificado Genere una solicitud de certificado que enviar a una autoridad de certificación para su firma. • Haga clic en Generar, introduzca la información en la página Administrar certificado y, después, haga clic en Aceptar. • Descargue el archivo .zip que contiene un archivo .crt y otro .key. • Extraiga el archivo .crt y envíelo a la autoridad de certificación. Regenerar certificados de McAfee predeterminados Regenere el certificado original. McAfee Enterprise Security Manager 9.6.0 Guía del producto 265 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Instalación de un nuevo certificado en la página 265 Configuración de perfiles Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de perfiles. 2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil. 3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información solicitada. 4 Haga clic en Aceptar. Véase también Página Administrador de perfiles en la página 266 Página Agregar perfil del sistema en la página 267 Ficha Comandos remotos en la página 268 Página Comando remoto en la página 268 Página Administrador de perfiles Permite administrar los perfiles del sistema para utilizarlos en el reenvío de eventos, la configuración de orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y los recursos compartidos remotos. Tabla 3-144 Definiciones de opciones Opción Definición Tabla Perfiles del sistema Ver los perfiles que hay actualmente en el sistema. Agregar Permite agregar un perfil. Editar Cambiar el perfil seleccionado. Quitar Eliminar el perfil seleccionado. Véase también Configuración de perfiles en la página 266 266 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Página Agregar perfil del sistema Agregue un perfil de sistema para poder utilizarlo en el reenvío de eventos, la configuración de orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y los recursos compartidos remotos. Tabla 3-145 Definiciones de opciones Opción Definición Contraseña de autenticación Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará activo. Escriba la contraseña para el protocolo de autenticación seleccionado en el campo Protocolo de autenticación. Protocolo de autenticación Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1. SHA1 y SHA hacen referencia al mismo tipo de protocolo. Nombre de comunidad Escriba la cadena de comunidad de la captura SNMP. Compresión En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar la compresión. Cifrado En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar el cifrado. ID de motor Introduzca el ID de motor SNMPv3 del remitente de las capturas. No es un campo obligatorio. Registros de eventos Los registros de eventos de WMI predeterminados son SYSTEM, APPLICATION y SECURITY, pero se admiten otros registros. A la hora de introducir nombres adicionales, recuerde que se distingue entre mayúsculas y minúsculas, deben separarse mediante comas y no deben existir espacios entre ellos. Es necesario disponer de acceso a fin de leer los registros. Solo se pueden extraer los registros de seguridad si se es administrador. Es posible extraer registros de orígenes de datos WMI sin privilegios de administrador si se configuran correctamente. Función Seleccione la función a la que se enviará el mensaje de reenvío de eventos. Intervalo Seleccione el intervalo en minutos de comprobación del proveedor WMI en busca de eventos nuevos. Dirección IP Captura SNMP: escriba la dirección IP del servidor de eEye que envía información de capturas. Reenvío de eventos: escriba la dirección IP a la que se reenviarán los eventos. Contraseña La contraseña utilizada para conectar con el proveedor WMI. Protocolo de privacidad Si selecciona authPriv en el campo Nivel de seguridad correspondiente a SNMP, este campo estará activo. Seleccione DES o AES. En el modo FIPS, la única opción disponible es AES. Agente de perfil Seleccione el agente para este perfil. Los campos restantes variarán en función de lo que se seleccione en este campo. Nombre de perfil Escriba un nombre descriptivo para este perfil. Tipo de perfil Seleccione el tipo de perfil. Los campos restantes de esta página variarán en función de lo que se seleccione en este campo. Su uso es evidente en la mayoría de los casos. Puerto Cambie el puerto de conexión si el predeterminado no es correcto. Protocolo Seleccione el protocolo de transporte. Dirección IP remota, Punto de montaje remoto, Ruta remota Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta información para el dispositivo de almacenamiento. McAfee Enterprise Security Manager 9.6.0 Guía del producto 267 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-145 Definiciones de opciones (continuación) Opción Definición Nivel de seguridad Seleccione el nivel de seguridad de este perfil de SNMPv3. • noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad • authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad • authPriv: con protocolo de autenticación y protocolo de privacidad Los campos Autenticación y Privacidad se activarán en función del nivel de seguridad seleccionado. Enviar paquete Seleccione esta opción si desea enviar el paquete de evento. Gravedad Seleccione la gravedad de la información reenviada. Nombre de usuario El nombre de usuario utilizado para conectar con el proveedor WMI. En el caso de los usuarios de dominio, introduzca el nombre de usuario con el formato dominio\usuario. Véase también Configuración de perfiles en la página 266 Ficha Comandos remotos Permite administrar los perfiles de comandos remotos para poder ejecutarlos en una vista o una alarma. Las secuencias de comandos tienen la capacidad de hacer referencia a variables desde consultas o eventos. Tabla 3-146 Definiciones de opciones Opción Definición Tabla Comandos remotos Ver los comandos remotos que hay disponibles actualmente en el sistema. Agregar Agregar un nuevo comando remoto. Editar Cambiar el comando remoto seleccionado. Quitar Eliminar el comando remoto seleccionado. Véase también Configuración de perfiles en la página 266 Página Comando remoto Las opciones de configuración de comando remoto se emplean para ejecutar un comando en cualquier dispositivo que acepte conexiones SSH, excepto los dispositivos de McAfee del ESM. Si agrega un perfil, podrá acceder a él siempre que necesite agregar un comando remoto. Tabla 3-147 Definiciones de opciones 268 Opción Definición Nombre Escriba un nombre para este perfil de comando remoto. Descripción Describa lo que hace este comando. Tipo Seleccione el tipo de comando remoto del que se trata. Zona horaria Seleccione la zona horaria que se utilizará. Formato de fecha Seleccione el formato para la fecha. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-147 Definiciones de opciones (continuación) Opción Definición Host, Puerto, Nombre de usuario, Contraseña Escriba la información correspondiente a la conexión SSH. Cadena de comando Escriba la cadena de comando para la conexión SSH. Para insertar variables en la cadena de comando, haga clic en el icono Insertar variable y seleccione las variables. Véase también Configuración de perfiles en la página 266 Configuración de SNMP Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/ inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos, recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del comando snmpwalk. SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS). Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado de mantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a un ESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todos los appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivo y de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee). Véase también Configuración de las opciones de SNMP en la página 269 Configuración de una captura SNMP para la notificación de fallos de alimentación en la página 272 SNMP y la MIB de McAfee en la página 273 Extracción de la MIB de ESM en la página 278 Configuración de las opciones de SNMP Configure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios con nombres que no incluyan espacios pueden realizar consultas SNMP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración SNMP. 2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 269 3 Configuración del ESM Configuración de los servicios auxiliares Véase también Configuración de SNMP en la página 269 Configuración de una captura SNMP para la notificación de fallos de alimentación en la página 272 SNMP y la MIB de McAfee en la página 273 Extracción de la MIB de ESM en la página 278 Página Configuración SNMP en la página 270 Página Configuración SNMP en la página 271 Página Configuración SNMP Permite configurar las opciones empleadas por el ESM para el tráfico SNMP. Tabla 3-148 Definiciones de opciones Ficha Opción Definición Solicitudes SNMP Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico. Aceptar Seleccionar los tipos de capturas que se aceptarán. Permitir SNMPv1/2c Seleccione esta opción si desea permitir el tráfico SNMP de la versión 1 y la versión 2, y escriba el tipo de comunidad. Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de la versión 3, y seleccione el nivel de seguridad, el protocolo de autenticación y el protocolo de privacidad. Direcciones IP de confianza Ver las direcciones IP que el ESM permite o considera de confianza. Es posible agregar direcciones nuevas y editar o eliminar las existentes. La dirección IP puede incluir una máscara. Ver ID de dispositivos Ver una lista de los ID de dispositivo que se pueden usar al enviar solicitudes SNMP. Ver MIB Ver la MIB (Management Information Base, base de datos de información de administración) de McAfee, la cual define los identificadores de objeto (OID) de cada objeto o característica de interés. Puerto de captura En la ficha Capturas SNMP, establezca el puerto por el que debe pasar el tráfico de captura en frío/en caliente, así como el tráfico de entrada de lista negra y de vínculo activo/inactivo. Capturas de vínculo activo/inactivo Seleccione esta opción si desea que se envíen capturas de vínculo activo/inactivo. Si selecciona esta función y emplea varias interfaces, se le notificará cuando una interfaz deje de funcionar, así como cuando vuelva a estar activa. Capturas SNMP El tráfico de captura en frío/en caliente se permite de forma automática. Se genera una captura de inicio en frío siempre que se reinicia el servicio SNMP. El servicio SNMP se reinicia cuando cambia la configuración de SNMP, se modifica un usuario, se modifica un grupo, un usuario inicia sesión con autenticación remota, se reinicia el ESM, se reinicia cpservice, y en otras situaciones. Se genera una captura de inicio en caliente cuando se reinicia el sistema. Capturas de base de datos activa/inactiva Seleccione esta opción si desea que se envíe una captura SNMP cuando la base de datos (cpservice, IPSDBServer) se active o se desactive. Captura de error de Seleccione esta opción si desea que se envíe una captura SNMP registro de seguridad cuando no se escriba un registro en la tabla de registros. 270 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-148 Definiciones de opciones (continuación) Ficha Opción Definición Error de hardware general Seleccione esta opción si desea recibir una notificación cuando falle cualquiera de las fuentes de alimentación del ESM (DAS o hardware general). Esto contribuye a evitar el apagado del sistema debido a un fallo de alimentación. Destinos Seleccione los nombres de perfil de los sistemas a los que desee enviar las notificaciones. La tabla muestra todos los perfiles de captura SNMP disponibles en el sistema. Para editar esta lista, haga clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del Administrador de perfiles. Véase también Configuración de las opciones de SNMP en la página 269 Página Configuración SNMP Permite definir qué capturas SNMP se deben enviar, así como sus destinos. Ficha Opción Definición Solicitudes SNMP Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico. Aceptar Permite aceptar las solicitudes de estado de dispositivo. Permitir SNMPv1 Seleccione esta opción si desea permitir el tráfico SNMP de la versión 1 y la versión 2, y establezca la cadena de comunidad. Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de la versión 3, y seleccione el nivel de seguridad, el protocolo de autenticación y el protocolo de privacidad. Direcciones IP de confianza Permite ver las direcciones IP que el dispositivo permite o considera de confianza. Es posible agregar direcciones nuevas y editar o eliminar las existentes. La dirección IP puede incluir una máscara. Debe existir una dirección IP de confianza. Capturas SNMP Ver MIB Ver la MIB (Management Information Base, base de datos de información de administración) de McAfee, la cual define los identificadores de objeto (OID) de cada objeto o característica de interés. Puerto de captura Establezca el puerto por el que debe pasar el tráfico de captura en frío/en caliente, así como el tráfico de lista negra y de vínculo activo/ inactivo. Capturas de vínculo Seleccione esta opción para enviar capturas de vínculo activo/ activo/inactivo inactivo. Si selecciona esta función y emplea varias interfaces, se le notificará cuando una interfaz deje de funcionar, así como cuando vuelva a estar activa. El tráfico de captura en frío/en caliente se permite de forma automática. Se genera una captura de inicio en frío cuando se producen un cierre o un restablecimiento completos. Se genera una captura de inicio en caliente cuando se reinicia el sistema. Capturas de base de datos activa/ inactiva McAfee Enterprise Security Manager 9.6.0 Seleccione esta opción para enviar una captura SNMP cuando la base de datos (cpservice, IPSDBServer) se active o se desactive. Guía del producto 271 3 Configuración del ESM Configuración de los servicios auxiliares Ficha Opción Definición Captura de error de registro de seguridad Seleccione esta opción para enviar una captura SNMP cuando no se escriba un registro en la tabla de registros. Destinos Seleccione los nombres de perfil de los sistemas a los que desee enviar las notificaciones. La tabla muestra todos los perfiles de captura SNMP disponibles en el sistema. Para editar esta lista, haga clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del Administrador de perfiles. Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, establezca uno para la dirección IP compartida. Véase también Configuración de las opciones de SNMP en la página 269 Configuración de una captura SNMP para la notificación de fallos de alimentación Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos de alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptor de capturas SNMP). Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. 3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles. 4 Haga clic en Agregar e introduzca la información solicitada como sigue. • Tipo de perfil: seleccione Captura SNMP. • Dirección IP: escriba la dirección a la que desee enviar la captura. • Puerto: escriba 162. • Nombre de comunidad: escriba Público. Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad. 5 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles. El perfil se agregará a la tabla Destinos. 6 272 Seleccione el perfil en la columna Uso y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Configuración de los servicios auxiliares 3 Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de mantenimiento junto al dispositivo en el árbol de navegación del sistema. Véase también Configuración de SNMP en la página 269 Configuración de las opciones de SNMP en la página 269 SNMP y la MIB de McAfee en la página 273 Extracción de la MIB de ESM en la página 278 SNMP y la MIB de McAfee Es posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB (Management Information Base, base de datos de información de administración) de McAfee define el identificador de objeto (OID) de cada objeto o característica de interés. La MIB define grupos de objetos para: • Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Un receptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP de McAfee. • Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de datos SNMP de McAfee. • Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los dispositivos que administra, así como responder a ellas. • Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra. La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre las que se incluyen: • La acción realizada cuando se recibe una alerta • La dirección y el estado del flujo • Los tipos de orígenes de datos • Las acciones de lista negra La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information (SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a través de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso). Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de administración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los objetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelen llevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno o varios OID junto con la instancia concreta del OID. El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al siguiente: OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.2.1.2 Interno Nombre del dispositivo Nitro IPS 1.3.6.1.4.1.23128.1.3.2.2.2 2 Identificador único del ESM para el dispositivo Nitro IPS McAfee Enterprise Security Manager 9.6.0 Guía del producto 273 3 Configuración del ESM Configuración de los servicios auxiliares OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.2.3.2 1 La comunicación con Nitro IPS está disponible (1) o no está disponible (0) 1.3.6.1.4.1.23128.1.3.2.4.2 Ok Estado de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.5.2 off Estado de las NIC de omisión de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.6.2 Nitro IPS Modo de Nitro IPS (Nitro IPS o IDS) 1.3.6.1.4.1.23128.1.3.2.7.2 Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.2.8.2 MB 1010 Total de RAM de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.9.2 MB 62 RAM disponible 1.3.6.1.4.1.23128.1.3.2.10.2 MB 27648 Total de espacio de la unidad de disco duro particionado para la base de datos de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.11.2 MB 17408 Espacio libre de la unidad de disco duro disponible para la base de datos de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.12.2 Segundos desde 01/01/1970 120793661 Hora actual del sistema del dispositivo Nitro IPS 1.3.6.1.4.1.23128.1.3.2.13.2 7.1.3 20070518091421a Información de versión y compilación de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.14.2 ABCD:1234 ID de equipo de Nitro IPS 1.3.6.1.4.1.23128.1.3.2.15.2 Nitro IPS Número de modelo de Nitro IPS 00:00:00.0 (GMT) 1.3.6.1.4.1.23128.1.3.2.16.2 Alertas por minuto 140 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 1.3.6.1.4.1.23128.1.3.2.17.2 Flujos por minuto 165 Tasa de flujos (por minuto) durante un mínimo de 10 minutos Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP, el ESM. Los números significan lo siguiente: 274 • 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación de números de Internet (IANA). • 1.3.2: una solicitud de estado de Nitro IPS. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares • Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectos del estado de Nitro IPS. • El último número (2): la instancia concreta del OID, el ID de Nitro IPS. El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado. Las tablas siguientes muestran el significado de los OID del ESM y el receptor. Tabla 3-149 Estado de ESM OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM 1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible 1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Total de espacio de la unidad de disco duro particionado para la base de datos de ESM 1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad de disco duro disponible para la base de datos de ESM 1.3.6.1.4.1.23128.1.3.1.6 Segundos desde 1283888714 01/01/1970 00:00:0.0 (GMT) Hora actual del sistema en el ESM 1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación del ESM 1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo del ESM 1.3.6.1.4.1.23128.1.3.1.9 ESM Número de modelo del ESM Tabla 3-150 Estado del receptor OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nombre del receptor 1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único del ESM para el receptor 1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que la comunicación con el receptor está disponible (1) o no está disponible (0) 1.3.6.1.4.1.23128.1.3.3.4.x Aceptar Indica el estado del receptor 1.3.6.1.4.1.23128.1.3.3.5.x Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU 1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 Total de RAM 1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponible McAfee Enterprise Security Manager 9.6.0 Guía del producto 275 3 Configuración del ESM Configuración de los servicios auxiliares Tabla 3-150 Estado del receptor (continuación) OID de solicitud y respuesta Unidades Valor de respuesta Significado 1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Total de espacio de la unidad de disco duro particionado para la base de datos del receptor 1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espacio libre de la unidad de disco duro disponible para la base de datos del receptor 1.3.6.1.4.1.23128.1.3.3.10.x Segundos desde 01/01/1970 00:00:0.0 (GMT) 1283889234 Hora actual del sistema en el receptor 1.3.6.1.4.1.23128.1.3.3.11.x 7.1.3 20070518091421a Versión y compilación del receptor 1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de equipo del receptor 1.3.6.1.4.1.23128.1.3.3.13.x Receiver Número de modelo del receptor 1.3.6.1.4.1.23128.1.3.3.14.x Alertas por minuto 1 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 1.3.6.1.4.1.23128.1.3.3.15.x Flujos por minuto 2 Tasa de flujos (por minuto) durante un mínimo de 10 minutos x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema | Configuración SNMP y haga clic en Ver ID de dispositivos. Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos podría tener un aspecto similar al siguiente: 276 OID Valor Significado 1.3.6.1.4.1.23128.1.1.1 780 ID de alerta del ESM 1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo 1.3.6.1.4.1.23128.1.1.3 Interno Nombre de dispositivo 1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo 1.3.6.1.4.1.23128.1.1.5 10.0.0.69 IP de origen 1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen 1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen 1.3.6.1.4.1.23128.1.1.8 10.0.0.68 IP de destino 1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Configuración de los servicios auxiliares OID Valor Significado 1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino 1.3.6.1.4.1.23128.1.1.11 17 Protocolo 1.3.6.1.4.1.23128.1.1.12 0 VLAN 1.3.6.1.4.1.23128.1.1.13 Dirección 1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos 1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez 1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez 1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos) 1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma 1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Descripción de firma 1.3.6.1.4.1.23128.1.1.20 5 Acción realizada 1.3.6.1.4.1.23128.1.1.21 1 Gravedad 1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos 1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado 1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen 1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino 1.3.6.1.4.1.23128.1.1.26 Aplicación 1.3.6.1.4.1.23128.1.1.27 Dominio 1.3.6.1.4.1.23128.1.1.28 Host 1.3.6.1.4.1.23128.1.1.29 Usuario (origen) 1.3.6.1.4.1.23128.1.1.30 Usuario (destino) 1.3.6.1.4.1.23128.1.1.31 Comando 1.3.6.1.4.1.23128.1.1.32 Objeto 1.3.6.1.4.1.23128.1.1.33 Número de secuencia 1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entorno de confianza o no de confianza. 1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta Los números significan lo siguiente: • 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA. • 1.1: una solicitud de estado de Nitro IPS. • El número final (1–35): para informar de las diversas características de la alerta. McAfee Enterprise Security Manager 9.6.0 Guía del producto 277 3 Configuración del ESM Administración de la base de datos Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/ BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM. Véase también Configuración de SNMP en la página 269 Configuración de las opciones de SNMP en la página 269 Configuración de una captura SNMP para la notificación de fallos de alimentación en la página 272 Extracción de la MIB de ESM en la página 278 Extracción de la MIB de ESM Permite ver los objetos y las notificaciones para crear una interfaz con el ESM. Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes: • A un ESM para administrar las listas negras y las listas de cuarentena de uno o varios dispositivos IPS. • A un ESM que solicita información de estado del propio ESM o de los dispositivos IPS y receptores. • A un dispositivo para solicitar su información de estado. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades 2 . Haga clic en Configuración SNMP y, después, en Ver MIB. Aparecerá una lista de definiciones de MIB. Véase también Configuración de SNMP en la página 269 Configuración de las opciones de SNMP en la página 269 Configuración de una captura SNMP para la notificación de fallos de alimentación en la página 272 SNMP y la MIB de McAfee en la página 273 Administración de la base de datos El objetivo de la administración de la base de datos del ESM es proporcionar información y opciones de configuración a medida que se establecen las funciones en el sistema. Es posible administrar la configuración de indización de la base de datos, ver e imprimir información sobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones de almacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventos y flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos. Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento adicional para almacenamiento del sistema, de datos y de alto rendimiento. Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de realizar este proceso. 278 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de la base de datos 3 Configuración del almacenamiento de datos de ESM Si tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipos pequeños de Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS (Direct-attached storage, almacenamiento conectado directamente) conectado al ESM, puede configurarlo para el almacenamiento de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Almacenamiento de datos. 2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada. Las fichas disponibles dependen de los tipos de almacenamiento conectados al ESM. 3 Haga clic en Cancelar para cerrar la página. Véase también Página Configuración iSCSI en la página 163 Página Configuración iSCSI Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI. Tabla 3-151 Definiciones de opciones Opción Definición Nombre Escriba el nombre del dispositivo iSCSI. Dirección IP Escriba la dirección IP del dispositivo iSCSI. Puerto Seleccione el puerto del dispositivo iSCSI. Véase también Adición de un dispositivo iSCSI en la página 162 Configuración del almacenamiento de datos de ESM en la página 279 Configuración del almacenamiento de datos de máquina virtual de ESM Si su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtual en la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para el almacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual. Cada una de las listas desplegables de la página Asignación de datos incluye las unidades de almacenamiento disponibles que se montan en la máquina virtual. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Datos de máquina virtual. 2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es posible seleccionar una vez cada unidad. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 279 3 Configuración del ESM Administración de la base de datos Aumento del número de índices de acumulación disponibles Debido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a un campo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino, zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine que es absolutamente necesario. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. 3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar. Los índices estándar se muestran en el área Activado. 4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para moverlos al área Disponible. El número de la indicación restante(s), situada en la esquina superior derecha de la página, aumentará con cada índice estándar desactivado. Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado (véase Administración de la indización de acumulación). Configuración de un archivo de particiones inactivas ESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estar inactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particiones inactivas de forma que no se eliminen. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Archivado. 2 Rellene los campos, que variarán en función del tipo seleccionado. 3 Haga clic en Aceptar para guardar la configuración. A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en las fichas Particiones de eventos y Particiones de flujos. Véase también Página Particiones inactivas en la página 281 280 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de la base de datos Página Particiones inactivas Permite configurar una ubicación de almacenamiento para particiones inactivas de manera que no se eliminen del sistema. Tabla 3-152 Definiciones de opciones Opción Definición Activado Permite activar el archivado de particiones inactivas. Tipo Seleccione el tipo de almacenamiento. Las opciones son CIFS, NFS, iSCSI y, si dispone de una tarjeta SAN instalada, SAN. El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba posteriores a la 3.2 puede provocar la fuga de datos. Tamaño Seleccione la cantidad máxima de espacio de almacenamiento que desee asignar en el dispositivo. Volumen SAN Si ha seleccionado el tipo SAN, seleccione el volumen de SAN. Aparecerán todos los volúmenes listos para almacenar datos. Editar Puede aplicar formato a otros volúmenes y agregarlos a la lista de volúmenes SAN. Dirección IP remota, Punto de montaje remoto, Ruta remota Si ha seleccionado CIFS o NFS, escriba la información sobre el dispositivo de almacenamiento en cada uno de estos campos. Nombre de usuario, Contraseña Si ha seleccionado CIFS, deberá introducir el nombre de usuario y la contraseña para el dispositivo de almacenamiento. A fin de conectar con un recurso compartido CIFS, no utilice comas en la contraseña. Dispositivo iSCSI e IQN de iSCSI Seleccione el dispositivo de almacenamiento iSCSI y el nombre completo de iSCSI (IQN). El intento de conectar varios dispositivos a un IQN puede provocar la fuga de datos y otros problemas de configuración. En el caso de un dispositivo todo en uno ESM/Event Receiver/ELM, el dispositivo y sus nombres completos de iSCSI (IQN) aparecerán en estos campos si ya ha configurado la conexión con la SAN iSCSI del ELM (véase Página Configuración iSCSI). Si dispone de dispositivos ESM y ELM dedicados, configure la conexión con el dispositivo iSCSI (véase Página Configuración iSCSI). Conectar Permite probar la conexión. Asignación de datos Ajuste el número total de registros de eventos, flujos y registros que se pueden guardar en este dispositivo en los campos Eventos, Flujos y Registros. Fichas Particiones de eventos, Particiones de flujos o Particiones de registro Permiten ver las particiones inactivas de eventos, flujos o registros. Es posible reactivar hasta 10 particiones mediante su selección en la columna Activo. Véase también Configuración de un archivo de particiones inactivas en la página 280 Configuración de límites de retención de datos Si cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidad de tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datos históricos insertados. McAfee Enterprise Security Manager 9.6.0 Guía del producto 281 3 Configuración del ESM Administración de la base de datos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Retención de datos. 2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea restringir los datos históricos. 3 Haga clic en Aceptar. Véase también Página Retención de datos en la página 282 Página Retención de datos Seleccione la cantidad de tiempo que desea que se mantengan los eventos y los flujos, y si desea limitar los datos históricos. Tabla 3-153 Definiciones de opciones Opción Definición Guardar todos los datos que permita el Seleccione esta opción para mantener el número máximo de eventos sistema o flujos que permita el sistema. Guardar datos de los últimos Seleccione esta opción si solo desea mantener los eventos y flujos durante la cantidad de tiempo especificada. Restringir inserción de datos históricos Seleccione esta opción si desea restringir los datos históricos; indique la antigüedad que pueden tener los datos en el campo No insertar datos anteriores a. Véase también Configuración de límites de retención de datos en la página 281 Definición de los límites de asignación de datos El número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. La asignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registros deben incluirse en las búsquedas para optimizar las consultas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Asignación de datos. 2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien haga clic en las flechas de los campos Eventos y Flujos. 3 Haga clic en Aceptar. Véase también Página Asignación de datos en la página 283 282 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de la base de datos Página Asignación de datos Permite establecer cuánto espacio se debe asignar a los eventos y los flujos, así como cuántos registros se deben emplear para optimizar la búsqueda. Tabla 3-154 Definiciones de opciones Opción Definición Control deslizante superior Indique qué parte del espacio total se debe asignar a los eventos y qué parte a los flujos. Control deslizante inferior Defina la cantidad de registros de eventos y flujos en los que se buscará cuando se realice una consulta. Este control deslizante no aparece si no existe un dispositivo SSD. Véase también Definición de los límites de asignación de datos en la página 282 Administración de la configuración de índice de la base de datos Es posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datos se almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de las consultas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Configuración. 2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que desee cambiar y seleccione una nueva configuración en la lista desplegable. 3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder seleccionar o agregar un nuevo valor de puerto. 4 Haga clic en Aceptar. Véase también Página Indización de base de datos en la página 284 Página Valores de puerto en la página 284 McAfee Enterprise Security Manager 9.6.0 Guía del producto 283 3 Configuración del ESM Administración de la base de datos Página Indización de base de datos Permite indicar si la información de puertos y direcciones MAC se debe almacenar o no en los índices de la base de datos. Tabla 3-155 Definiciones de opciones Opción Definición Tabla Permite ver la configuración de indización del ESM y sus dispositivos. Columnas Dirección MAC Seleccione la configuración actual y elija una de las opciones. Si la configuración de un dispositivo es Heredar, empleará la configuración del sistema. Columnas Puerto Haga clic en la configuración actual y seleccione una de las opciones. Si selecciona Personalizado, se abrirá la página Valores de puerto para que pueda seleccionar o agregar un valor de puerto. Véase también Administración de la configuración de índice de la base de datos en la página 283 Página Valores de puerto Permite seleccionar un puerto existente o agregar un nuevo valor de puerto. Tabla 3-156 Definiciones de opciones Opción Definición Agregar valor Permite agregar el valor seleccionado al campo Valor actual. Nuevo Permite agregar un nuevo valor de puerto; para ello, escriba un nombre y su valor. Se agregará a la lista y se podrá utilizar en el futuro. Editar Permite cambiar el nombre o el valor de un puerto personalizado. Eliminar Permite eliminar un puerto personalizado de la lista de puertos. Valor actual Introduzca un valor de puerto; para ello, escríbalo o resáltelo y haga clic en Agregar valor. Véase también Administración de la configuración de índice de la base de datos en la página 283 Administración de la indización de acumulación Si cuenta con campos personalizados que extraen datos numéricos de un origen, la indización de acumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor de tendencia. Antes de empezar Configure un tipo personalizado de indización de acumulación (véase Creación de tipos personalizados). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 284 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. 3 Seleccione los índices y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de la base de datos Ahora ya es posible configurar una consulta acumulativa para ver los resultados. Véase también Ficha Indización de acumulación en la página 285 Ficha Indización de acumulación Permite seleccionar los índices de acumulación. Puede seleccionar cinco índices para el campo acumulativo seleccionado. Si necesita más de cinco, puede desactivar los índices estándar y, después, agregar más índices de acumulación al campo. Tabla 3-157 Definiciones de opciones Opción Definición Lista desplegable Seleccione el campo de acumulación al que desee agregar índices. Si necesita más de cinco índices, seleccione Índices estándar. Mostrar índices estándar Seleccione esta opción para ver los índices estándar en las listas Activado y Disponible. Lista Disponible Si ha seleccionado un campo de acumulación, seleccione los índices que activar y haga clic en la flecha para moverlos a la lista Activado. La indicación restante(s) en la esquina superior derecha de la página le permitirá saber cuántos índices más puede seleccionar para el campo. Lista Activado Permite ver los índices activados. Si ha seleccionado Mostrar índices estándar, se mostrarán los índices estándar. Para eliminar uno, selecciónelo y haga clic en la flecha a fin de moverlo de nuevo a la lista Disponible. Si elimina un índice estándar, aumentará el número de índices de acumulación que se pueden agregar al campo acumulativo. Desde este punto en adelante Seleccione esta opción si desea usar los índices en los datos generados a partir de este momento. Reconstruir datos antiguos Seleccione esta opción si desea usar los índices en los datos pasados; a continuación, seleccione la fecha de inicio de su elección. Si lo hace, será necesario reconstruir las particiones que contienen los datos. Véase también Administración de la indización de acumulación en la página 284 Visualización de la utilización de memoria de la base de datos Es posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos | Uso de memoria. Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos. 2 Para imprimir los informes, haga clic en el icono Imprimir . Véase también Página Información de la base de datos en la página 286 McAfee Enterprise Security Manager 9.6.0 Guía del producto 285 3 Configuración del ESM Uso de usuarios y grupos Página Información de la base de datos Permite ver o imprimir tablas que muestran el uso de memoria de la base de datos. Tabla 3-158 Definiciones de opciones Opción Definición Tabla Eventos Ver el uso de memoria para eventos por nombre de índice. Tabla flujos Ver el uso de memoria para flujos por nombre de índice. Es posible imprimir un informe de utilización de memoria. Véase también Visualización de la utilización de memoria de la base de datos en la página 285 Uso de usuarios y grupos Los usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, sus dispositivos, sus directivas y sus privilegios asociados. En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administrador de claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos de cuentas de usuario: Administrador del sistema y Usuario general. La página Usuarios y grupos tiene dos secciones: • Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada usuario y los grupos a los que pertenecen. • Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada uno. Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo. Privilegios de grupo Cuando se configura un grupo, se establecen los privilegios de sus miembros. Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema | Agregar grupo), el acceso a estas funciones queda limitado. 286 • Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos. • Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas. • Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones. • Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización. • ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni acceder a las propiedades de dispositivos ELM. • Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory, Activos, Grupos de activos ni Etiquetas. • Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo electrónico. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Uso de usuarios y grupos • Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia. • Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica. • Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas. 3 Adición de un usuario Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la configuración del usuario se puede editar o eliminar. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos. 2 Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar. 3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan. Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene privilegios de administrador, aparecerá un icono de monarca junto a su nombre. Véase también Página Agregar usuario en la página 287 Página Usuarios y grupos en la página 289 Página Agregar usuario Permite agregar un usuario para permitirle el acceso al ESM. Tabla 3-159 Definiciones de opciones Opción Definición Nombre de usuario Especifique un nombre de usuario. Si va a emplear la configuración de CAC (véase Configuración del inicio de sesión mediante CAC), el nombre de usuario corresponde al EDI-PI de 10 dígitos del usuario. Alias de usuario (Opcional) Introduzca un alias si no desea que el nombre de usuario resulte visible. Si emplea la configuración de CAC, podría corresponder al nombre de usuario. Contraseña Haga clic en Establecer contraseña, introduzca una contraseña exclusiva para la cuenta, confírmela y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 287 3 Configuración del ESM Uso de usuarios y grupos Tabla 3-159 Definiciones de opciones (continuación) Opción Definición Función (solo modo FIPS) Seleccione una función para este usuario. Las opciones son las siguientes: • Usuario: estos usuarios no se pueden agregar a un grupo con privilegios de Usuario avanzado. • Usuario avanzado: estos usuarios se consideran administradores del sistema para fines de UCAPL, pero podrían no disponer de todos los privilegios de un administrador del sistema. Esta función es necesaria para asignar un usuario a un grupo con cualquiera de estos privilegios: • Administración del sistema • Agregar/eliminar directivas • Administración de usuarios • Variables y reglas personalizadas • Administración de directivas • Lista negra global • Administrador de claves y certificados: esta función es necesaria para llevar a cabo funciones de administración de claves. Un usuario con esta función no se puede agregar a un grupo con privilegios de Usuario avanzado. • Administrador de auditorías: esta función es necesaria para configurar los registros. Un usuario con esta función no se puede agregar a un grupo con privilegios de Usuario avanzado. Derechos de administrador (no en modo FIPS) Seleccione esta opción si desea que el usuario tenga privilegios de administrador. El administrador del sistema puede otorgar privilegios a los usuarios generales mediante la creación de grupos de acceso y la asignación de usuarios a estos grupos. El administrador del sistema es el único usuario que tiene acceso a todas las áreas del sistema, incluida el área de usuarios y grupos. Desactivar cuenta Seleccione esta opción si desea bloquear el acceso por parte del usuario a su cuenta en el ESM (véase Desactivación o reactivación de usuarios). Dirección de correo electrónico Agregue la dirección de correo electrónico del usuario, que es opcional a menos que el usuario reciba notificaciones de informe o alarma. • Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la lista desplegable Dirección de correo electrónico. • Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico y agréguela al sistema. SMS móvil Agregue el número de SMS (mensaje de texto) del usuario. • Si el número de envío de SMS ya existe en el sistema, selecciónelo en la lista desplegable SMS móvil. • Si el número no existe en el sistema, haga clic en SMS móvil y agréguelo al sistema. El usuario es miembro de Seleccione los grupos a los que debe pertenecer el usuario. Véase también Adición de un usuario en la página 287 288 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Página Usuarios y grupos Si dispone de privilegios de administrador del sistema, puede agregar usuarios al sistema y organizarlos en grupos con privilegios específicos. Estos privilegios limitan las funciones a las que tendrán acceso. Tabla 3-160 Definiciones de opciones Opción Definición Tabla Usuarios Incluye los usuarios con acceso al ESM. Tabla Grupos Incluye los grupos que hay configurados en el ESM. Agregar, Editar y Quitar • A la derecha de la tabla Usuarios, permiten agregar usuarios nuevos y editar o quitar los existentes. Antes de quitar un usuario, asegúrese de que no esté establecido como usuario asignado en una alarma. • A la derecha de la tabla Grupos, permiten agregar grupos nuevos, así como asignarles usuarios y privilegios. Véase también Adición de un usuario en la página 287 Selección de la configuración de usuario La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Verifique que esté seleccionada la opción Configuración de usuario. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. La consola cambiará de aspecto en función de la configuración establecida. Véase también Página Configuración de usuario en la página 290 McAfee Enterprise Security Manager 9.6.0 Guía del producto 289 3 Configuración del ESM Uso de usuarios y grupos Página Configuración de usuario Permite definir las opciones de configuración de la consola de ESM de forma que se adapte a sus necesidades. Tabla 3-161 Definiciones de opciones Opción Definición Seleccione una zona horaria y un formato de fecha Cambie la zona horaria en la primera lista desplegable o el formato de los datos en la segunda. Todas las vistas, consultas y opciones de configuración muestran datos de eventos, flujos y registro relativos a esta zona horaria y con este formato de fecha a menos que se indique lo contrario de forma explícita. Si cambia esta zona horaria, podrían generarse datos incorrectos. Por tanto, se recomienda dejar siempre el valor GMT. Cambiar contraseña En la página Cambiar nombre de usuario y contraseña, cambie el nombre de usuario y la contraseña para acceder a la consola de ESM. Si no desea que su nombre aparezca en la barra de navegación de la consola, introduzca otro nombre de usuario en el campo Alias. Pantalla predeterminada Seleccione el tipo de pantalla del árbol de navegación del sistema que desee que aparezca de forma predeterminada al abrir el sistema. Idioma Seleccione el idioma para la consola. Mostrar orígenes de datos desactivados en el árbol de sistemas Seleccione esta opción si desea que los orígenes de datos desactivados se muestren en el árbol de navegación del sistema. Se indicarán mediante este icono: . Mostrar panel de alarmas Seleccione esta opción si desea que el panel Alarmas aparezca en la consola. Mostrar panel de administración Seleccione esta opción si desea que el panel Casos aparezca en la consola. de casos Véase también Selección de la configuración de usuario en la página 289 Configuración de la seguridad Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar, establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC). También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP (solo disponible si se dispone de privilegios de administrador del sistema). Funciones de seguridad de ESM La familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en una red e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de forma predeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS. La comunicación con un dispositivo Nitro IPS se lleva a cabo mediante la tecnología Secure Encrypted Management (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en banda que mitiga el riesgo de ataques de reproducción o de intermediario. Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM autorizado. No inicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM también se envía mediante una conexión cifrada, la cual es conforme con FIPS. 290 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Uso de usuarios y grupos 3 El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de hardware como de software, para garantizar que los dispositivos se administren únicamente desde un ESM debidamente autorizado. Definición de la configuración de inicio de sesión estándar Es posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante la definición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo de tiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con las contraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Defina las opciones en la ficha Estándar. 3 Haga clic en Aceptar o en Aplicar. Véase también Ficha Estándar en la página 291 Ficha Estándar Permite definir la configuración de inicio de sesión general para el sistema. Tabla 3-162 Definiciones de opciones Opción Definición Intentos de inicio de sesión fallidos permitidos Especifique el número de inicios de sesión fallidos consecutivos que se permiten en una única sesión. Si se supera este número en el tiempo especificado, la cuenta se bloqueará y el administrador del sistema tendrá que desbloquearla mediante Usuarios y grupos. El valor 0 indica que se permite un número infinito de intentos de inicio de sesión. La cuenta principal no se puede bloquear. Espacio de tiempo de intentos Defina el espacio de tiempo para los intentos de inicio de sesión fallidos de inicio de sesión fallidos consecutivos. El intervalo oscila entre 0 y 1440 minutos. Este campo funciona junto con Intentos de inicio de sesión fallidos permitidos. Cuando se alcanza el número de intentos fallidos permitido en el espacio de tiempo especificado, la cuenta se bloquea. Permanecerá bloqueada durante el tiempo definido en el campo Duración de bloqueo en error de inicio de sesión o hasta que la desbloquee el administrador del sistema. Duración de bloqueo en error de inicio de sesión Especifique la cantidad de tiempo que debe permanecer bloqueada una cuenta si se bloquea automáticamente debido a los inicios de sesión fallidos. El valor máximo es 1440 minutos; 0 significa que no se debe desbloquear automáticamente. Transcurrido ese tiempo, la cuenta se desbloquea automáticamente. Esto no afecta a las cuentas que se han bloqueado manualmente. Los administradores pueden desbloquear la cuenta en cualquier momento. McAfee Enterprise Security Manager 9.6.0 Guía del producto 291 3 Configuración del ESM Uso de usuarios y grupos Tabla 3-162 Definiciones de opciones (continuación) Opción Definición Valor de tiempo de espera de interfaz de usuario Especifique la cantidad de tiempo que debe transcurrir sin actividad de forma que aparezca la pantalla de inicio de sesión para la sesión actual. Por ejemplo, si el valor se establece en 30 minutos, la aplicación muestra automáticamente la pantalla de inicio de sesión tras 30 minutos de inactividad, lo cual obliga a iniciar sesión de nuevo para poder reanudar las actividades. El valor 0 significa que no existe límite. Bloquear automáticamente las Configure el ESM para que bloquee las cuentas de usuario que no tengan cuentas inactivas después de derechos de administrador tras el número especificado de días de inactividad. El valor máximo es 365 días; el mínimo es 0, que equivale a desactivar esta función. El bloqueo permanece hasta que un administrador desbloquea la cuenta. Sesiones activas de un usuario Establezca el número de sesiones activas que puede tener un usuario simultáneamente. El máximo es 10; el valor 0 desactiva la restricción. Mostrar el último ID de usuario al iniciar sesión Indique si desea que el campo de nombre de usuario se rellene automáticamente con el utilizado en el último inicio de sesión correcto. Configuración de la ACL Seleccione esta opción si desea establecer una lista de direcciones IP que pueden acceder al sistema o que tienen el acceso bloqueado. Véase también Definición de la configuración de inicio de sesión estándar en la página 291 Definición de la configuración de contraseña de inicio de sesión Existen varias opciones de configuración que se pueden definir en relación con la contraseña de inicio de sesión del sistema. Antes de empezar Debe tener derechos de administrador del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar. Véase también Ficha Contraseñas en la página 293 292 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Ficha Contraseñas Si dispone de privilegios de administrador, puede definir diversas opciones de configuración para las contraseñas del sistema. Tabla 3-163 Definiciones de opciones Opción Definición Contraseña avanzada requerida Seleccione esta opción si desea que el sistema exija que todas las contraseñas cumplan los siguientes requisitos de longitud y caracteres. Como mínimo: • 15 caracteres de longitud • 2 números • 2 símbolos o signos de puntuación • 2 letras minúsculas • 2 letras mayúsculas • No se permiten 4 o más caracteres repetidos consecutivos Si una contraseña no cumple estos requisitos, no se acepta. Caducidad de la contraseña Especifique con qué frecuencia se debe cambiar la contraseña. El intervalo oscila entre 0 y 365 días. Si se selecciona 0, la contraseña no caduca. Notificación previa a caducar la contraseña Seleccione el número de días antes de la caducidad de la contraseña para recordarle al usuario que debe cambiar la contraseña. El valor máximo es 30 y el mínimo 1. Período de gracia de caducidad de contraseña Seleccione el período de tiempo tras caducar la contraseña de un usuario en que aún podrá iniciar sesión. Tras el período de gracia, la cuenta se bloquea y es necesario que la desbloquee el administrador. Inicios de sesión en período de gracia Seleccione las veces que un usuario podrá iniciar sesión durante el período de tiempo especificado tras caducar la contraseña. Tras este número de inicios de sesión en el período de gracia, la cuenta se bloquea y es necesario que la desbloquee el administrador. Número de historiales de contraseñas Indique si el historial de contraseñas utilizadas por una persona debe almacenarse en el sistema y cuántos historiales se deben almacenar por cada usuario. El intervalo oscila entre 0 y 100 contraseñas. Si se indica 0, no se almacena el historial. Si existe un historial, se comprueba cuando un usuario modifica una contraseña. En caso de no ser exclusiva, se devuelve un error y la contraseña no se actualiza. Si es exclusiva, la contraseña se cambia y se agrega una entrada nueva al historial. Si se alcanza el límite de almacenamiento, se borra la contraseña más antigua. Restringir cambios de contraseña una vez cada Permite restringir la frecuencia con que un usuario puede cambiar la contraseña. Por ejemplo, si selecciona 12, los usuarios no podrán cambiar sus contraseñas más de una vez cada 12 horas. Véase también Definición de la configuración de contraseña de inicio de sesión en la página 292 Configuración de las opciones de autenticación RADIUS Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS. McAfee Enterprise Security Manager 9.6.0 Guía del producto 293 3 Configuración del ESM Uso de usuarios y grupos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor secundario es opcional. 3 Haga clic en Aceptar o en Aplicar. Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante RADIUS no pueden acceder a ESM. Véase también Página Configuración de autenticación RADIUS en la página 294 Página Configuración de autenticación RADIUS Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS. RADIUS no es conforme a FIPS. Si está obligado a cumplir las normas de FIPS, se recomienda no utilizar esta función. Tabla 3-164 Definiciones de opciones Opción Definición Activado Seleccione esta opción para activar la autenticación RADIUS. Cuando está activada, todos los usuarios excepto el administrador del sistema se deben autenticar a través del servidor RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante RADIUS no pueden acceder al sistema. Dirección IP del servidor principal y Dirección IP del servidor secundario Introduzca la dirección IP del servidor RADIUS. No es necesario indicar la dirección IP, el puerto de servidor y el secreto compartido secundarios. Puerto del servidor principal y Puerto Introduzca el puerto del servidor RADIUS. del servidor secundario Secreto compartido principal y Secreto compartido secundario Introduzca el secreto compartido (similar a una contraseña) correspondiente al servidor RADIUS. Véase también Configuración de las opciones de autenticación RADIUS en la página 293 Configuración de la lista de control de acceso Es posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen el acceso bloqueado. 294 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista. 3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso. Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL. Véase también Página Lista de control de acceso en la página 295 Página Lista de control de acceso Permite configurar una lista de direcciones IP que pueden acceder al ESM o a un dispositivo, o bien que tienen el acceso bloqueado. Tabla 3-165 Definiciones de opciones Opción Definición Permitir estas direcciones Seleccione esta opción si desea permitir el acceso de las direcciones IP al sistema. Rechazar estas direcciones Seleccione esta opción si desea bloquear el acceso de las direcciones IP al ESM. Tabla Dirección/máscara IP Permite ver las direcciones IP ya agregadas a la lista. Agregar Permite agregar una dirección IP o máscara a la lista. Editar Permite cambiar la dirección IP resaltada en la lista. Quitar Permite eliminar la dirección IP resaltada en la lista. Véase también Configuración de la lista de control de acceso en la página 294 Configuración de CAC Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar de introduciendo un nombre de usuario y una contraseña. Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico de datos (EDI-PI) asociado con las CAC. Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar manualmente un archivo .zip con archivos CRL. ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles McAfee Enterprise Security Manager 9.6.0 Guía del producto 295 3 Configuración del ESM Uso de usuarios y grupos con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su descarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de su organización. Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los inicios de sesión mediante CAC también lo estarán. Véase también Configuración del inicio de sesión mediante CAC en la página 296 Configuración del inicio de sesión mediante CAC A fin de configurar el inicio de sesión CAC, es necesario cargar los certificados raíz de CA, activar la función de inicio de sesión mediante CAC y activar un usuario CAC mediante el establecimiento del nombre distintivo completo (FQDN) del titular de la tarjeta como nombre de usuario. El titular de la tarjeta puede entonces acceder al ESM mediante un navegador compatible con CAC sin tener que introducir un nombre de usuario y una contraseña. ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte técnico si necesita ayuda con su lector de tarjetas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Cargue el certificado raíz de CA. a En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados | Entidades de certificación raíz de confianza. b Seleccione su CA raíz actual y haga clic en Exportar. c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y haga clic en Siguiente. d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y, después, en Finalizar. e En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, haga clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC. f Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en el ESM. 2 En la ficha Seguridad de inicio de sesión | CAC, introduzca la información y realice las selecciones solicitadas; a continuación, haga clic en Aceptar. 3 Active cada uno de los usuarios CAC. a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema. b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. c Sustituya el nombre del campo Nombre de usuario por el FQDN. d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar. Véase también Configuración de CAC en la página 295 Página Configuración de Common Access Card en la página 297 296 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Página Configuración de Common Access Card Permite configurar los usuarios de forma que puedan acceder a la consola de ESM mediante un navegador compatible con CAC sin que se les solicite el nombre de usuario y la contraseña. Tabla 3-166 Definiciones de opciones Opción Definición El modo CAC está actualmente establecido en Seleccione el modo correspondiente a Common Access Card (CAC). Las opciones son las siguientes: • DESACTIVADO: esta es la opción predeterminada. El inicio de sesión CAC está desactivado, así que los usuarios deben iniciar sesión mediante el cuadro de inicio de sesión de ESM. • OPCIONAL: la autenticación CAC está disponible, pero si el usuario no proporciona un certificado, aparece el cuadro de inicio de sesión de ESM como si el modo CAC estuviera desactivado. • REQUERIDO: solo se puede acceder al sistema mediante el inicio de sesión CAC. El cuadro de inicio de sesión no se muestra nunca. Si selecciona esta opción, introduzca un código PIN de seguridad en Código PIN de seguridad para modo requerido (IPv4). Se trata del código PIN que se introduce en el panel LCD si es necesario cambiar el modo CAC a OPCIONAL en caso de que se bloquee el acceso al sistema de todos los usuarios. El código PIN debe tener el formato IPv4 (10.0.0.0) porque así lo reconoce el panel LCD. Los certificados y las autoridades de certificación caducan, así que el modo REQUERIDO podría llegar a bloquear el acceso de todos los usuarios al ESM. Existe un botón de modo a prueba de errores situado en el panel LCD, en la parte delantera del ESM, que cambia el modo CAC de nuevo a OPCIONAL. Credenciales de certificado Permite cargar la cadena de certificados raíz de CA de forma que el ESM tenga acceso a ellos. Es posible ver el archivo de certificado o descargarlo a una ubicación seleccionada. Lista de revocación de certificados Cargue la lista de certificados revocados o descárguelos a la ubicación de su elección. Configurar un programa de recuperación Configure una planificación de recuperación automática; para ello, escriba la dirección URL y la frecuencia con la que el ESM debería buscar actualizaciones de archivos de revocación. Véase también Configuración del inicio de sesión mediante CAC en la página 296 Configuración de las opciones de autenticación de Active Directory Es posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se autentican a través de Active Directory. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante Active Directory no pueden acceder al sistema. Antes de empezar • Configure un Active Directory al que se pueda acceder desde ESM. • Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos y agregar un grupo con el nombre "Usuarios de McAfee". McAfee Enterprise Security Manager 9.6.0 Guía del producto 297 3 Configuración del ESM Uso de usuarios y grupos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory. 3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión. 4 Haga clic en Aceptar en la página Conexión de Active Directory. Véase también Página Autenticación de Active Directory en la página 298 Página Conexión de Active Directory en la página 298 Página Autenticación de Active Directory Permite ver la lista de dominios de Active Directory y configurar el ESM para autenticar los usuarios mediante Active Directory. Tabla 3-167 Definiciones de opciones Opción Definición Activar autenticación de Active Directory Seleccione esta opción o anule su selección para activar o desactivar la autenticación de usuarios mediante Active Directory. Si anula la selección de la autenticación, los usuarios configurados para la autenticación mediante Active Directory no podrán acceder al sistema. Agregar Permite configurar la conexión con Active Directory. Editar Realizar cambios en el dominio seleccionado en la lista. Eliminar Eliminar el dominio seleccionado en la lista. Véase también Configuración de las opciones de autenticación de Active Directory en la página 297 Página Conexión de Active Directory Permite configurar la conexión entre el ESM y Active Directory. Tabla 3-168 Definiciones de opciones Opción Definición Usar como predeterminado Seleccione esta opción si desea usar este dominio como predeterminado. Nombre de dominio Escriba el nombre del dominio. Cuando se inicia sesión en el sistema, se puede utilizar este nombre de dominio como nombre de usuario. Si inicia sesión mediante su nombre de usuario, se empleará el dominio designado como predeterminado. 298 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Tabla 3-168 Definiciones de opciones (continuación) Opción Definición Botón Agregar Permite agregar direcciones IP utilizadas para Active Directory. • Servidor de administración: seleccione esta opción si se trata de la dirección del servidor de administración. De lo contrario, anule su selección. Una de las direcciones introducidas debe identificar el host donde se ejecuta el servidor de administración. • Dirección IP: escriba la dirección IP para Active Directory. • Puerto y Puerto LDAP: permite cambiar los valores predeterminados, si procede. • Usar TLS: seleccione esta opción a fin de utilizar el protocolo de cifrado TLS para los datos. Botón Editar Realizar cambios en la configuración existente de direcciones IP. Botón Eliminar Eliminar una dirección IP existente. Véase también Configuración de las opciones de autenticación de Active Directory en la página 297 Configuración de credenciales para McAfee ePO Es posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales de usuario. Antes de empezar El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de usuario global (véase Configuración de la autenticación de usuarios global). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione Credenciales de ePO. 2 Haga clic en el dispositivo y, después, en Editar. Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo (véase Cambio de la conexión con ESM). 3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar. Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña agregados. Véase también Página Credenciales de McAfee ePO en la página 300 McAfee Enterprise Security Manager 9.6.0 Guía del producto 299 3 Configuración del ESM Uso de usuarios y grupos Página Credenciales de McAfee ePO Permite establecer las credenciales de usuario a fin de limitar el acceso a un dispositivo McAfee ePO. Tabla 3-169 Definiciones de opciones Opción Definición Tabla Ver los dispositivos McAfee ePO del ESM. Si la columna Estado indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Si indica Sin credenciales, el dispositivo está configurado para requerir la autenticación individual de los usuarios. Para cambiar la configuración de autenticación de los usuarios, acceda al cuadro de diálogo Propiedades del dispositivo McAfee ePO, haga clic en Conectar y cambie la configuración en el campo Solicitar autenticación de usuario. Editar Haga clic en esta opción para agregar o cambiar las credenciales necesarias para que una persona acceda al dispositivo McAfee ePO seleccionado. Escriba el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión. Eliminar Haga clic en esta opción para eliminar las credenciales del dispositivo seleccionado. Se le pedirá confirmación. Véase también Configuración de credenciales para McAfee ePO en la página 299 Desactivación o reactivación de usuarios Si un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido en Seguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función si es necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos. 2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. 3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar. El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta. Autenticación de usuarios mediante un servidor LDAP Es posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 300 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha LDAP. 3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Uso de usuarios y grupos 3 Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la autenticación LDAP no pueden acceder al sistema. Véase también Página Autenticación LDAP en la página 301 Página Autenticación LDAP Permite configurar los usuarios para la autenticación con un servidor LDAP. Tabla 3-170 Definiciones de opciones Opción Definición Activar Si desea que todos los usuarios excepto el administrador del sistema se autentiquen mediante el servidor LDAP, seleccione Activar. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante LDAP no pueden acceder al sistema. Dirección IP Escriba la dirección IP del servidor LDAP. Puerto Cambie el puerto del servidor, si procede. Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para los datos. Nombre del dominio base Escriba el dominio en el que se deben comprobar las credenciales. Atributo de grupo Atributo donde se almacena la información sobre el grupo del usuario. Normalmente, no es necesario modificar este campo. Filtro de grupo Filtro utilizado para recopilar información de grupo. Puede incluir o excluir grupos específicos de los resultados de la búsqueda. Filtro de usuario Filtro utilizado para recopilar información de usuario. Puede incluir o excluir usuarios específicos de los resultados de la búsqueda. Véase también Autenticación de usuarios mediante un servidor LDAP en la página 300 Configuración de grupos de usuarios Los grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega un grupo, se le deben asignar dispositivos, directivas y privilegios. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Usuarios y grupos | Agregar. 2 Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar. El grupo se agregará a la tabla Grupos de la página Usuarios y grupos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 301 3 Configuración del ESM Uso de usuarios y grupos Véase también Página Agregar grupo en la página 302 Página Usuarios en la página 303 Página Privilegios en la página 303 Página Permisos en la página 304 Página Dispositivos en la página 305 Página Directivas en la página 305 Página Filtros de dirección IP en la página 305 Página Agregar zonas de grupo en la página 306 Página Reenvío de eventos en la página 306 Página Restricciones de tiempo para grupo en la página 306 Página Informes en la página 307 Página de acceso a Vistas en la página 307 Página de acceso Listas de vigilancia en la página 307 Página Agregar grupo Permite configurar grupos con privilegios específicos para poder asignarles usuarios y asegurarse de que tienen acceso a las funciones necesarias. Tabla 3-171 Definiciones de opciones Opción Definición Nombre y descripción Escriba el nombre para este grupo y una descripción. Usuarios Seleccione los usuarios que formarán parte de este grupo. Privilegios Seleccione los privilegios asociados con este grupo. Cuando resalte un privilegio, podrá ver una descripción en el cuadro Descripción. Dispositivos Permite seleccionar los dispositivos a los que podrán acceder los usuarios. Si selecciona todos los dispositivos, los usuarios también tendrán acceso a los dispositivos nuevos que se agreguen al sistema. Directivas Seleccione las directivas que los usuarios pueden usar y modificar. Filtros de dirección IP Si desea restringir el acceso por parte de los usuarios a datos de informes o alarmas únicamente en el caso de una dirección IP concreta, haga clic en Agregar y escriba la dirección. Zonas Seleccione las zonas a las que los usuarios pueden acceder y modificar. Reenvío de eventos Seleccione los destinos de reenvío de eventos a los que los usuarios pueden acceder y modificar. Esto define los dispositivos desde los que un usuario puede reenviar datos, en caso de que el grupo también disponga del privilegio de reenvío de eventos, así como los filtros que especifican los tipos de eventos que se reenvían. Cuando se agrega un destino de reenvío de eventos a un usuario concreto, se agrega a todos los grupos de los que forma parte el usuario, siempre que los grupos tengan el privilegio de reenvío de eventos. Si un destino de reenvío de eventos no pertenece a un grupo de acceso, cuenta con acceso a todos los dispositivos. 302 Restricciones de tiempo para grupo Permite agregar restricciones de día y hora a fin de limitar el acceso por parte del grupo al ESM. Informes Permite seleccionar los informes que pueden ver y modificar los usuarios de este grupo. El grupo debe tener el privilegio Informes. Vistas Permite seleccionar las vistas que pueden ver y modificar los usuarios de este grupo. También puede compartir la visibilidad con otros usuarios y grupos. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Uso de usuarios y grupos 3 Tabla 3-171 Definiciones de opciones (continuación) Opción Definición Listas de vigilancia Permite seleccionar las listas de vigilancia que pueden ver y modificar los usuarios de este grupo. También puede compartir la visibilidad con otros usuarios y grupos. Filtros Seleccione los conjuntos de filtros que los usuarios de este grupo podrán ver, modificar o ambas cosas. Véase también Configuración de grupos de usuarios en la página 301 Página Usuarios Seleccione los usuarios que formarán parte de este grupo. Tabla 3-172 Definiciones de opciones Opción Definición Tabla Muestra todos los usuarios que se han agregado al sistema. Seleccione los usuarios que desee agregar al grupo. Seleccionar todo Selecciona todos los usuarios. Después, podrá anular la selección de los usuarios que no formarán parte del grupo. No seleccionar nada Anula la selección de todos los usuarios. Después, podrá seleccionar los usuarios que formarán parte del grupo. Véase también Configuración de grupos de usuarios en la página 301 Página Privilegios Permite agregar o eliminar los privilegios asociados a este grupo. Tabla 3-173 Definiciones de opciones Opción Definición Limitar el acceso de este grupo Limita los privilegios del grupo (véase Uso de usuarios y grupos). Lista Privilegios Incluye todos los privilegios disponibles en el ESM. Selecciónelos o anule su selección de forma individual, o bien haga clic en Seleccionar todo o No seleccionar nada. Descripción Muestra una descripción sobre el privilegio seleccionado. Véase también Configuración de grupos de usuarios en la página 301 McAfee Enterprise Security Manager 9.6.0 Guía del producto 303 3 Configuración del ESM Uso de usuarios y grupos Página Permisos Seleccione los usuarios y los grupos que deben tener permiso para leer y modificar las vistas, las listas de vigilancia o los informes resaltados. Los permisos de los elementos personalizados de solo lectura solo los puede cambiar el creador de los elementos. Tabla 3-174 Definiciones de opciones Opción (Solo vistas) Heredar permisos de la carpeta principal Definición Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o desactivar esta opción. Esta opción está seleccionada de forma predeterminada. Si no desea que se hereden los permisos del elemento principal, anule la selección de esta opción. Se activarán las fichas Grupos y Usuarios. (Solo informes y Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o listas de desactivar esta opción. vigilancia) Heredar Esta opción está seleccionada de forma predeterminada. Los usuarios heredan los configuración de privilegios de Modificar. Anule la selección de esta opción si desea cambiar la modificación configuración predeterminada. Ficha Grupos Incluye todos los grupos a los que tiene acceso en función de su pertenencia a ellos (véase Configuración de grupos de usuarios). Indique los grupos que deben tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura, Modificar o ninguna de las dos opciones. Si no selecciona ninguna, el grupo dispondrá de derechos de denegación. Si selecciona Modificar, se selecciona automáticamente Solo lectura. Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios de tipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán este privilegio. Ficha Usuarios Incluye todos los usuarios a los que tiene acceso en función de su pertenencia a grupos (véase Configuración de grupos de usuarios). Indique los usuarios que deben tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura, Modificar o ninguna de las dos opciones. Si no selecciona ninguna, el usuario dispondrá de derechos de denegación. Si selecciona Modificar, se selecciona automáticamente Solo lectura. Los privilegios de usuario tienen prioridad sobre los privilegios de grupo. Por ejemplo, si a un usuario solo se le asigna acceso de Lectura a un recurso pero su grupo tiene acceso para Modificar, el usuario solo podrá Leer los elementos seleccionados. Es posible agregar usuarios a la lista o eliminarlos de ella. 1 Haga clic en Agregar, haga clic en los usuarios y, después, haga clic en Aceptar. 2 Por cada usuario, seleccione Leer o Modificar y, después, haga clic en Aceptar. Si un usuario no está en la lista, el sistema utiliza los privilegios de grupo del usuario. Si un usuario está en la lista pero no tiene marcadas las opciones Leer o Modificar, el usuario tendrá derechos de denegación explícitos para el recurso. Si ha seleccionado más de una vista, lista de vigilancia o informe, una casilla de verificación de triple estado en la columna Leer o Modificar de la ficha Grupos o Usuarios indica que existe un conflicto en esa configuración de los elementos seleccionados. No podrá guardar y cerrar la página hasta que resuelva el conflicto. Haga clic en la casilla de verificación para resolver la configuración de todos los elementos seleccionados. 304 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Véase también Configuración de grupos de usuarios en la página 301 Página Dispositivos Permite seleccionar los dispositivos a los que podrá acceder este grupo. Tabla 3-175 Definiciones de opciones Opción Definición Lista de dispositivos Incluye todos los dispositivos del ESM. Seleccione los dispositivos a los que debe tener acceso este grupo. Seleccionar todo Permite seleccionar todos los dispositivos de la lista. Si selecciona todos los dispositivos, los miembros de este grupo tendrán acceso automáticamente a los dispositivos nuevos agregados al ESM. No seleccionar nada Permite anular la selección de todos los dispositivos de la lista. Véase también Configuración de grupos de usuarios en la página 301 Página Directivas Permite seleccionar las directivas a las que pueden acceder los usuarios del grupo. Tabla 3-176 Definiciones de opciones Opción Definición Lista de directivas Incluye las directivas del ESM. Seleccione las directivas a las que puede acceder este grupo. Seleccionar todo Seleccionar todas las directivas. No seleccionar nada Anular la selección de todas las directivas. Véase también Configuración de grupos de usuarios en la página 301 Página Filtros de dirección IP Permite aplicar filtros de dirección IP al grupo. Esto limita los datos que ve un usuario al ejecutar informes o cuando se selecciona un usuario como destinatario de un informe o una alarma. Tabla 3-177 Definiciones de opciones Opción Definición Lista Ver las direcciones IP de la lista. Agregar Agregar una dirección IP a la lista. Editar Modificar la dirección IP seleccionada. Quitar Eliminar la dirección seleccionada de la lista. Véase también Configuración de grupos de usuarios en la página 301 McAfee Enterprise Security Manager 9.6.0 Guía del producto 305 3 Configuración del ESM Uso de usuarios y grupos Página Agregar zonas de grupo Seleccione las zonas a las que puede acceder este grupo. Tabla 3-178 Definiciones de opciones Opción Definición Lista de zonas Enumera las zonas que se han agregado al ESM. Permite seleccionar las zonas a las que puede acceder este grupo. Seleccionar todo Permite seleccionar todas las zonas de la lista. No seleccionar nada Permite anular la selección de todas las zonas de la lista. Véase también Configuración de grupos de usuarios en la página 301 Página Reenvío de eventos Permite seleccionar los destinos de reenvío de eventos a los que puede acceder este grupo. De esta forma, se definen los dispositivos desde los que un usuario puede reenviar eventos y los filtros que especifican los tipos de eventos que se pueden reenviar. Tabla 3-179 Definiciones de opciones Opción Definición Lista de destinos de reenvío Enumera los destinos que se han agregado al ESM. Seleccione los de eventos destinos a los que podrá acceder este grupo. Si un destino no pertenece a un grupo de acceso, debe disponer de acceso a todos los dispositivos. Seleccionar todo Permite seleccionar todos los destinos de la lista. No seleccionar nada Permite anular la selección de todos los destinos de la lista. Véase también Configuración de grupos de usuarios en la página 301 Página Restricciones de tiempo para grupo Permite establecer restricciones para limitar los días y las horas en los que este grupo puede acceder al ESM. Los usuarios reciben una notificación visual que informa de que la sesión va a caducar 15, 5 y 1 minuto(s) antes de que la sesión caduque. Tabla 3-180 Definiciones de opciones Opción Definición Activar restricciones Permite activar restricciones para el grupo. Zona horaria Seleccione la zona horaria en la que se encuentra el grupo. Hora de inicio / Hora de fin Seleccione la hora del día de inicio y fin para el acceso por parte del grupo. Si debe disponer de acceso las 24 horas en los días seleccionados, seleccione 00:00 en ambos campos. Días de la semana Seleccione los días de la semana que los miembros del grupo pueden acceder al ESM. Véase también Configuración de grupos de usuarios en la página 301 306 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de usuarios y grupos Página Informes Permite seleccionar los informes que pueden ver y modificar los usuarios de este grupo. También puede seleccionar grupos o usuarios con los que compartir los informes. Tabla 3-181 Definiciones de opciones Opción Definición Columna Nombre Incluye los informes del ESM. Columna Leer Seleccione los informes que este grupo podrá leer. Si selecciona Modificar, también se selecciona Leer. Columna Modificar Seleccione los informes que este grupo podrá modificar. Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de compartir la visibilidad de los informes seleccionados. Véase también Configuración de grupos de usuarios en la página 301 Página de acceso a Vistas Permite elegir las vistas que el grupo seleccionado podrá leer y modificar. Tabla 3-182 Definiciones de opciones Opción Definición Columna Nombre Incluye todas las vistas del ESM. Columna Leer Seleccione las vistas que este grupo podrá leer. Columna Modificar Seleccione las vistas que este grupo podrá modificar. Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de compartir la visibilidad de los elementos seleccionados. Véase también Configuración de grupos de usuarios en la página 301 Página de acceso Listas de vigilancia Permite elegir las listas de vigilancia que el grupo seleccionado podrá leer y modificar. Tabla 3-183 Definiciones de opciones Opción Definición Columna Nombre Incluye todas las listas de vigilancia del ESM. Columna Leer Seleccione las listas de vigilancia que este grupo podrá leer. Si selecciona Modificar, también se selecciona Leer. Columna Modificar Seleccione las listas de vigilancia que este grupo podrá modificar. Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de compartir la visibilidad de los elementos seleccionados. Véase también Configuración de grupos de usuarios en la página 301 Adición de un grupo con acceso limitado Para restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichos usuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas de vigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y McAfee Enterprise Security Manager 9.6.0 Guía del producto 307 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán desactivadas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema. 3 Siga uno de estos procedimientos: 4 • Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar. • Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la descripción y, a continuación, seleccione los usuarios. . Haga clic en Privilegios y seleccione Limitar el acceso de este grupo. Casi todos los privilegios están desactivados. 5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes. 6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo. Copia de seguridad y restauración de la configuración del sistema Guarde las opciones de configuración actuales del sistema de forma automática o manual de manera que se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer y guardar la configuración actual en un ESM redundante. Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las correspondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega un dispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente se guardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan los datos a partir del momento de la última copia de seguridad. Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del ESM local. Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM, un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente. 308 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de la configuración de ESM en la página 310 Restauración de archivos de configuración con copias de seguridad en la página 311 Uso de los archivos de copia de seguridad en ESM en la página 312 Administración del mantenimiento de archivos en la página 312 Copias de seguridad de la configuración y los datos de sistema de ESM Existen varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible tanto desactivar esta opción como realizar cambios en la configuración predeterminada. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Copia de seguridad y restauración. 2 Defina la configuración de cualquiera de estos elementos: 3 • Copia de seguridad automática • Copia de seguridad manual • ESM redundante • Restauración del sistema a una copia de seguridad anterior Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración. Véase también Copia de seguridad y restauración de la configuración del sistema en la página 308 Restauración de la configuración de ESM en la página 310 Restauración de archivos de configuración con copias de seguridad en la página 311 Uso de los archivos de copia de seguridad en ESM en la página 312 Administración del mantenimiento de archivos en la página 312 Página Copia de seguridad y restauración en la página 309 Página Copia de seguridad y restauración Permite configurar el ESM a fin de crear una copia de seguridad de la configuración del sistema, o bien restaurar el sistema a una configuración anterior. Tabla 3-184 Definiciones de opciones Opción Definición Frecuencia de copia de seguridad Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia de seguridad y restauración está activada para crear una copia de seguridad cada siete días. Es posible cambiar la frecuencia o desactivar las copias de seguridad. Hacer copia de seguridad Seleccione lo que desee incluir en la copia de seguridad. de datos para McAfee Enterprise Security Manager 9.6.0 Guía del producto 309 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Tabla 3-184 Definiciones de opciones (continuación) Opción Definición Ubicación de copia de seguridad Seleccione dónde desea guardar la copia de seguridad: • ESM: se guarda en el ESM y se accede a ella mediante la página Mantenimiento de archivos. • Ubicación remota: se guarda en la ubicación definida en los campos que se activan. Si va a guardar una copia del ESM y todos los datos del sistema manualmente, deberá seleccionar esta opción. Cuando cree una copia de seguridad en un recurso compartido CIFS, escriba una barra (/) en el campo de ruta remota. Hacer una copia de seguridad ahora Permite crear manualmente una copia de seguridad de la configuración del ESM, así como de los eventos, flujos y registros (si se selecciona esta opción). Haga clic en Cerrar cuando finalice la copia de seguridad correctamente. Copia de seguridad completa ahora Guardar manualmente una copia de la configuración y los datos del sistema del dispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionar Ubicación remota en el campo Ubicación de copia de seguridad e introducir la información sobre la ubicación. El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba posteriores a la 3.2 puede provocar la fuga de datos. Restaurar copia de seguridad Restaurar la configuración según una copia de seguridad anterior. Se abrirá la página Restaurar para que pueda seleccionar la copia de seguridad. Redundancia Configure un ESM redundante, el cual creará copias de seguridad de todos los datos del ESM principal (véase ESM redundante). Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de la configuración de ESM En caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anterior mediante la selección de un archivo de copia de seguridad. Procedimiento Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de partición inactiva (véase Configuración de límites de retención de datos). Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad. 2 Seleccione el tipo de restauración que desee realizar. 3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y, después, haga clic en Aceptar. La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo. 310 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Copia de seguridad y restauración de la configuración del sistema 3 Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se abre la página Inicio de sesión. Véase también Copia de seguridad y restauración de la configuración del sistema en la página 308 Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de archivos de configuración con copias de seguridad en la página 311 Uso de los archivos de copia de seguridad en ESM en la página 312 Administración del mantenimiento de archivos en la página 312 Página Restaurar en la página 311 Página Restaurar Permite restaurar el sistema a la configuración de una copia de seguridad anterior. Esto resulta útil en caso de fallo del sistema o fuga de datos. Tabla 3-185 Definiciones de opciones Opción Definición Tipo de restauración Seleccione el tipo de restauración que necesite llevar a cabo: • Archivos de copia de seguridad de ESM locales: restaurar un archivo de copia de seguridad en el ESM. Seleccione uno en la lista y haga clic en Aceptar. • Archivos de copia de seguridad remotos: restaurar una copia de la configuración del ESM y una copia de seguridad incremental de los datos desde una ubicación remota. • Carpetas de copia de seguridad completa remotas: restaurar una copia de la configuración del ESM y una copia de seguridad completa de los datos desde una ubicación remota. • Buscar archivo que cargar: localizar un archivo de copia de seguridad guardado en el sistema. Ver los detalles del archivo de copia de seguridad seleccionado en la lista de archivos de copia de seguridad de ESM locales. Es posible descargar este archivo. Detalles Véase también Restauración de la configuración de ESM en la página 310 Restauración de archivos de configuración con copias de seguridad Es posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de seguridad creadas en el ESM para cada dispositivo. Antes de empezar Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de seguridad de la configuración y los datos de sistema de ESM). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de Propiedades 2 . Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y, finalmente, haga clic en Sí en la página de confirmación. McAfee Enterprise Security Manager 9.6.0 Guía del producto 311 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Véase también Copia de seguridad y restauración de la configuración del sistema en la página 308 Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de la configuración de ESM en la página 310 Uso de los archivos de copia de seguridad en ESM en la página 312 Administración del mantenimiento de archivos en la página 312 Uso de los archivos de copia de seguridad en ESM Los archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar. También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad. 3 Seleccione la acción que desee realizar. 4 Haga clic en Aceptar. Véase también Copia de seguridad y restauración de la configuración del sistema en la página 308 Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de la configuración de ESM en la página 310 Restauración de archivos de configuración con copias de seguridad en la página 311 Administración del mantenimiento de archivos en la página 312 Administración del mantenimiento de archivos El ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas y registros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de software, Archivos de registro de alarmas o Archivos de registros de informes. 3 Seleccione los archivos y haga clic en una de las opciones disponibles. 4 Haga clic en Aplicar o en Aceptar. Véase también Copia de seguridad y restauración de la configuración del sistema en la página 308 Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309 Restauración de la configuración de ESM en la página 310 Restauración de archivos de configuración con copias de seguridad en la página 311 Uso de los archivos de copia de seguridad en ESM en la página 312 Página Mantenimiento de archivos en la página 313 312 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM ESM redundante Página Mantenimiento de archivos Permite administrar los archivos de copias de seguridad, actualizaciones de software, registros de alarmas y registros de informes. Tabla 3-186 Definiciones de opciones Opción Definición Seleccionar tipo de archivo Seleccionar el tipo de archivo que se desea administrar. Descargar Guardar el archivo seleccionado en una ubicación ajena al ESM. Cargar Permite agregar un archivo al ESM. Quitar Eliminar el archivo seleccionado para que ya no se encuentre en el ESM. Actualizar Actualizar la lista de archivos a fin de reflejar los cambios recientes. Detalles (solo para archivos de copia de seguridad) Ver los detalles de la copia de seguridad seleccionada. Configuración (solo para archivos de copia de seguridad) Acceder a la página Copia de seguridad y restauración (véase Copias de seguridad de la configuración y los datos de sistema de ESM). Véase también Administración del mantenimiento de archivos en la página 312 ESM redundante La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función solo está disponible para los usuarios con privilegios de administrador del sistema. Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM redundante, es necesario definir la configuración del dispositivo redundante, que recibe la configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El ESM redundante se debe configurar antes de conectarlo al ESM principal. La función de ESM redundante no está disponible en los dispositivos combinados ESMREC. Véase también Configuración de un ESM redundante en la página 313 Sustitución de un ESM redundante en la página 315 Configuración de un ESM redundante Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno de los ESM de forma que se comuniquen entre ellos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 313 3 Configuración del ESM ESM redundante Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Active SSH en el ESM principal y todos los redundantes. a En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de red. b Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar. Configure los ESM redundantes. a Inicie sesión, acceda a Propiedades del sistema en el árbol de navegación y haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia. b En el campo Tipo de ESM, seleccione Redundante, escriba la dirección IP y el puerto SSH del ESM principal y haga clic en Aceptar. c Cuando se le advierta de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan la conexión con el ESM, haga clic en Sí. La consola del ESM redundante se cerrará. 3 Inicie sesión en el ESM principal. 4 En el árbol de navegación del sistema, acceda a Propiedades del sistema y haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia. 5 En el campo de tipo de ESM, seleccione Principal, seleccione el puerto SSH para el ESM principal, agregue una dirección de correo electrónico y seleccione o agregue el ESM redundante a la tabla. Puede agregar un máximo de cinco ESM redundantes. 6 Haga clic en Aceptar. Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan la conexión con el ESM. 7 8 Haga clic en Sí para continuar con la sincronización. • Si ha especificado una dirección de correo electrónico para las notificaciones, se enviará un mensaje de correo electrónico cuando el ESM esté listo para la finalización. • Si no ha proporcionado un correo electrónico, vuelva a iniciar sesión y compruebe el estado. Finalice la configuración. a Acceda a la página Configuración de redundancia de nuevo (Paso 2a). b Haga clic en Finalizar. Los ESM principal y secundarios se desactivarán para la sincronización final. El sistema volverá a activarse cuando el proceso termine. Véase también ESM redundante en la página 313 Sustitución de un ESM redundante en la página 315 Página Configuración de redundancia en la página 315 314 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM ESM redundante Página Configuración de redundancia Permite configurar un ESM principal y otro secundario para guardar la configuración del sistema. Tabla 3-187 Definiciones de opciones Opción Definición Tipo de ESM Seleccione si este ESM es el principal o el ESM redundante. Si es el principal, rellene el resto de los campos. Si es el redundante, introduzca el puerto SSH y la dirección IP del ESM principal. Puerto SSH Seleccione el puerto SSH a través del cual se comunican los dispositivos. Correo electrónico para Escriba la dirección de correo electrónico de la persona que deba recibir la notificaciones notificación cuando el ESM esté listo para la sincronización final. Dirección IP del ESM principal (Cuando se selecciona Redundante) Escriba la dirección IP del ESM principal con el que se va a sincronizar el ESM redundante. Tabla (Cuando se ha seleccionado Principal) Permite administrar la lista de ESM redundantes. Se pueden agregar hasta cinco ESM para la sincronización con el ESM principal. Si ha recibido la notificación para finalizar una sincronización, haga clic en el ESM y, después, en Finalizar. Mientras la sincronización final está en curso, los usuarios pierden la conexión con el ESM. Exportar archivos incrementales Utilice esta función solamente si el ESM primario y el redundante no pueden comunicarse entre sí. (Cuando se ha seleccionado Principal) Exporte los archivos del ESM principal a una ubicación remota. Después, podrá transferirlos manualmente al ESM redundante. Si el perfil de la ubicación remota ya se ha definido, podrá seleccionarlo en la lista desplegable. De lo contrario, haga clic en Exportar archivos incrementales y agregue el perfil al ESM. Véase también Configuración de un ESM redundante en la página 313 Sustitución de un ESM redundante Si un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo. Antes de empezar Agregue el nuevo ESM redundante al sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva dirección IP redundante en el campo Dirección IP de ESM redundante. 3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta. McAfee Enterprise Security Manager 9.6.0 Guía del producto 315 3 Configuración del ESM Administración de ESM 4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos dispositivos. 5 Seleccione Sincronizar todo el ESM y haga clic en Aceptar. Véase también ESM redundante en la página 313 Configuración de un ESM redundante en la página 313 Sustitución de un ESM redundante en la página 315 Desactivación de las consultas compartidas La función de consultas compartidas reduce la carga sobre el ESM principal en un sistema redundante. La reducción se logra mediante la ejecución de consultas en los ESM redundantes cuando el intervalo de fechas especificado de la consulta indica que los datos de la consulta están presentes en un ESM redundante. Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Cuando la función Consultas compartidas está activada, se envían consultas al ESM redundante si los datos solicitados abarcan más de 30 días o la hora de inicio de la consulta supera las 12 horas desde la hora actual del ESM. Los resultados de estas consultas siempre se devuelven al ESM principal. La opción Consultas compartidas está activada de forma predeterminada. Si el ESM redundante es de un modelo anterior, es posible que se tarde más en procesar las consultas. Si necesita que las consultas se procesen con mayor rapidez, puede desactivar esta función. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades . 2 Haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia. 3 En la página Configuración de redundancia, anule la selección de Consultas compartidas y, después, haga clic en Aceptar. Se produce un reinicio de CPService. Administración de ESM Existen varias operaciones que se pueden realizar para administrar el software, los registros, los certificados, los archivos de funciones y las claves de comunicación de ESM. 316 Ficha Opción Definición Configuración Administrar registros Configurar los tipos de eventos que se almacenan en el registro de eventos. Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos ESM jerárquicos. Camuflaje Definir la configuración global para enmascarar ciertos datos en cualquier registro de alerta enviado mediante el reenvío de eventos o enviado a un ESM principal. Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos se pueden usar con fines de auditoría. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de ESM Ficha Administración de claves Mantenimiento Opción Definición Configuración regional del sistema Seleccionar el idioma del sistema que se usará para registrar eventos, como en el caso del registro de dispositivos y el monitor de estado. Asignación de nombre Permite anular la selección de los puertos y los protocolos de forma que muestren números sin procesar en lugar de nombres. Por ejemplo, si se anula la selección de Puerto de origen o Puerto de destino, http:80 se mostrará como 80. Si se selecciona Protocolos, el número sin procesar 17 aparecerá como udp. Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL). Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Exportar todas las claves Exportar las claves de comunicación de todos los dispositivos del sistema en lugar de tener que exportarlas una a una. Restaurar todas las claves Restaurar las claves de comunicación de todos los dispositivos o los dispositivos seleccionados que se exportaron mediante la función Exportar todas las claves. Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las reglas de McAfee o a través de un ingeniero de seguridad de McAfee. Datos de ESM Permite descargar un archivo .tgz que contiene información sobre el estado del ESM. Este estado puede ayudar al Soporte de McAfee a solucionar problemas y corregir errores. Administrador de tareas Ver las consultas en ejecución en el ESM y detenerlas, si procede. Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Reiniciar Detener y reiniciar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Terminal Esta función está destinada únicamente a usuarios avanzados. Introducir comandos de Linux en el ESM. El terminal es solo un emulador parcial del modo por lotes, por lo que no están disponibles todos los comandos. • El terminal no mantiene un directorio de trabajo actual. • No se puede utilizar cd para ir a otro directorio. • Se deben emplear los nombres de rutas completos. • Los operadores > y >> no funcionan; todos los resultados se muestran en pantalla. Obtener funciones Si ha adquirido funciones adicionales, actívelas en el ESM mediante la descarga de un archivo cifrado que contiene información sobre las funciones que admite el ESM. Establecer funciones Instalar el archivo descargado mediante Obtener funciones. McAfee Enterprise Security Manager 9.6.0 Guía del producto 317 3 Configuración del ESM Administración de ESM Ficha Opción Definición Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistema cuando solicita ayuda. Esta opción no es conforme a FIPS, así que no está disponible cuando se emplea el modo FIPS. Ver estadísticas Permite acceder a la información siguiente sobre cualquier dispositivo ESM: • Estadísticas de utilización de memoria y espacio de intercambio • Uso de la CPU • Actividad de conmutación del sistema • Estadísticas de velocidad de transferencia y entrada/salida • Promedios de longitud de cola y carga Véase también Página Administración de ESM en la página 318 Página Administración de ESM Permite administrar el software, los registros, las estadísticas de dispositivos, los certificados, los archivos de funciones y las claves de comunicación del ESM. Ficha Opción Descripción Ficha Configuración Administrar registros Configurar los tipos de eventos que se almacenan en el registro de eventos. Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos ESM jerárquicos. Camuflaje Enmascarar los campos seleccionados en cualquier registro de alerta enviado mediante el reenvío de eventos o enviado a un ESM principal. Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos se pueden usar con fines de auditoría. Configuración regional del sistema Seleccione el idioma que se usará para los registros de eventos, como el monitor de estado y el registro de dispositivos. Asignación de nombre Permite anular la selección de los puertos y los protocolos de forma que muestren números sin procesar en lugar de nombres. Por ejemplo, si se anula la selección de Puerto de origen o Puerto de destino, http:80 se mostrará como 80. Si se selecciona Protocolos, el número sin procesar 17 aparecerá como udp. Certificado Instalar un nuevo certificado SSL. Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Cuando se regenere la clave, se sustituirá el par de claves anterior en todos los dispositivos administrados por el ESM. Exportar todas las claves Exportar las claves de comunicación de todos los dispositivos del sistema en lugar de tener que exportarlas una a una. Restaurar todas las claves Restaurar las claves de comunicación de todos los dispositivos o los dispositivos seleccionados que se exportaron mediante la función Exportar todas las claves. Ficha Administración de claves 318 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de ESM Ficha Opción Descripción Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las reglas de McAfee o a través de un ingeniero de seguridad de McAfee. Datos de ESM Permite descargar un archivo .tgz que contiene información sobre el estado del ESM. Este estado puede ayudar al Soporte de McAfee a solucionar problemas y corregir errores. Administrador de tareas Permite ver y administrar las consultas que se están ejecutando en el ESM. Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Reiniciar Iniciar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Terminal Introducir comandos de Linux en el ESM. El terminal es solo un emulador parcial del modo por lotes, así que no estarán disponibles todos los comandos (véase Comandos de Linux disponibles). El terminal no identifica un directorio de trabajo actual. No se puede utilizar cd para cambiar de directorio. Es necesario utilizar los nombres de ruta completos. Los operadores > y >> no funcionan. El sistema muestra todos los resultados en la pantalla. Esta función está destinada únicamente a usuarios avanzados. Obtener funciones Para activar las funciones nuevas de ESM adquiridas, descargue en primer lugar un archivo cifrado que contiene información sobre las funciones de ESM admitidas en su caso actualmente. Establecer funciones Instalar el archivo descargado mediante Obtener funciones. Conectar o Desconectar Otorgar al personal de soporte técnico acceso a su sistema cuando se llama a McAfee para solicitar ayuda. Esta opción no es conforme a FIPS, así que no está disponible cuando se emplea el modo FIPS. Ver estadísticas Permite acceder a la información siguiente sobre cualquier dispositivo ESM: • Estadísticas de utilización de memoria y espacio de intercambio • Uso de la CPU • Actividad de conmutación del sistema • Estadísticas de velocidad de transferencia y entrada/salida • Promedios de longitud de cola y carga Véase también Administración de ESM en la página 316 Administración de registros Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea guardar en el registro de eventos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 319 3 Configuración del ESM Administración de ESM Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar. 3 Haga clic en Aceptar. Véase también Página Administración de registro eventos en la página 320 Página Administración de registro eventos Permite seleccionar los tipos de registros de eventos que debe generar el dispositivo. Tabla 3-188 Definiciones de opciones Opción Definición Especifique qué tipos de registros de eventos se deben generar en este dispositivo Seleccione tipos o anule su selección para especificar qué tipos de registros de eventos desea que recopile este ESM. Al hacer clic en un tipo, aparece una descripción. Véase también Administración de registros en la página 319 Tipos de eventos Estos son los tipos de registros de eventos generados en el ESM. Tipo de evento Eventos registrados Autenticación Inicio de sesión, cierre de sesión y cambios de cuentas de usuario. Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre debe establecerse con el valor Ninguno. Copia de seguridad Proceso de copia de seguridad de la base de datos. Lista negra Envío de entradas de lista negra al dispositivo. Dispositivo Cualquier cambio de dispositivo o de comunicación, como obtención de eventos, flujos y registros. Reenvío de eventos Cambios o errores de reenvío de eventos. Monitor de estado Eventos de estado de dispositivo. Notificaciones Cambios o errores de notificación. Directiva Administración y aplicación de directivas. Servidor de reglas Descarga y validación de reglas descargadas del servidor de reglas. En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas. 320 Sistema Cambios de configuración del sistema y registro de reinicio de tablas. Vistas Cambios en vistas y consultas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de ESM Enmascaramiento de direcciones IP Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el reenvío de eventos a un ESM principal. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Administración de ESM | Jerarquía de ESM. 2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos. Se abrirá la página Selección de campos de ocultación. 3 Seleccione los campos que desee enmascarar. 4 Haga clic en Aceptar. Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario, los datos seleccionados se ocultarán. Véase Página Página Página Página también ESM jerárquicos en la página 321 Selección de campos de ocultación en la página 322 Configuración de ocultación en la página 322 Red local en la página 322 Página ESM jerárquicos Apruebe el ESM principal para permitirle extraer eventos del DESM. Sin esta aprobación, el principal solo puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados en el DESM. Tabla 3-189 Definiciones de opciones Opción Definición Tabla ESM jerárquicos Permite ver la lista de los ESM principales que acceden a un ESM secundario. Aprobado Seleccione esta opción para aprobar la comunicación SSH entre el ESM principal y el DESM. Camuflar Seleccione esta opción para ocultar los datos elegidos. Se abrirá el cuadro de diálogo Selección de campos de ocultación. Haga clic aquí para editar la configuración de ocultación. Haga clic aquí para eliminar el ESM principal de la tabla. Si lo hace, ya no podrá recuperar datos del DESM. Un administrador del sistema puede cortar la comunicación entre un ESM principal y un DESM en cualquier momento. Véase también Enmascaramiento de direcciones IP en la página 321 McAfee Enterprise Security Manager 9.6.0 Guía del producto 321 3 Configuración del ESM Administración de ESM Página Selección de campos de ocultación Seleccione los datos de eventos de DESM que el ESM principal no debería ver. Tabla 3-190 Definiciones de opciones Opción Definición Lista Disponible para ocultación Muestra los campos que se pueden ocultar. Esta lista incluye campos que podrían contener datos confidenciales, así como todos los tipos personalizados. Para localizar un campo en la lista, escriba el nombre en el campo de búsqueda. Lista Campos seleccionados Muestra los campos ocultos actualmente. Flechas Permiten mover los campos seleccionados de una lista a otra. Vínculo Configurar las opciones de Haga clic en esta opción para agregar o cambiar la configuración de ocultamiento globales ocultación para el sistema. Véase también Enmascaramiento de direcciones IP en la página 321 Página Configuración de ocultación Permite enmascarar las direcciones IP que no pertenecen a la red local. Tabla 3-191 Definiciones de opciones Opción Definición Valor de origen Si desea asegurarse de que el camuflaje se lleve a cabo de la misma forma siempre, introduzca un origen en el campo Valor de origen o haga clic en Generar para generar un origen aleatorio. Esto resulta útil cuando se ocultan las direcciones IP de varios ESM y se desea mantener los valores sincronizados. Incluir red local Seleccione esta opción para ocultar las direcciones IP de dentro y fuera de la red local. Esto abarca los tipos personalizados de IP, tales como las direcciones IPv4 e IPv6. Modificar configuración de red local Haga clic en esta opción para editar las direcciones IP de la red local. Véase también Enmascaramiento de direcciones IP en la página 321 Página Red local Permite establecer los detalles de la red local. Tabla 3-192 Definiciones de opciones Opción Definición Campo Red local Introduzca una lista de las direcciones IP o subredes incluidas en la red local, separadas por comas. Este campo admite un máximo de 2000 caracteres. Si su red local es más larga, puede consolidar varias subredes en una red local más corta gracias a la notación CIDR. Véase también Enmascaramiento de direcciones IP en la página 321 Descubrimiento de red en la página 485 322 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de ESM Configuración del registro de ESM Si tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventos internos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registro predeterminado. Antes de empezar Agregue un dispositivo ELM al sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Configuración, haga clic en Registro. 3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar. Véase también Páginas de Registro en la página 323 Páginas de Registro Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar los datos de eventos internos de ESM. Tabla 3-193 Definiciones de opciones Opción Definición Página Configuración de registro Seleccione Registro. Página Asociación dispositivo ELM Si no ha asociado un ELM con este ESM, se le preguntará si desea hacerlo. Haga clic en Sí. Página Seleccionar ELM para registro Si dispone de más de un dispositivo ELM en el sistema, seleccione el ELM donde desee almacenar los datos. Este ESM siempre registrará los datos en el ELM seleccionado. Página Seleccionar dirección IP de Seleccione la dirección IP mediante la cual desee que se comunique el ELM ESM con el ELM. Se le notificará cuando el ELM seleccionado esté correctamente asociado con el dispositivo. Página No hay grupos de ELM Si no se han configurado grupos de almacenamiento en el ELM, se le informará de que es necesario agregar grupos de almacenamiento al ELM antes de activar el registro. Página Opciones de registro de ELM Seleccione el grupo de almacenamiento donde se deben registrar los datos. Véase también Configuración del registro de ESM en la página 323 Exportación y restauración de claves de comunicación Es posible exportar las claves de comunicación de todos los dispositivos del sistema a un único archivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si es necesario. • En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; a continuación, haga clic en la ficha Administración de claves. McAfee Enterprise Security Manager 9.6.0 Guía del producto 323 3 Configuración del ESM Administración de ESM Para... Haga esto... Exportar todas las claves de comunicación 1 Haga clic en Exportar todas las claves. 2 Establezca la contraseña del archivo de claves y haga clic en Aceptar. 3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar. Restaurar todas las claves de comunicación 1 Haga clic en Restaurar todas las claves. 2 Localice el archivo creado al exportar las claves y haga clic en Abrir. 3 Haga clic en Cargar e introduzca la contraseña establecida. 4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar. Regeneración de una clave SSH Es posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Administración de claves, haga clic en Regenerar SSH. Se le advertirá de que la nueva clave sustituirá a la anterior. 3 Haga clic en Sí. Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos administrados por el ESM. Administrador de tareas de consultas Si cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, que muestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultas concretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen más probabilidades de afectar al rendimiento. La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrar consultas. Utilice esta función con la ayuda del Soporte de McAfee. Entre las características del administrador de tareas se encuentran: 324 • Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación, alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema. • Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta. • De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los detalles. Si la consulta se completa, deja de aparecer en la lista. • Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar lista automáticamente. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Administración de ESM • Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la selección de Ocultar tareas del sistema. • Las columnas de la tabla se pueden ordenar. • Es posible seleccionar y copiar los datos del área Detalles de consulta. • Si una consulta se puede cerrar, aparece un icono de eliminación clic en él, se solicita confirmación mediante un cuadro de diálogo. en la última columna. Al hacer Administración de consultas en ejecución en ESM El Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible ver su estado y eliminarlas si afectan al rendimiento del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de tareas. 3 Revise la lista de consultas en ejecución y realice las acciones necesarias. . Véase también Página Administrador de tareas en la página 325 Página Administrador de tareas Permite ver y administrar las consultas que se están ejecutando en el ESM. Tabla 3-194 Definiciones de opciones Opción Definición Tabla Ver una lista de las consultas que se están ejecutando en el ESM. Las columnas de la tabla se pueden ordenar. Detalles de consulta Ver los detalles sobre la tarea seleccionada en la tabla. Es posible seleccionar y copiar este texto. Ocultar tareas del sistema Anule la selección de esta opción para ver las tareas del sistema, que son las tareas que aún no se han identificado. Actualizar lista automáticamente Anule la selección de esta opción si no desea que la lista se actualice automáticamente cada cinco segundos. Si selecciona una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los detalles. Si la consulta se completa, deja de aparecer en la lista. Haga clic para eliminar la tarea. Tenga cuidado a la hora de eliminar tareas. Véase también Administración de consultas en ejecución en ESM en la página 325 Actualización de un ESM principal o redundante Si va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitar perder los datos de eventos, flujos y registros. McAfee Enterprise Security Manager 9.6.0 Guía del producto 325 3 Configuración del ESM Administración de ESM Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Desactive la recopilación de alertas, flujos y registros. a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos y registros. b Anule la selección de Intervalo de comprobación automática. 2 Actualice el ESM principal. 3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que procesar. 4 Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobación automática una vez más. Si la actualización falla, véase Ampliación a ESM 9.3. Acceso a un dispositivo remoto Si un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutar comandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal en curso. 5 Haga clic en Cerrar. Véase también Página Terminal en la página 327 Página Terminal de dispositivo en la página 327 326 McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Administración de ESM 3 Página Terminal Permite ejecutar comandos de Linux para acceder a un dispositivo remoto. Esta función es para usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee. Tabla 3-195 Definiciones de opciones Opción Definición Introducir comando Introduzca comandos de Linux y pulse Intro. Esto es solo un emulador del modo por lotes, así que no estarán disponibles todos los comandos (véase Comandos de Linux disponibles). Borrar Permite borrar el contenido del cuadro de texto Terminal. Exportar Permite guardar el contenido del cuadro de texto. Véase también Acceso a un dispositivo remoto en la página 326 Página Terminal de dispositivo Si es un usuario avanzado y está colaborando con el Soporte de McAfee, use esta opción para introducir comandos de Linux en el dispositivo seleccionado. Tabla 3-196 Definiciones de opciones Opción Definición Introducir comando Escriba el comando. Al pulsar la tecla Retorno, el comando se agregará a la página Terminal. Véase Comandos de Linux disponibles para ver una lista de los comandos que puede utilizar. Borrar Haga clic para eliminar el contenido de la página. Exportar Permite guardar el contenido de la página en un archivo. La exportación no incluirá los resultados borrados de la página de terminal durante la sesión de terminal en curso. Transferencia de archivos Transfiere archivos entre el ESM y este dispositivo. Véase también Acceso a un dispositivo remoto en la página 326 Utilización de comandos de Linux Es posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función está destinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después, haga clic en Aceptar. 3 Escriba los comandos Linux (véase Comandos de Linux disponibles). McAfee Enterprise Security Manager 9.6.0 Guía del producto 327 3 Configuración del ESM Administración de ESM 4 Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario. 5 (Opcional) Haga clic en Exportar para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página de terminal durante la sesión en curso. Comandos de Linux disponibles Estos son los comandos disponibles en la página Terminal. comandos de la página Terminal • getstatsdata • echo • ps • date • grep • ethtool • ifconfig • df • kill • tar • sensors • netstat • service • sar • cat • tail • rm • locate • iptables • tcpdump -c -w • updatedb • ip6tables • cp Estos son los comandos disponibles que se modifican antes de la ejecución. Este comando... Cambia a... II ll--classify ping ping -c 1 ls ls--classify top top -b -n 1 ping6 ping6 -c 1 Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos, consulte http://www.linuxmanpages.com. 328 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Uso de una lista negra global Uso de una lista negra global Una lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS o virtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivos Nitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicable a todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de lista negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de Nitro IPS. Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está desactivada en todos los dispositivos hasta que se activa. La página Editor de la lista negra global incluye tres fichas: • Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. • Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. • Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. A la hora de agregar entradas: • La opción Agregar se activa cuando se cambia la dirección IP o el puerto. • Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. • Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. • Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP y se rellenará el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No confíe en esta herramienta para garantizar el bloqueo de algunos sitios web. Véase también Establecimiento de una lista negra global en la página 329 Establecimiento de una lista negra global Se puede establecer una lista negra global común para todos los dispositivos seleccionados, de forma que no sea necesario introducir la misma información en varios dispositivos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 329 3 Configuración del ESM Uso de una lista negra global Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la lista negra. 3 Seleccione los dispositivos que deben usar la lista negra global. 4 Haga clic en Aplicar o en Aceptar. Procedimientos • Página Administrar listas negras globales en la página 331 Seleccione los dispositivos Nitro IPS que utilizan la lista negra global. Véase también Uso de una lista negra global en la página 329 Página Lista negra global en la página 330 Página Administrar listas negras globales en la página 331 Página Lista negra global Permite configurar una lista negra global para bloquear el acceso de tráfico específico a todos los dispositivos virtuales y Nitro IPS. Tabla 3-197 Definiciones de opciones 330 Opción Definición Ficha Orígenes bloqueados Permite administrar las direcciones IP de origen que se desea bloquear. Ficha Destinos bloqueados Permite administrar las direcciones IP de destino que se desea bloquear. Ficha Exclusiones Permite administrar la lista de direcciones IP que nunca se deben incluir en la lista negra de forma automática, como los servidores DNS o de otro tipo, o bien la estación de trabajo del administrador del sistema. Dirección IP A la hora de agregar un elemento a una lista, escriba la dirección IP. Búsqueda Permite buscar la descripción correspondiente a la dirección IP introducida. Agregar Tras escribir la dirección IP, haga clic aquí para agregarla a la lista. Puerto Escriba un número de puerto si desea restringir el efecto de la lista negra a un puerto de destino específico. La configuración predeterminada es cero (0), lo cual permite cualquier puerto. Modificar Puede cambiar la descripción de un elemento de lista negra existente y, después, hacer clic en esta opción. Descripción (Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda para localizar una descripción. A fin de cambiar la descripción de una dirección existente, realice los cambios y haga clic en Modificar. Administrar Haga clic aquí para abrir una lista de dispositivos virtuales y Nitro IPS del ESM y, a continuación, seleccione los dispositivos que deberían utilizar la lista negra global. Icono Escribir Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si sale de la página de lista negra antes de escribir los cambios, no se guardarán. McAfee Enterprise Security Manager 9.6.0 Guía del producto Configuración del ESM Enriquecimiento de datos 3 Tabla 3-197 Definiciones de opciones (continuación) Opción Definición Icono Leer Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y las exclusiones. Icono Quitar Permite quitar el elemento seleccionado de la lista negra. El campo Estado cambiará a Eliminar en la siguiente operación de escritura. Icono Ver eventos Permite generar un informe de eventos procedentes de las direcciones IP que los provocan. El informe se mostrará a modo de vista en la consola. Véase también Establecimiento de una lista negra global en la página 329 Página Administrar listas negras globales Seleccione los dispositivos Nitro IPS que utilizan la lista negra global. Tabla 3-198 Definiciones de opciones Opción Definición Tabla Permite ver una lista de los dispositivos Nitro IPS del ESM y si tienen o no activada la lista negra global. Columna Activado Seleccione los dispositivos que utilicen la lista negra global. Véase también Establecimiento de una lista negra global en la página 329 Enriquecimiento de datos Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con contexto no presente en el evento original como, por ejemplo, una dirección de correo electrónico, un número de teléfono o información sobre la ubicación del host. Estos datos enriquecidos pasan a formar parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos originales. Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos, tanto para eventos como para flujos. También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la página Enriquecimiento de datos. Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM, no en los dispositivos. Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares de clave-valor del origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer a un receptor de forma regular para enriquecer los eventos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 331 3 Configuración del ESM Enriquecimiento de datos Véase también Adición de orígenes de enriquecimiento de datos en la página 332 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337 Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página 338 Adición de orígenes de enriquecimiento de datos Agregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Enriquecimiento de datos | Agregar. Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de enriquecimiento seleccionado. 2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente. 3 Haga clic en Finalizar y, después, en Escribir. 4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga clic en Aceptar. Véase también Enriquecimiento de datos en la página 331 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337 Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página 338 Página Enriquecimiento de datos en la página 332 Página Asistente de enriquecimiento de datos en la página 333 Página Dispositivos y regla en la página 335 Página Enriquecimiento de datos Permite administrar los orígenes de enriquecimiento de datos. Podrá ver los orígenes del sistema, lo cual incluye su frecuencia de extracción y si están o no activados. Tabla 3-199 Definiciones de opciones Opción Definición Agregar Permite agregar un nuevo origen de enriquecimiento de datos. Editar Realizar cambios en un origen existente. Quitar Eliminar un origen existente. Ejecutar ahora Ejecutar una consulta en el origen de enriquecimiento de datos seleccionado. 332 McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Enriquecimiento de datos Tabla 3-199 Definiciones de opciones (continuación) Opción Definición Activado Activar o desactivar el origen de datos de enriquecimiento de datos seleccionado. Escribir Haga clic aquí para escribir la configuración en los dispositivos seleccionados en la ficha Destino al agregar o editar los orígenes. Véase también Adición de orígenes de enriquecimiento de datos en la página 332 Página Asistente de enriquecimiento de datos Para agregar un origen de enriquecimiento de datos, defina la forma de conectar con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. Al hacerlo, se enriquecen los eventos enviados por el origen de datos situado en sentido ascendente con contexto no presente en el evento original. Tabla 3-200 Definiciones de opciones Ficha Opción Definición Ficha Principal Nombre Escriba un nombre para el origen. Activar Indique si desea activar este origen o no. Tipo de búsqueda Seleccione el tipo de datos que utilizar para la búsqueda. Tipo de enriquecimiento Seleccione el tipo de datos que desee enriquecer. Frecuencia de extracción Seleccione la frecuencia con que se debe ejecutar este origen de enriquecimiento de datos. Ficha Origen • Los tipos de orígenes CIFS, NFS, FTP, SFTP y SCP solo pueden utilizar archivos externos para el enriquecimiento. El resto de tipos de orígenes requieren la escritura de una consulta para una base de datos o una expresión regular. • El archivo extraído para el enriquecimiento de datos debe tener el formato ValorBúsqueda=ValorEnriquecimiento. • Cada entrada debe encontrarse en una línea distinta. • En el caso del enriquecimiento de una única columna, solo se necesitan entradas de valor de búsqueda. • Para el enriquecimiento de dos columnas, el valor de búsqueda debe estar separado del valor de enriquecimiento mediante el signo igual (=). Por ejemplo, un archivo que emplea direcciones IP correspondientes a nombres de host podría tener un aspecto similar a este: 10.5.2.3=Nueva York 10.5.2.4=Houston Tipo Tipo de controlador de base de datos para el origen. Autenticación Si se selecciona Básica, indique el nombre de usuario y la contraseña para el sitio web en caso de que requiera el inicio de sesión. La configuración predeterminada es Ninguno. Nombre de base de datos Nombre de la base de datos. Host El nombre del equipo que ejecuta la base de datos. Ignorar certificados no válidos Si el sitio web en el que intenta realizar la búsqueda está en una dirección URL HTTPS, seleccione esta opción para ignorar los certificados SSL no válidos. Dirección IP Dirección IP de la base de datos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 333 3 Configuración del ESM Enriquecimiento de datos Tabla 3-200 Definiciones de opciones (continuación) Ficha Ficha Análisis Opción Definición Host de Jobtracker Dirección de host o dirección IP de Jobtracker de Apache Hadoop. No es obligatorio indicarlo; si se deja en blanco, el sistema utiliza el host de Namenode. Puerto de Jobtracker Puerto de escucha del host de Jobtracker. No es obligatorio indicarlo; si se deja en blanco, el sistema utiliza el host de Namenode. Método Si se selecciona POST, pueden ser necesarios el contenido o argumento correspondientes para navegar a la página web que incluye el contenido en el que se desea buscar. La configuración predeterminada es GET. Punto de montaje El directorio para los archivos. Host de Namenode Dirección de host o dirección IP de Namenode de Apache Hadoop. No incluya el protocolo. Puerto de Namenode Puerto de escucha del host de Namenode. No es obligatorio indicarlo; si se deja en blanco, el sistema utiliza el host de Namenode. Contraseña La contraseña para acceder a la base de datos. Ruta La ruta de acceso a la base de datos. Si selecciona FTP en el campo Tipo, la ruta hará referencia al directorio de inicio. A fin de especificar una ruta absoluta en el servidor FTP, inserte una barra diagonal adicional (/) al principio de la ruta. Por ejemplo, //var/ local/ruta. Puerto El puerto de la base de datos. Nombre de recurso compartido El directorio para los archivos. Nombre de usuario El nombre del usuario que puede acceder a la base de datos. En el caso de LDAP, introduzca un nombre de dominio completo sin espacios. Por ejemplo, uid=blas,ou=Usuarios,dc=ejemplo,dc=com o [email protected]. Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite ver las primeras 200 líneas del código fuente HTML correspondiente a la URL introducida en el campo URL de la ficha Origen. Se trata solo de una vista previa del sitio web, pero es suficiente a fin de escribir una expresión regular para la coincidencia. Una actualización planificada o ejecutada mediante Ejecutar ahora del origen de enriquecimiento de datos incluye todas las coincidencias correspondientes a la búsqueda mediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}). 334 Líneas de encabezado que omitir Normalmente, un sitio de Internet tiene un código de encabezado en el que no es necesario buscar. Especifique cuántas líneas del principio del sitio desea omitir para que la búsqueda no incluya los datos del encabezado. Delimitador de línea nueva Escriba lo que se utiliza en el sitio para separar los valores en los que esté interesado. Este campo tiene el valor predeterminado \n, que indica que el delimitador es una línea nueva. El otro delimitador más habitual es la coma. Ignorar expresión Escriba una expresión regular que elimine los valores no deseados de los resultados de la búsqueda realizada mediante una expresión regular. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Enriquecimiento de datos Tabla 3-200 Definiciones de opciones (continuación) Ficha Opción Definición Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una coincidencia y extraer los valores del sitio. Los casos de uso más comunes son crear una expresión que coincida con una lista de direcciones IP o sumas MD5 maliciosas conocidas incluidas en un sitio. Si ha proporcionado dos grupos de coincidencia en la expresión regular, puede asignar los resultados de cada coincidencia de regex a Valor de búsqueda o a Valor de enriquecimiento. Valor de búsqueda o El valor que buscar en los eventos recopilados del ESM donde se desea agregar más valores. Está asignado al Campo de búsqueda de la ficha Destino. Valor de enriquecimiento El valor enriquecido o insertado en los eventos de origen que coincide con el valor de búsqueda. Está asignado al Campo de enriquecimiento de la ficha Destino. Ficha Consulta Permite configurar la consulta para los tipos Hadoop HBase (REST), Hive, LDAP, MSSQL, MySQL, Oracle, PIG o McAfee Real Time for McAfee ePO. Ficha Calificación Ajuste la calificación para cada valor devuelto por una consulta de una única columna. Seleccione el campo de origen y el campo de destino donde desee aplicar la calificación y haga clic en Ejecutar consulta. Ficha Destino Valor Muestra los valores devueltos. Calificación Muestra el stepper numérico que se puede utilizar a fin de establecer la calificación de riesgo para el valor. Realice cambios si procede y, después, haga clic en Actualizar lista. Permite ver los dispositivos y la regla para la asignación de campos correspondiente a los dispositivos alimentados por este origen de enriquecimiento de datos. Agregar Permite seleccionar los dispositivos y las reglas. Editar Permite cambiar la configuración de los dispositivos o las reglas. Quitar Permite eliminar la configuración de dispositivos o reglas. Véase también Adición de orígenes de enriquecimiento de datos en la página 332 Página Dispositivos y regla Seleccione los dispositivos que desee enriquecer y cree una regla de asociación de campos para los dispositivos. Tabla 3-201 Definiciones de opciones Opción Definición Campo de búsqueda Seleccione el campo por el que se buscará. Campo de enriquecimiento Seleccione el campo que se enriquecerá. Usar valor estático Seleccione esta opción si desea usar un valor estático. Valor de enriquecimiento Si ha seleccionado Usar valor estático, deberá introducir el valor de enriquecimiento. Modificar gravedad Seleccione esta opción si desea utilizar la gravedad como campo de enriquecimiento y, después, seleccione el porcentaje de aumento o reducción. Véase también Adición de orígenes de enriquecimiento de datos en la página 332 McAfee Enterprise Security Manager 9.6.0 Guía del producto 335 3 Configuración del ESM Enriquecimiento de datos Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO ™ Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos, es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal. 3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic en la ficha Consulta. 4 Agregue la información solicitada y haga clic en Prueba. Si la consulta no genera la información que necesita, realice ajustes en la configuración. Véase también Enriquecimiento de datos en la página 331 Adición de orígenes de enriquecimiento de datos en la página 332 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337 Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página 338 Adición de un origen de enriquecimiento de datos de Hadoop HBase Es posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los eventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 336 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de datos. 2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga clic en la ficha Origen. 3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el puerto y el nombre de la tabla. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Enriquecimiento de datos 4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta: a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna. b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Por ejemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dXNlcm5hbWU=", "latestVersion": true, "comparator": { "type": "BinaryComparator", "value": "c2NhcGVnb2F0" } } </filter> </Scanner> 5 Complete la información de las fichas Calificación y Destino. Véase también Enriquecimiento de datos en la página 331 Adición de orígenes de enriquecimiento de datos en la página 332 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337 Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página 338 Adición de un origen de enriquecimiento de datos de Hadoop Pig Es posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop Pig. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. 3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de Jobtracker y Puerto de Jobtracker. La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se utilizan el host y el puerto de Namenode de forma predeterminada. McAfee Enterprise Security Manager 9.6.0 Guía del producto 337 3 Configuración del ESM Enriquecimiento de datos 4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente: a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, / user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla HCatalog (por ejemplo, sample_07). b En Columnas, indique cómo enriquecer los datos de columna. Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el siguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog. c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase la documentación de Apache Pig. d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos de columnas. Se requiere información en los campos Origen y Columna. El resto de campos pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de grupos. 5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig. 6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna única. 7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento. Véase también Enriquecimiento de datos en la página 331 Adición de orígenes de enriquecimiento de datos en la página 332 Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página 338 Adición de enriquecimiento de datos de Active Directory para nombres de usuario Es posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombres de pantalla de usuario completos. Antes de empezar Verifique que dispone del privilegio Administración del sistema. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 338 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. 3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formato Nombre_Completo_De_ID_Usuario. 4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena. McAfee Enterprise Security Manager 9.6.0 Guía del producto 3 Configuración del ESM Enriquecimiento de datos 5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice con una frecuencia mayor. 6 Haga clic en Siguiente o en la ficha Origen. 7 8 a En el campo Tipo, seleccione LDAP. b Rellene la dirección IP, el nombre de usuario y la contraseña. Haga clic en Siguiente o en la ficha Consulta. a En el campo Atributo de búsqueda, introduzca sAMAccountName. b En el campo Atributo de enriquecimiento, introduzca displayName. c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de Active Directory clasificados como personas. d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del número de entradas reales. Haga clic en Siguiente o en la ficha Destino. a Haga clic en Agregar. b Seleccione su origen de datos de Microsoft Windows. c En Campo de búsqueda, seleccione el campo Usuario de origen. Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda. d 9 Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formato Alias_Usuario o Nombre_Contacto. Haga clic en Finalizar para guardar los cambios. 10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de activación diaria. El Nombre completo se escribe en el campo Contact_Name. Véase también Enriquecimiento de datos en la página 331 Adición de orígenes de enriquecimiento de datos en la página 332 Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336 Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337 McAfee Enterprise Security Manager 9.6.0 Guía del producto 339 3 Configuración del ESM Enriquecimiento de datos 340 McAfee Enterprise Security Manager 9.6.0 Guía del producto 4 Administración de Cyber Threat McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con rapidez a la actividad de IOC relacionada en su entorno. La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su entorno. Contenido Configuración de la administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat Tipos de indicadores compatibles Errores en la carga manual de un archivo IOC STIX XML Configuración de la administración de Cyber Threat Configure las fuentes para recuperar archivos XML con formato STIX correspondientes a indicadores de compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar listas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC relacionada en su entorno. Antes de empezar Verifique que dispone de los permisos siguientes. • Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber Threat. • Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar. 3 En la ficha Principal, introduzca el nombre de la fuente. McAfee Enterprise Security Manager 9.6.0 Guía del producto 341 4 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en Conectar para probar la conexión. Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat Information Exchange (TAXII). 5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada hora, cada semana y cada mes. Especifique la hora de activación diaria. 6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o campo admitidos. Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia. 7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente. a Elija si desea analizar los eventos, los flujos o ambos. b Indique la antigüedad (en días) para analizar los eventos y los flujos. c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de datos. d En el caso de las alarmas, seleccione un usuario asignado y una gravedad. 8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente. 9 Haga clic en Finalizar. Se le informará cuando el proceso finalice correctamente. Se han agregado nuevas validaciones de archivos e indicadores al tipo de origen de carga manual. Si recibe un error al seleccionar este tipo de origen, véase Errores en la carga manual de un archivo IOC STIX XML para solucionar el problema. Véase también Visualización de resultados de fuentes de Cyber Threat en la página 342 Tipos de indicadores compatibles en la página 343 Errores en la carga manual de un archivo IOC STIX XML en la página 344 Visualización de resultados de fuentes de Cyber Threat Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos identificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez a información detallada sobre las amenazas, las descripciones de los archivos y los eventos correspondientes a cada origen de indicadores. Antes de empezar Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de las fuentes de Cyber Threat de su organización. 342 McAfee Enterprise Security Manager 9.6.0 Guía del producto 4 Administración de Cyber Threat Tipos de indicadores compatibles Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento | Indicadores de Cyber Threat. 2 En la lista de espacios de tiempo, seleccione el periodo de tiempo para la vista. 3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles. 4 Lleve a cabo cualquier acción de vista estándar, tales como: 5 • Crear una lista de vigilancia o anexar datos a una existente. • Crear una alarma. • Ejecutar un comando remoto. • Crear un caso. • Buscar o repetir la última búsqueda. • Exportar el indicador a un archivo CSV o HTML. Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos de origen y Flujos de origen. Véase también Configuración de la administración de Cyber Threat en la página 341 Tipos de indicadores compatibles en la página 343 Errores en la carga manual de un archivo IOC STIX XML en la página 344 Tipos de indicadores compatibles Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su procesamiento. Si el archivo no contiene un indicador normalizado para el ESM, recibirá un mensaje de error. Tabla 4-1 Tipos de indicadores normalizados para el ESM Tipo de indicador Tipo de lista de vigilancia Dirección de correo electrónico Para, De, CCO, CC, ID_Correo, ID_Destinatario Nombre de archivo, Ruta de archivo Ruta_Archivo, Nombre de archivo, Nombre de archivo_Destino, Directorio_Destino, Directorio (Flujos) IPv4, IPv6 Dirección IP, IP de origen, IP de destino (Flujos) Dirección MAC Dirección MAC, MAC de origen, MAC de destino Nombre de dominio completo, Host, Nombre de host_Destino, Nombre de host_Externo, Nombre de host, Nombre de dominio Dominio, Dominio_Web IPv4, IPv6 Dirección IP, IP de origen, IP de destino, IP_Atacante, IP_Grid_Master, IP_Dispositivo, IP_Víctima Dirección MAC Dirección MAC, MAC de origen, MAC de destino Hash MD5 Hash_Archivo, Hash_Archivo_Principal Hash SHA1 SHA1 McAfee Enterprise Security Manager 9.6.0 Guía del producto 343 4 Administración de Cyber Threat Errores en la carga manual de un archivo IOC STIX XML Tabla 4-1 Tipos de indicadores normalizados para el ESM (continuación) Tipo de indicador Tipo de lista de vigilancia Asunto Asunto URL URL Nombre de usuario Usuario de origen, Usuario de destino, Alias_Usuario Clave de Registro de Windows Clave_Registro, Clave.Registro (subtipo del Registro) Valor de Registro de Windows Valor_Registro, Valor.Registro (subtipo del Registro) Véase también Configuración de la administración de Cyber Threat en la página 341 Visualización de resultados de fuentes de Cyber Threat en la página 342 Errores en la carga manual de un archivo IOC STIX XML en la página 344 Errores en la carga manual de un archivo IOC STIX XML Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su procesamiento. Si se produce un problema con la carga, recibirá uno de estos errores. Tabla 4-2 Errores de carga manual de Cyber Threat Error Descripción Solución de problemas ER328: Formato STIX no válido. El formato de archivo no es correcto. • Asegúrese de que el archivo cargado sea un archivo STIX. El motor es compatible con la versión 1.1 de STIX. • Lea la documentación de STIX para verificar que el esquema sea válido. • Open Standards for Information Society (OASIS): organización que se encarga de los estándares STIX (https://www.oasis-open.org/). • STIX Project: contiene los diversos modelos de datos, esquemas y documentos xsd de STIX (https:// stixproject.github.io/). ER329: No se han encontrado indicadores IOC admitidos. El archivo STIX cargado no contiene indicadores normalizados para el ESM. Si necesita procesar un indicador específico, póngase en contacto con el Soporte de McAfee a fin de que lo normalicen para el ESM. Véase Tipos de indicadores compatibles para ver una lista de los tipos de indicadores compatibles con el ESM. Véase también Configuración de la administración de Cyber Threat en la página 341 Visualización de resultados de fuentes de Cyber Threat en la página 342 Tipos de indicadores compatibles en la página 343 344 McAfee Enterprise Security Manager 9.6.0 Guía del producto 5 Uso de paquetes de contenido Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero. Importación de paquetes de contenido McAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación, alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malware específica. Antes de empezar Verifique que dispone de los permisos siguientes. • Administración del sistema • Administración de usuarios Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Comprobación de la existencia de actualizaciones de reglas en la página 32 Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de contenido individuales de forma manual desde el sitio donde se alojan las reglas. 2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 3 Haga clic en Paquetes de contenido. 4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar. Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetes de contenido nuevos o actualizados. a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar. b Haga clic en Cargar. Aparecerá un mensaje que indica el estado de la importación. McAfee Enterprise Security Manager 9.6.0 Guía del producto 345 5 Uso de paquetes de contenido Importación de paquetes de contenido 5 c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye. d Seleccione el paquete de su elección y, después, instale ese paquete de contenido. A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Actualizar o Desinstalar. Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente ha personalizado algún elemento del paquete de contenido, la actualización podría sobrescribir los elementos personalizados. 6 346 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Desinstalar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante para obtener información detallada paso a paso. Contenido Preparación para la creación de alarmas Creación de alarmas Supervisión y respuesta para alarmas Ajuste de alarmas Preparación para la creación de alarmas Antes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESM contenga los siguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios de mensajes, conexión con el servidor de correo, archivos de audio de alarma, cola de informes de alarma y ficha de alarmas visible en el panel. Antes de empezar Para ver las alarmas activadas en el panel, véase Selección de la configuración de usuario en la página 289. Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para las alarmas. Procedimientos • Configuración de mensajes de alarma en la página 347 Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. • Administración de archivos de audio para las alarmas en la página 353 Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de las alarmas. Configuración de mensajes de alarma Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 347 6 Flujo de trabajo de alarmas Preparación para la creación de alarmas Procedimientos • Creación de plantillas de mensajes de alarma en la página 348 Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios de mensajes específicos. • Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Para incluir la información sobre los eventos de origen en los resultados de alarma, configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlación como coincidencia. • Administración de los destinatarios de alarmas en la página 351 Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. Definición de la configuración de los mensajes Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog. ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo de transporte para transmitir datos entre los administradores y los agentes. En una configuración SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una captura distinta. Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada línea de los resultados de la consulta organizados mediante campos separados por comas. Véase también Conexión con el servidor de correo en la página 239 Administración de destinatarios en la página 240 Adición de grupos de destinatarios de correo electrónico en la página 241 Creación de plantillas de mensajes de alarma en la página 348 Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Administración de los destinatarios de alarmas en la página 351 Creación de plantillas de mensajes de alarma Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios de mensajes específicos. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 348 McAfee Enterprise Security Manager 9.6.0 Guía del producto Flujo de trabajo de alarmas Preparación para la creación de alarmas 6 Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono . Propiedades 2 Haga clic en Alarmas. 3 Haga clic en la ficha Configuración y, después, en Plantillas. • Para crear plantillas personalizadas, haga clic en Agregar. • Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar. No se pueden editar las plantillas predefinidas. • Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar. No se pueden eliminar las plantillas predefinidas. 4 • Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiada con otro nombre. • Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela y haga clic en Convertir en predeterminado. Agregue o cambie la siguiente información de plantilla. Opción Descripción Tipo Indique si esta plantilla es para un mensaje de correo electrónico o un SMS. Los mensajes SMS se envían a modo de correo electrónico a un teléfono y el operador los convierte en SMS. Los mensajes SMS tienen un límite de 140 caracteres. Nombre Escriba el nombre de esta plantilla. Descripción Escriba una descripción de lo que incluye la plantilla. Convertir en predeterminado Permite utilizar la plantilla actual como predeterminada al enviar mensajes. McAfee Enterprise Security Manager 9.6.0 Guía del producto 349 6 Flujo de trabajo de alarmas Preparación para la creación de alarmas Opción Descripción Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto del mensaje. Haga clic en el icono Insertar campo y seleccione la información que desee incluir en la línea de asunto del mensaje. Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje. En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje a menos de 950 bytes. ESM no puede enviar mensajes de syslog que superen los 950 bytes. • Elimine cualquiera de los campos incluidos de forma predeterminada si no desea que aparezcan en el mensaje. • Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar un campo de datos. Haga clic en el icono Insertar campo, situado sobre el campo Asunto. A continuación, seleccione el tipo de información que desee que muestre este campo. • Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterar los registros. Inserte los campos que desee incluir por cada registro entre los marcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá esta información en el mensaje para un máximo de diez registros. • Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Para incluir los eventos de origen en las alarmas que utilizan un evento de correlación como coincidencia ( ), haga clic en el icono Insertar campo y seleccione Bloque de eventos de origen. Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo de alarma, el ESM incluye los datos del campo de evento en el mensaje de correo electrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con el origen de datos, las cuales se ejecutan en el receptor en lugar de en el ESM. Seleccione alarmas de Coincidencia de evento interno, las cuales se ejecutan en el ESM y fuerzan la ejecución de una consulta cada vez que caduca la frecuencia de la alarma. Véase también Definición de la configuración de los mensajes en la página 239 Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Administración de los destinatarios de alarmas en la página 351 Configuración de alarmas de correlación para la inclusión de eventos de origen Para incluir la información sobre los eventos de origen en los resultados de alarma, configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlación como coincidencia. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 350 McAfee Enterprise Security Manager 9.6.0 Guía del producto Flujo de trabajo de alarmas Preparación para la creación de alarmas 6 Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 Haga clic en la ficha Configuración y, después, en Plantillas. 4 En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada. 5 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el icono Insertar campo 6 y seleccione Bloque de eventos de origen. Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después, seleccione la información que desee incluir cuando se active la alarma de correlación. En el ejemplo siguiente se ilustra el aspecto de una plantilla de mensaje de alarma cuando se insertan campos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad: Alarma: [$Nombre de alarma] Usuario asignado: [$Usuario asignado de alarma] Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma] [$SOURCE_EVENTS_START] IP de origen: [$IP de origen] IP de destino: [$IP de destino] Gravedad: [$Promedio de gravedad] [$SOURCE_EVENTS_END] Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos. Véase también Definición de la configuración de los mensajes en la página 239 Creación de plantillas de mensajes de alarma en la página 348 Administración de los destinatarios de alarmas en la página 351 Administración de los destinatarios de alarmas Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP en la página 269 y Configuración de perfiles en la página 266. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. McAfee Enterprise Security Manager 9.6.0 Guía del producto 351 6 Flujo de trabajo de alarmas Preparación para la creación de alarmas Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 Haga clic en la ficha Configuración y, después, en Destinatarios. • Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de los destinatarios individuales. • Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico. • Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones. • Haga clic en SNMP para ver o actualizar la siguiente información de SNMP: Opción Descripción Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable. Para agregar un perfil, haga clic en Perfil. Tipo de captura concreto Seleccione el tipo de captura específico. El tipo de captura general siempre se establece en 6 (Específico de empresa). OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la captura que se enviará. Incluya todo desde el primer 1 hasta el número de empresa, incluidos los posibles subárboles de la empresa. Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable con información extra, incluido el número de línea del informe procesado, una cadena que identifica el origen de la captura, el nombre de la notificación que ha generado la captura y el ID del ESM que envía la captura. Incluir solo datos de informe: los enlaces de variable extra no se incluirán en la captura. Formato Cada captura SNMP generada a partir de un informe contiene una línea de datos del informe. • Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal cual en un único enlace de variable. El sistema construye los OID de enlace de datos mediante la concatenación del ID de empresa, el tipo de captura concreta y un número que aumenta automáticamente a partir del 1. • Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informe y envía cada campo en un enlace de datos distinto. Lista de Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datos identificadores OID personalizados. de enlace • Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID de enlace. • Si no especifica suficientes OID de variable para todos los campos de datos del informe, el ESM iniciará el incremento a partir del último OID especificado en la lista. 4 352 Haga clic en Syslog para ver o actualizar la siguiente información de syslog: Opción Descripción IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario. Función y Gravedad Seleccione la función y la gravedad del mensaje. McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Creación de alarmas Véase también Definición de la configuración de los mensajes en la página 239 Creación de plantillas de mensajes de alarma en la página 348 Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 350 Administración de archivos de audio para las alarmas Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de las alarmas. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en la ficha Configuración y, después, en Audio. 3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar. ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audio personalizados. Creación de alarmas Las alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de un número excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo de distracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización. McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiar alarmas existentes y cambiarlas o crear alarmas específicas para su organización. Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas. Procedimientos • Activación o desactivación de la supervisión de alarmas en la página 354 Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. La supervisión de alarmas de ESM está activada de forma predeterminada. • Cómo copiar una alarma en la página 354 Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. • Creación de alarmas en la página 355 Cree una alarma para que se active cuando se cumplan las condiciones definidas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 353 6 Flujo de trabajo de alarmas Creación de alarmas Activación o desactivación de la supervisión de alarmas Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. La supervisión de alarmas de ESM está activada de forma predeterminada. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Si desactiva la supervisión de alarmas para el sistema, el ESM no genera alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la ficha Configuración y, después, en Desactivar o Activar. 4 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica si las alarmas están activadas o desactivadas. 5 • Para activar una alarma específica, resáltela y seleccione Activado. • Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará de generar esta alarma. Haga clic en Aceptar. Véase también Cómo copiar una alarma en la página 354 Creación de alarmas en la página 355 Cómo copiar una alarma Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades 2 354 . Haga clic en Alarmas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Creación de alarmas 3 Seleccione una alarma activada y haga clic en Copiar. En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia. Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar. 4 Cambie el nombre y haga clic en Aceptar. 5 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en Editar. 6 Cambie la configuración según proceda. Véase también Activación o desactivación de la supervisión de alarmas en la página 354 Creación de alarmas en la página 355 Creación de alarmas Cree una alarma para que se active cuando se cumplan las condiciones definidas. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas y, después, en Agregar. 3 Haga clic en la ficha Resumen para definir la configuración general de alarma. 4 • Asigne un nombre a la alarma. • En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Esta lista incluye todos los usuarios y grupos con el privilegio Administración de alarmas. • En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65 es media y 1–32 es baja). • Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar la alarma. En la ficha Condición, identifique las condiciones que activan la alarma. McAfee Enterprise Security Manager 9.6.0 Guía del producto 355 6 Flujo de trabajo de alarmas Creación de alarmas Condición Descripción Tasa de comprobación Seleccione la frecuencia con la que el sistema debe comprobar esta condición. Desviación Especifique un umbral de porcentaje para la comprobación por encima de la referencia y un porcentaje distinto por debajo de la referencia. • Consulta: seleccione el tipo de datos de la consulta. • Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma. • Espacio de tiempo: indique si desea que se consulte el último periodo de tiempo seleccionado en el campo de número o el anterior. • Activar cuando el valor sea: seleccione el alcance de la desviación por encima y por debajo de la referencia para que el ESM active la alarma. Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antes de que ESM genere la alarma. • Icono Filtros: seleccione los valores a fin de filtrar los datos. • Espacio de tiempo: seleccione en qué intervalo se debe producir el número de eventos seleccionado para que el ESM active la alarma. • Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma que la alarma no incluya el brusco aumento al final provocado por la agregación. Por ejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de los eventos recuperados contiene los eventos agregados. Haga coincidir la diferencia del espacio de tiempo con esa cantidad para que el último minuto no se incluya en la medición de los datos. De lo contrario, el ESM incluirá los valores de los datos agregados en el recuento de eventos y provocarán un falso positivo. Coincidencia de campo 1 Arrastre y coloque los iconos AND u OR (véase Elementos lógicos en la página 377) para configurar la lógica de la condición de alarma. 2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la página Agregar campo de filtro. 3 Limite el número de notificaciones recibidas mediante la configuración de la Frecuencia máxima de activación de condición. Cada desencadenador contiene el primer evento de origen que coincide con la condición de activación, pero no los eventos que se producen durante el periodo de activación de la condición. Los eventos nuevos que coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia de activación máxima. Por ejemplo, si establece la frecuencia en diez minutos y se activa una alarma cinco veces en un periodo de diez minutos, el ESM envía un único aviso que contiene cinco alarmas. Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma. En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas. Estado del Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, si monitor de estado selecciona solo Crítico, no se le notificará si se produce un cambio de estado del monitor de estado con el nivel Advertencia (véase ID de firma del monitor de estado en la página 367). 356 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Creación de alarmas Condición Descripción Coincidencia de evento interno • Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma se active cuando el valor no coincida con la configuración. • Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de esta alarma. Los valores que contienen comas deben encontrarse en una lista de vigilancia o delimitados por comillas. • Campo: seleccione el tipo de datos que supervisará esta alarma. Para las alarmas que se activan cuando se genera un evento del monitor de estado, véase Adición de alarmas de eventos del monitor de estado en la página 366. • Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de 1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP de origen reales que activen esta alarma. Frecuencia máxima de activación de condición Seleccione la cantidad de tiempo que debe transcurrir entre condiciones para evitar un aluvión de notificaciones. Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máxima permitida para los eventos analizados antes de que se active la alarma. Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar. 5 En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma. 6 En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma. Acción Descripción Registrar evento Crear un evento en el ESM. Confirmar alarma automáticamente Confirmar la alarma automáticamente tras su activación. Como resultado, la alarma no aparece en el panel Alarmas, pero el sistema la agrega a la vista Alarmas activadas. Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola. Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido y seleccione un archivo de audio. Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurar para identificar el propietario del caso y para seleccionar los campos que incluir en el resumen del caso. Si planea escalar las alarmas, no cree casos. Actualizar lista de vigilancia Cambiar las listas de vigilancia mediante la adición o eliminación de valores en función de la información contenida en un máximo de diez eventos que activan alarmas. Haga clic en Configurar y seleccione qué campo del evento activador se debe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando esta configuración modifica una lista de vigilancia, la ficha Acciones de la vista Alarma activada muestra el cambio. Esta acción requiere que el tipo de condición sea Coincidencia de evento interno. McAfee Enterprise Security Manager 9.6.0 Guía del producto 357 6 Flujo de trabajo de alarmas Creación de alarmas Acción Descripción Enviar mensaje Enviar un mensaje de correo electrónico o SMS a los destinatarios seleccionados. • Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje. • Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes de correo electrónico, SMS, SNMP o syslog), así como la zona horaria y el formato de fecha que utilizar en el mensaje. Si se emplean los siguientes caracteres en el nombre de una alarma, podrían producirse problemas al enviar mensajes SMS: coma (,), comillas ("), paréntesis ( ), barra diagonal o barra diagonal invertida (/ \), punto y coma (;), signo de interrogación (?), arroba (@), corchetes ([ ]), signos de mayor y menor que (< >) y signo de igual (=). Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar y seleccione un informe en la página Configuración de informe o haga clic en Agregar para diseñar un informe nuevo. Si pretende enviar por correo electrónico un informe a modo de datos adjuntos, consulte con su administrador de correo para determinar el tamaño máximo de los datos adjuntos. Los datos adjuntos de correo electrónico de gran tamaño pueden impedir el envío de un informe. Ejecutar comando remoto Ejecutar un comando remoto en cualquier dispositivo que acepte conexiones SSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar para seleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha, y también el host, el puerto, la contraseña del nombre de usuario y la cadena de comando para la conexión SSH. Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos específicos. Haga clic en el icono Insertar variable y seleccione las variables. Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurar para establecer la información necesaria a fin de comunicarse con Remedy: datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envían eventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la ficha Acciones de la vista Alarma activada. Esta acción requiere que el tipo de condición sea Coincidencia de evento interno. Asignar etiqueta con ePO Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP que activan esta alarma. Haga clic en Configurar y seleccione la información siguiente. • Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado. • Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetas disponibles en el dispositivo seleccionado). • Seleccionar el campo: campo en el que basar el etiquetado. • Activar cliente: aplicar las etiquetas de inmediato. Esta acción requiere que el tipo de condición sea Coincidencia de evento interno. Acciones de Real Time for ePO Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivo McAfee ePO seleccionado. Esta opción requiere el complemento de McAfee Real Time for McAfee ePO (versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca el dispositivo como uno de sus endpoints. 358 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Supervisión y respuesta para alarmas Acción Descripción Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se active una alarma. Haga clic en Configurar y seleccione la información siguiente. • Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como la de destino. • Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en la lista negra. La opción Global agrega el dispositivo a la Lista negra global. • Duración: seleccione cuánto tiempo se deben incluir en la lista negra las direcciones IP. Esta acción requiere que el tipo de condición sea Coincidencia de evento interno. Resumen de alarma personalizada 7 Personalizar los campos incluidos en el resumen de una alarma de tipo Coincidencia de campo o Coincidencia de evento interno. En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirme en un período de tiempo específico. Escalación Descripción Escalar después de Indique el tiempo tras el cual desea que se escale la alarma. Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada. Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada. Registrar evento Indique si desea registrar el escalado como un evento. Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducir sonido y seleccione un archivo si desea que la notificación visual se acompañe de un sonido. Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregar destinatario, seleccione el tipo de mensaje y, después, seleccione el destinatario. Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionar el informe. Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepte conexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, el nombre de usuario, la contraseña y la cadena de comando. Véase también Activación o desactivación de la supervisión de alarmas en la página 354 Cómo copiar una alarma en la página 354 Supervisión y respuesta para alarmas Es posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles de alarmas, filtros e informes. Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmas activadas y responder a ellas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 359 6 Flujo de trabajo de alarmas Supervisión y respuesta para alarmas • Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total de alarmas clasificadas por gravedad. Símbolo Gravedad Intervalo Alta 66–100 Media 33–65 Baja 1–32 • Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmas confirmadas se conservan en la vista Alarmas activadas. • Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmas activadas. Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual se cerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra, confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta. Procedimientos • Visualización y administración de alarmas activadas en la página 360 Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas. • Administración de la cola de informes de alarma en la página 362 Si una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar uno o varios de ellos. Visualización y administración de alarmas activadas Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas. Antes de empezar • Verifique con su administrador que pertenece a un grupo de acceso con privilegios de administración de alarmas. • Verifique con su administrador si su consola está configurada para mostrar el panel de registro Alarmas (véase Selección de la configuración de usuario en la página 289). Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM: • Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol de navegación del sistema. • Alerta visual emergente: se abre cuando se activa una alarma. • 2 360 Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas. Siga uno de los procedimientos siguientes: McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Supervisión y respuesta para alarmas Para... Haga esto... Confirmar una alarma • Para confirmar una alarma, haga clic en la casilla de verificación de la primera columna de la alarma activada que desee confirmar. • Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma de la parte inferior de la vista. El sistema elimina las alarmas confirmadas del panel Alarmas, pero se conservan en la vista Alarmas activadas. Eliminar una • Seleccione la alarma activada que desee eliminar y haga clic en el icono alarma del sistema Eliminar alarma Filtrar las alarmas . • Introduzca la información que desee usar como filtro en el panel Filtros y haga clic en el icono Actualizar Cambiar el usuario asignado de las alarmas 1 . Haga clic en el icono Ver detalles de datos alarma en la parte inferior del panel. para mostrar los detalles de 2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo usuario asignado. Crear un caso para 1 las alarmas Haga clic en el icono Ver detalles de datos alarma en la parte inferior del panel. para mostrar los detalles de 2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones necesarias. Ver detalles sobre una alarma 1 Haga clic en el icono Ver detalles de datos alarma en la parte inferior del panel. para mostrar los detalles de 2 Seleccione la alarma y realice una de las acciones siguientes: • Haga clic en la ficha Evento activador para ver el evento que activó la alarma seleccionada. Haga doble clic en el evento para ver su descripción. Si un único evento no cumple las condiciones de alarma, es posible que no aparezca la ficha Evento activador. • Haga clic en la ficha Condición para ver la condición que activó el evento. • Haga clic en la ficha Acción para ver las acciones resultantes de la alarma y las etiquetas de ePolicy Orchestrator asignadas al evento. Editar la configuración de una alarma activada 1 Haga clic en la alarma activada, después en el icono Menú Editar alarma. y seleccione 2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar. Véase también Administración de la cola de informes de alarma en la página 362 McAfee Enterprise Security Manager 9.6.0 Guía del producto 361 6 Flujo de trabajo de alarmas Supervisión y respuesta para alarmas Administración de la cola de informes de alarma Si una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar uno o varios de ellos. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 Haga clic en la ficha Configuración. 4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta un máximo de cinco informes de forma simultánea. • Vea los informes generados por alarmas. • Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informes restantes se moverán hacia arriba en la cola. Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera de ejecución en el ESM, lo que permite cancelar cualquiera de ellos. 5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informes de la lista. 6 Haga clic en Cerrar. Véase también Visualización y administración de alarmas activadas en la página 360 Página Ver informes en la página 362 Página Lista de archivos en la página 363 Página Ver informes Permite ver la cola de informes que se han generado y que se están ejecutando o en espera de ejecución. Tabla 6-1 Definiciones de opciones Opción Definición Tabla Ver los informes generados por el ESM que están a la espera de ejecución. Cancelar Haga clic en esta opción para evitar que los informes seleccionados se ejecuten. Los informes seleccionados se cancelarán y el resto de informes avanzarán en la cola. Véase también Administración de la cola de informes de alarma en la página 362 362 McAfee Enterprise Security Manager 9.6.0 Guía del producto Flujo de trabajo de alarmas Ajuste de alarmas 6 Página Lista de archivos Permite ver y administrar la lista de informes generados en el ESM. Tabla 6-2 Definiciones de opciones Opción Definición Tabla Ver una lista de los archivos de informe generados. Descargar Guardar los informes seleccionados en otra ubicación. Cargar Agregar un informe a la lista. Quitar Eliminar un informe de la lista. Actualizar Actualizar la lista para reflejar cualquier cambio realizado. Véase también Administración de la cola de informes de alarma en la página 362 Ajuste de alarmas Perfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización. Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estos procedimientos describen cómo crear tipos concretos de alarmas. Procedimientos • Creación de alarmas UCAPL en la página 364 Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved Products List, lista de productos aprobados con capacidades unificadas). • Adición de alarmas de eventos del monitor de estado en la página 366 Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación de un informe de Resumen de eventos de monitor de estado. • Adición de una alarma de Coincidencia de campo en la página 375 Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando el dispositivo recibe y analiza el evento. • Resumen personalizado para alarmas activadas y casos en la página 378 Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo Coincidencia de campo y Coincidencia de evento interno. • Adición de una alarma a las reglas en la página 378 Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. • Creación de capturas SNMP a modo de acciones de alarma en la página 379 Es posible enviar capturas SNMP a modo de acciones de alarma. • Adición de una alarma de notificación sobre fallos de alimentación en la página 380 Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. • Administración de orígenes de datos no sincronizados en la página 380 Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma que pueda ver una lista de orígenes de datos, editar su configuración y exportar la lista. McAfee Enterprise Security Manager 9.6.0 Guía del producto 363 6 Flujo de trabajo de alarmas Ajuste de alarmas Creación de alarmas UCAPL Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved Products List, lista de productos aprobados con capacidades unificadas). Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Revise los pasos para Creación de alarmas en la página 355. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento • Configure los tipos de alarma aplicables: Tipo de alarma Descripción Umbral ajustable de errores de inicio de sesión alcanzado Se activa una alarma cuando el número de errores de inicio de sesión de un mismo usuario alcanza un umbral que se puede ajustar. 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma. 2 Introduzca el valor 306-36. Umbral de inactividad alcanzado Activar una alarma cuando se bloquee una cuenta de usuario porque se ha alcanzado el umbral de inactividad. 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma. 2 Introduzca el valor 306-35. Número de sesiones Activar una alarma si un usuario intenta iniciar sesión en el sistema simultáneas después de alcanzar el número máximo de sesiones simultáneas. permitidas 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de alcanzado firma. 2 Introduzca el valor 306-37. Error en la comprobación de integridad de archivo del sistema Activar una alarma cuando falle la comprobación de integridad de un archivo del sistema. 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma. 2 Introduzca el valor 306-50085. Certificados a punto de caducar Activar una alarma cuando haya certificados Common Access Card (CAC) o de servidor web a punto de caducar. 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma. 2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084. La alarma se activará 60 días antes de la fecha de caducidad del certificado y, después, semanalmente. No es posible cambiar el número de días. 364 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Tipo de alarma Descripción Envío de captura SNMP cuando el estado del sistema no sea aprobado Configurar una captura SNMP de modo que la alarma envíe una captura al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro. 1 Cree una alarma que coincida con cualquier condición y, después, acceda a la ficha Acciones y seleccione Enviar mensaje. 2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. Envío de mensaje de syslog cuando el estado del sistema no es aprobado Configurar un mensaje de syslog de modo que la alarma envíe un mensaje de syslog al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro. 1 Cree una alarma que coincida con cualquier condición, acceda a la ficha Acciones y seleccione Enviar mensaje. 2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. El registro de seguridad no registra los eventos necesarios Configurar una captura SNMP de modo que la alarma envíe una notificación a un centro de operaciones de red (NOC) apropiado en un plazo de 30 segundos si un registro de seguridad no está registrando los eventos necesarios. 1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades del dispositivo | Configuración del dispositivo | SNMP. 2 Seleccione la captura de error del registro de seguridad, configure uno o varios perfiles para el envío de capturas y haga clic en Aplicar. ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensaje Error al escribir en el registro de seguridad. McAfee Enterprise Security Manager 9.6.0 Guía del producto 365 6 Flujo de trabajo de alarmas Ajuste de alarmas Tipo de alarma Descripción Inicio o fin de funciones de auditoría Configurar una captura SNMP de modo que la alarma envíe una notificación cuando las funciones de auditoría (como las de base de datos, cpservice o IPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP o Configuración SNMP y seleccione Capturas de base de datos activa/inactiva. Configure uno o varios perfiles para el envío de las capturas y haga clic en Aplicar. Existencia de una sesión por cada función administrativa Activar una alarma cuando exista una sesión administrativa por cada una de las funciones administrativas definidas. 1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma. 2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39 para Administrador de criptografía y 306–40 para Usuario avanzado. También es posible configurar alarmas independientes. Adición de alarmas de eventos del monitor de estado Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación de un informe de Resumen de eventos de monitor de estado. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Revise los ID de firma del monitor de estado en la página 367 disponibles. • Revise los pasos para Creación de alarmas en la página 355. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Para configurar una alarma antes de que se genere un evento del monitor de estado: a Configure una Condición de alarma con el tipo Coincidencia de evento interno. b En la línea Campo, seleccione ID de firma. c En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado. d Rellene el resto de opciones de configuración de la alarma. Para configurar una alarma si existe un evento del monitor de estado: a En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema y seleccione una vista que muestre el evento del monitor de estado (Análisis de eventos o Resumen predeterminado). b Haga clic en el evento y, después, haga clic en el icono Menú . c Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma. d Rellene el resto de opciones de configuración de la alarma. Véase también ID de firma del monitor de estado en la página 367 366 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas ID de firma del monitor de estado En esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivo y gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificación cuando se genere un evento de regla del monitor de estado. Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Se ha realizado o eliminado una conexión de interfaz de red física 306-50080 Cambio de la configuración de interfaz de red mediante una sesión SSH. Monitor de software ESM Media Se ha producido un error de RAID 306-50054 Detección de errores de RAID. Monitor de hardware Todos Alta Cuenta desactivada debido a la inactividad 306-35 La cuenta de usuario se ha desactivado debido a la inactividad. Monitor de software ESM Media Cuenta desactivada debido al máximo de fallos de inicio de sesión 306-36 La cuenta de usuario se ha desactivado porque se ha alcanzado el máximo de fallos de inicio de sesión. Monitor de software ESM Alta Agregar/Editar comando remoto 306-60 Adición o eliminación de un comando remoto de alarma. Monitor de software ESM Baja Alerta de cambio de estado del recopilador del analizador de syslog avanzado 306-50029 El analizador de ASP se ha detenido o iniciado. Monitor de software Receptor Media Proceso de destilador 306-50066 de APM El motor de extracción de texto PDF/DOC de ADM se ha detenido o iniciado. Monitor de software APM Media Discrepancia con configuración aprobada 146-7 Cambio de dispositivo de Monitor de descubrimiento de red software aprobado. ESM Baja Cambio de configuración de archivado 306-3 Cambio de la configuración de archivado de ESM. Monitor de software ESM Baja Alerta de cambio de 306-50051 estado del proceso de archivado El proceso de archivado del receptor se ha detenido o iniciado. Monitor de software APM/REC/ Media Activo vulnerable a evento Evento de vulnerabilidad creado. Monitor de software ESM Baja Inicio de sesión de 306-38 usuario administrador de auditoría Evento UCAPL, inicio de sesión de administrador de auditoría. Monitor de software ESM Baja Cambio de configuración de copias de seguridad 306-1 Cambio de la configuración de copias de seguridad de ESM. Monitor de software ESM Baja Copia de seguridad realizada 306-2 Copia de seguridad realizada en el sistema. Monitor de software ESM Baja Alerta del analizador de Blue Martini 306-50071 El analizador de Blue Martini se ha detenido o iniciado. Monitor de software Receptor Media 146-10, 306-10 McAfee Enterprise Security Manager 9.6.0 IPS/DBM Guía del producto 367 6 368 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Alerta de estado de NIC de omisión 306-50001 En el NIC se ha activado o desactivado el estado de omisión. Monitor de software IPA/ADM/IPS Media El certificado de la autoridad de certificación ha caducado 306-50082 El certificado de la Monitor de autoridad de certificación software de ESM ha caducado. ESM Alta El certificado de la 306-50081 autoridad de certificación caducará pronto El certificado de la Monitor de autoridad de certificación software de ESM caducará pronto. ESM Media Cambio de caso 306-70 El caso ha cambiado. Monitor de software ESM Baja Estado de caso 306-73 agregado/ modificado/eliminado El estado del caso ha cambiado. Monitor de software ESM Baja Alerta de cambio de estado de canal de comunicación 306-50013 El canal de control se ha detenido o iniciado. Monitor de software Todos Media Error de captura de configuración (error de dispositivo) 146-4 Error del dispositivo de descubrimiento de red. Monitor de software ESM Baja Error de captura de configuración (dispositivo inaccesible) 146-3 Dispositivo de descubrimiento de red inaccesible. Monitor de software ESM Baja Configuración capturada 146-5 La configuración de Monitor de descubrimiento de red se software ha comprobado correctamente. ESM Baja Error de directiva de configuración 146-8 No se usa en el sistema. Monitor de software ESM Baja Directiva de configuración correcta 146-9 No se usa en el sistema. Monitor de software ESM Baja Cambio de configuración de asignación de datos 306-7 La configuración de asignación de datos de ESM ha cambiado. Monitor de software ESM Alta Alerta de espacio libre en el disco en partición de datos 306-50005 El espacio libre de cada partición se está agotando (por ejemplo, hada_hd tiene un 10 % de espacio libre). Monitor de software Todos Media Cambio de configuración de conservación de datos 306-6 La configuración de Monitor de conservación de datos de software ESM ha cambiado. ESM Alta Alerta de estado de servicios de detección de bases de datos 306-50036 El servicio de detección automática de DBM se ha detenido o iniciado. Todos Media McAfee Enterprise Security Manager 9.6.0 Monitor de software Gravedad Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de cambio de estado de DPI 306-50008 El motor de inspección profunda de paquetes del IPS o ADM se ha detenido o iniciado. Monitor de software Todos Media Eliminar comando remoto 306-61 Comando remoto de alarma eliminado. Monitor de software ESM Baja Eventos eliminados 306-74 El usuario ha eliminado eventos de ESM. Monitor de software ESM Baja Flujos eliminados 306-75 El usuario ha eliminado flujos de ESM. Monitor de software ESM Baja Adición de dispositivo 306-18 Se ha agregado un nuevo dispositivo al sistema. Monitor de software ESM Baja Eliminación de dispositivo Un dispositivo existente se ha eliminado del sistema. Monitor de software ESM Baja Dispositivo 146-2 posiblemente inactivo Evento de Monitor de descubrimiento de red software que indica que es posible que un dispositivo no funcione. ESM Baja Dispositivo inaccesible 146-1 Un dispositivo de descubrimiento de red agregado a ESM no está accesible. Monitor de software ESM Baja Alerta de error de unidad de disco 306-50018 Comprueba y verifica la integridad de todos los discos duros (internos o de DAS). Monitor de hardware Todos Alta Media 306-19 Alerta de cambio de 306-50045 estado del proceso de archivado de ELM El motor de compresión Monitor de del ELM se ha detenido o software iniciado. APM/REC/ ELM EDS FTP 306-50074 El programa SFTP del ELM se ha detenido o iniciado. Monitor de software ELM Media Proceso de archivo de ELM 306-50065 El motor de reinserción Monitor de del ELM se ha detenido o software iniciado. ELM Media IPS/DBM Si un registro falla por algún motivo, intentará de nuevo la inserción. Si el proceso de reinserción falla, se activa esta regla. Alerta de cambio de estado del punto de montaje de ELM 306-50053 El almacenamiento remoto (CIFS, NFS, ISCSI, SAN) se ha detenido o iniciado. Monitor de software ELM Media Alerta de cambio de estado del motor de consultas de ELM 306-50046 El proceso de trabajos del ELM (trabajos del ELM, tales como consultas, inserciones, etc.) se ha detenido o iniciado. Monitor de software ELM Media McAfee Enterprise Security Manager 9.6.0 Guía del producto 369 6 370 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Almacenamiento redundante en ELM 306-50063 Error de la base de datos del sistema ELM 306-50044 Dispositivo Gravedad La duplicación del ELM se Monitor de ha detenido o iniciado. software ELM Media La base de datos del ELM Monitor de se ha detenido o software iniciado. ELM Alta Alerta de cambio de 306-50040 estado de recopilador de correo electrónico El recopilador MARS de Cisco se ha detenido o iniciado. Monitor de software Receptor Media Etiquetas de ePO aplicadas 306-28 Se han aplicado etiquetas de McAfee ePO. Monitor de software ESM Baja Error al establecer comunicación con ELM 306-50047 La comunicación con el ELM ha fallado. Monitor de software APM/REC/ Alta Error en comunicación SSH 306-50077 Problemas del dispositivo, tales como diferencias de versión o un cambio de clave. Monitor de software Todos Alta Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor de software ESM Media Apagado de ESM 306-33 ESM se ha apagado. Monitor de software ESM Media Alerta del recopilador 306-50070 de eStreamer El recopilador de eStreamer se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50041 estado de recopilador de eStreamer El recopilador de eStreamer se ha detenido o iniciado. Monitor de software Receptor Media Separación de partición de eventos 306-4 Se ha separado una partición de eventos. Monitor de software ESM Baja Ejecutar comando remoto 306-62 Comando remoto de alarma ejecutado. Monitor de software ESM Baja Error de inicio de sesión porque se ha alcanzado el máximo de sesiones simultáneas 306-37 El usuario no pudo iniciar Monitor de sesión porque se alcanzó software el máximo de sesiones simultáneas. ESM Alta Error al aplicar 306-50057 formato al dispositivo SAN Se produjo un error al aplicar formato al SAN en ELM; el usuario debe volver a intentarlo. Monitor de hardware ESM Alta Error de inicio de sesión de usuario El usuario no ha podido iniciar sesión. Monitor de software ESM Media Alerta de cambio de 306-50049 estado de recopilador de archivos El programa de recopilación de montaje se ha detenido o iniciado. Monitor de software Receptor Media Archivo eliminado Se ha eliminado cualquier archivo que se pueda agregar o eliminar, como un archivo de sonido o registro de ESM. Monitor de software ESM Baja 306-31 306-50 McAfee Enterprise Security Manager 9.6.0 Tipo IPS/DBM Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de cambio de 306-50050 estado del proceso de filtrado El programa de filtrado del dispositivo se ha detenido o iniciado (reglas de filtrado). Monitor de software Receptor Media Alerta de cambio de estado de agregador de alertas de firewall 306-50009 El agregador del firewall del IPS o del ADM se ha detenido o iniciado. Monitor de software IPS/ADM/IPS Media Separación de partición de flujos 306-5 Se ha separado una partición de flujos. Monitor de software ESM Baja Error de obtención datos de evaluación de vulnerabilidades 306-52 ESM no ha podido obtener datos de evaluación de vulnerabilidades. Monitor de software ESM Media Obtención datos de evaluación de vulnerabilidades correcta 306-51 ESM ha obtenido datos de evaluación de vulnerabilidades. Monitor de software ESM Baja Alerta interna de monitor de estado 306-50027 Un proceso del monitor Monitor de de estado se ha detenido software o iniciado. Todos Media Alerta de cambio de 306-50039 estado de recopilador de HTTP El recopilador de HTTP se Monitor de ha detenido o iniciado. software Receptor Media Cambio de configuración de indización 306-8 La configuración de indizado de ESM ha cambiado. ESM Media Clave SSH no válida 306-50075 El dispositivo tiene Monitor de problemas para software comunicarse con el ELM, tales como diferencias de versión o un cambio de clave. Todos Alta Alerta de cambio de 306-50055 estado de recopilador de IPFIX El recopilador de IPFIX (flujo) se ha detenido o iniciado. Monitor de software Receptor Media Inicio de sesión de 306-39 usuario administrador de claves y certificados Evento UCAPL, inicio de sesión de administrador de criptografía. Monitor de software ESM Baja Partición de registro sustituida 306-34 Las particiones más antiguas de la tabla de registro de la base de datos se han sustituido. Monitor de software ESM Baja Alerta de espacio libre en el disco en particiones de registro 306-50004 El espacio de la partición Monitor de de registro (/var) se está software agotando. Todos Media Alerta de cambio de 306-50010 estado de servidor de base de datos McAfee EDB La base de datos se ha detenido o iniciado. Monitor de software Todos Media Alerta del recopilador 306-50069 de McAfee ePO El recopilador de McAfee ePO se ha detenido o iniciado. Monitor de software Receptor Media McAfee Enterprise Security Manager 9.6.0 Monitor de software Guía del producto 371 6 372 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta de cambio de estado del formato de los eventos de McAfee 306-50031 El recopilador de formatos de eventos de McAfee se ha detenido o iniciado. Monitor de software Receptor Media Error de comunicación del dispositivo de la solución SIEM de McAfee 306-26 ESM no se puede comunicar con otro dispositivo. Monitor de software ESM Alta Alerta de Microsoft Forefront Threat Management Gateway 306-50068 El recopilador de Monitor de Forefront Threat software Management Gateway se ha detenido o iniciado. Receptor Media Alerta de cambio de estado de recuperador de MS-SQL 306-50035 El recopilador de Microsoft SQL se ha detenido o iniciado (cualquier origen de datos de Microsoft SQL). Monitor de software Receptor Media Alerta de registro de varios eventos 306-50062 El recopilador de jEMAIL se ha detenido o iniciado. Monitor de software Receptor Media Análisis de MVM iniciado 306-27 Se ha iniciado un análisis Monitor de de MVM. software ESM Baja Alerta de cambio de 306-50024 estado de recopilador de NetFlow El recopilador de NetFlow Monitor de (flujo) se ha detenido o software iniciado. Receptor Media Nueva cuenta de usuario Se ha agregado un nuevo usuario al sistema. Monitor de software ESM Baja Alerta de cambio de 306-50048 estado de recopilador de NFS/CIFS El montaje remoto para NFS o CIFS se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50026 estado de recopilador de NitroFlow NitroFlow (flujos del dispositivo) se ha detenido o iniciado. Monitor de software Receptor Media No se ha encontrado una clave SSH 306-50076 El dispositivo tiene Monitor de problemas para software comunicarse con el ELM, tales como diferencias de versión o un cambio de clave. Todos Alta Agregar/Editar lista negra de NSM 306-29 Una entrada de la lista negra de NSM se ha agregado o editado. Monitor de software ESM Baja Eliminar lista negra de NSM 306-30 Una entrada de la lista negra de NSM se ha eliminado. Monitor de software ESM Baja Alerta de cambio de estado de receptor de OPSEC 306-50028 El recopilador de OPSEC (Check Point) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de estado de receptor de OPSEC 306-50034 El recopilador de OPSEC (Check Point) se ha detenido o iniciado. Monitor de software Receptor Media 306-13 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Alerta del recopilador 306-50072 de Oracle Identity Management El recopilador de Oracle IDM se ha detenido o iniciado. Monitor de software Receptor Media Alerta de sobresuscripción El ADM o el IPS han entrado o salido del modo de sobresuscripción. Monitor de software IPS/ADM/IPS Media Alerta del analizador/ 306-50073 recopilador de complementos El analizador/recopilador de complementos se ha detenido o iniciado. Monitor de software Receptor Media Adición de directiva 306-15 Se ha agregado una directiva al sistema. Monitor de software ESM Baja Eliminación de directiva 306-17 Se ha eliminado una directiva del sistema. Monitor de software ESM Baja Cambio de directiva 306-16 Se ha cambiado una directiva en el sistema. Monitor de software ESM Baja Discrepancia con configuración previa 146-6 Ha cambiado la configuración del dispositivo de descubrimiento de red. Monitor de software ESM Baja Disponibilidad alta del receptor 306-50058 Cualquier proceso de disponibilidad alta se ha detenido o iniciado (Corosync, script de control de disponibilidad alta). Monitor de software Receptor Media Configuración OPSEC de disponibilidad alta del receptor 306-50059 No se utiliza. Monitor de software Receptor Baja ESM redundante sin sincronizar 306-76 El ESM redundante no está sincronizado. Monitor de software ESM Alta Alerta de cambio de estado de punto de montaje NFS remoto 306-50020 El montaje de NFS del ELM se ha detenido o iniciado. Monitor de software ELM Media Alerta de espacio libre en el disco en punto de montaje/ recurso compartido remoto 306-50021 Se está agotando el espacio libre en el punto de montaje remoto. Monitor de software ESM Media Alerta de cambio de estado de recurso compartido de SMB/ CIFS remoto 306-50019 El punto de montaje remoto SMB/CIFS se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50061 estado de correlación de riesgos El motor de correlación de riesgos se ha detenido o iniciado. Monitor de software ACE Media Alerta de espacio libre en el disco en particiones raíz 307-50002 Se está agotando el espacio libre en las particiones raíz. Monitor de software Todos Media Adición de regla 306-20 Se ha agregado una regla al sistema, por ejemplo, de ASP, filtrado o correlación. Monitor de software ESM Baja 306-50012 McAfee Enterprise Security Manager 9.6.0 Guía del producto 373 6 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Eliminación de regla 306-22 Regla eliminada del sistema. Monitor de software ESM Baja Cambio de regla 306-21 Se ha cambiado una regla en el sistema. Monitor de software ESM Baja Error de actualización 306-9 de regla Se ha producido un error Monitor de al actualizar una regla de software ESM. ESM Media Alerta de cambio de 306-50033 estado de recuperador de SDEE El recopilador de SDEE se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50025 estado de recopilador de sFlow El recopilador de sFlow (flujo) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50023 estado de recopilador de SNMP El recopilador de SNMP se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50038 estado de recopilador de SQL El recopilador de SQL (anteriormente NFX) se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de 306-50056 estado de recopilador de Symantec AV El recopilador de Symantec AV se ha detenido o iniciado. Monitor de software Receptor Media Alerta de cambio de estado del recopilador de syslog El recopilador de syslog se ha detenido o iniciado. Monitor de software Receptor Media Inicio de sesión de 306-40 usuario administrador del sistema El administrador del sistema ha iniciado sesión. Monitor de software ESM Baja Error de comprobación de integridad del sistema Se ha marcado un programa o proceso externo no ISO en ejecución en el sistema. Monitor de software Todos Alta Alerta de cambio de 306-50014 estado de registrador del sistema El proceso de registro del Monitor de sistema se ha detenido o software iniciado. Todos Media Cierre de tarea (consulta) 306-54 Se ha cerrado una tarea del Administrador de tareas. Monitor de software ESM Baja Alerta de espacio libre en el disco en particiones temporales 306-50003 La partición temporal (/ tmp) se está quedando sin espacio en el disco. Monitor de software Todos Media Alerta de cambio de 306-50052 estado del analizador de registros de texto El analizador de texto se ha detenido o iniciado. Monitor de software Receptor Media Cambio de cuenta de usuario 306-14 Ha cambiado una cuenta Monitor de de usuario. software ESM Baja Error de inicio de sesión de dispositivo de usuario 306-50079 Un usuario SSH no ha podido iniciar sesión. Monitor de software ESM Baja No se usa en el sistema. Monitor de software ESM Baja 306-50037 306-50085 Inicio de sesión de 306-50017 dispositivo de usuario 374 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Cierre de sesión de 306-50078 dispositivo de usuario Un usuario SSH ha cerrado la sesión. Monitor de software ESM Baja Inicio de sesión de usuario 306-11 Un usuario ha iniciado sesión en el sistema. Monitor de software ESM Baja Cierre de sesión de usuario 306-12 Un usuario ha cerrado la sesión en el sistema. Monitor de software ESM Baja Alerta de estado del motor de datos de evaluación de vulnerabilidades 306-50043 El motor de evaluación de vulnerabilidades (vaded.pl) se ha detenido o iniciado. Monitor de software Receptor Media Adición de variable 306-23 Se ha agregado una variable de directiva. Monitor de software ESM Baja Eliminación de variable 306-25 Se ha eliminado una variable de directiva. Monitor de software ESM Baja Cambio de variable 306-24 Ha cambiado una variable de directiva. Monitor de software ESM Baja El certificado del servidor web ha caducado 306-50084 El certificado del servidor Monitor de web de ESM ha software caducado. ESM Alta El certificado del servidor web caducará pronto 306-50083 El certificado del servidor Monitor de web de ESM caducará software pronto. ESM Media Alerta de recopilador de Websense 306-50067 El recopilador de Monitor de Websense se ha detenido software o iniciado. Receptor Media Alerta de cambio de estado del recopilador de WMI Event Log 306-50030 El recopilador de WMI se Monitor de ha detenido o iniciado. software Receptor Media Véase también Adición de alarmas de eventos del monitor de estado en la página 366 Adición de una alarma de Coincidencia de campo Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando el dispositivo recibe y analiza el evento. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Revise cómo utilizar los Elementos lógicos en la página 377. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. McAfee Enterprise Security Manager 9.6.0 Guía del producto 375 6 Flujo de trabajo de alarmas Ajuste de alarmas Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a continuación, haga clic en la ficha Condición. 4 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma. a Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma. b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la página Agregar campo de filtro. c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador contiene el primer evento de origen que coincide con la condición de activación, pero no los eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia de activación máxima. Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma. En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas. 5 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local, combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM). 6 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración. 7 Haga clic en Finalizar. La alarma se escribirá en el dispositivo. Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al dispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas. Véase también Resumen personalizado para alarmas activadas y casos en la página 378 Elementos lógicos en la página 377 Página Editar elemento lógico en la página 376 Página Editar elemento lógico Permite editar la configuración de un elemento lógico. Tabla 6-3 Definiciones de opciones Opción Definición Botones de opción Permiten cambiar el tipo de elemento lógico. Esto resulta útil si tiene una regla o un componente con varias capas de elementos lógicos y se da cuenta de que uno de los elementos situados al principio del diagrama lógico debería ser de otro tipo. condiciones 376 Seleccione el número de condiciones que se deben cumplir para un elemento SET con más de una condición. McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Tabla 6-3 Definiciones de opciones (continuación) Opción Definición Secuencia Indique si desea que las condiciones de los elementos lógicos AND o SET se produzcan en la secuencia en que aparecen en el campo Lógica de correlación para que se active la regla. Umbral Defina el número de veces que deben producirse las condiciones para que se active la regla. Período de tiempo Defina el límite de tiempo en el que debe alcanzarse el umbral para que la regla se active. Véase también Adición de una alarma de Coincidencia de campo en la página 375 Elementos lógicos Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla. Elemento Descripción AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de que se active una regla. OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una de las condiciones. SET En el caso de los componentes o las reglas de correlación, SET permite definir condiciones y seleccionar el número de condiciones que deben ser verdaderas para que se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del conjunto para que se active la regla, la configuración será "2 de 3". Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones: • Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos). • Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía. Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz, también se eliminan todos los elementos secundarios. • Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y todos sus elementos secundarios de la jerarquía. Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para controlar el comportamiento de la regla o el componente cuando se ejecuten. Véase también Adición de una alarma de Coincidencia de campo en la página 375 Edición de elementos lógicos en la página 547 McAfee Enterprise Security Manager 9.6.0 Guía del producto 377 6 Flujo de trabajo de alarmas Ajuste de alarmas Resumen personalizado para alarmas activadas y casos Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo Coincidencia de campo y Coincidencia de evento interno. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas y, después, en Agregar. 3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno. 4 5 6 Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables continuación, seleccione los campos que incluir en el resumen de caso. y, a Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, a continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma activada. Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar. Véase también Adición de una alarma de Coincidencia de campo en la página 375 Adición de una alarma a las reglas Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 378 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas barra de herramientas de acciones. 2 Seleccione el tipo de regla en el panel Tipos de regla. 3 Seleccione una o varias reglas en el área de visualización de reglas. McAfee Enterprise Security Manager 9.6.0 situado en la Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas 4 5 Haga clic en el icono Alarmas . Crear la alarma. Creación de capturas SNMP a modo de acciones de alarma Es posible enviar capturas SNMP a modo de acciones de alarma. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP). Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP. a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades 2 3 . b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil. c Rellene los campos restantes y haga clic en Aplicar. Configure SNMP en el ESM. a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregado en el Paso 1. c Haga clic en Aplicar. Defina una alarma con Captura SNMP como acción. a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar. b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones. c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los mensajes SNMP. d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione una plantilla existente o haga clic en Agregar para definir una plantilla nueva. e Vuelva a la página Configuración de alarma y continúe con la configuración. McAfee Enterprise Security Manager 9.6.0 Guía del producto 379 6 Flujo de trabajo de alarmas Ajuste de alarmas Adición de una alarma de notificación sobre fallos de alimentación Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Antes de empezar • Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. • Configuración de una captura SNMP para la notificación de fallos de alimentación en la página 272 Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Procedimiento 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades . 2 Haga clic en Alarmas. 3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clic en la ficha Condición. 4 En el campo Tipo, seleccione Coincidencia de evento interno. 5 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es). 6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar. Se activará una alarma cuando falle una fuente de alimentación. Administración de orígenes de datos no sincronizados Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma que pueda ver una lista de orígenes de datos, editar su configuración y exportar la lista. Antes de empezar Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con privilegios de administración de alarmas. Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasados o futuros, lo cual puede provocar la aparición de una marca roja en el receptor. 380 McAfee Enterprise Security Manager 9.6.0 Guía del producto 6 Flujo de trabajo de alarmas Ajuste de alarmas Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono Propiedades 2 3 . Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado por un origen de datos que no está sincronizado con el ESM. a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en la ficha Condición. b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe existir para que se active la alarma. c Rellene la información en el resto de fichas. Vea, edite o exporte los orígenes de datos que no están sincronizados. a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono de Propiedades. b Haga clic en Administración del receptor y seleccione Diferencia de tiempo. Véase también Orígenes de datos no sincronizados en la página 381 Página Diferencia de tiempo en la página 382 Orígenes de datos no sincronizados Como resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder la sincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece una marca roja junto al receptor en el árbol de navegación del sistema. Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puede administrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véase Administración de orígenes de datos no sincronizados). Los eventos no sincronizados pueden ser eventos antiguos o futuros. Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM. 1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de usuario). 2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un origen de datos). 3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado. 4 Ha configurado el sistema de esa forma a propósito. 5 El sistema no está conectado a Internet. 6 El evento está desincronizado al llegar al receptor. Véase también Administración de orígenes de datos no sincronizados en la página 380 McAfee Enterprise Security Manager 9.6.0 Guía del producto 381 6 Flujo de trabajo de alarmas Ajuste de alarmas Página Diferencia de tiempo Esta página permite administrar los orígenes de datos que generan eventos en los que la hora y la última hora tienen una diferencia superior al intervalo establecido. Los eventos se comprueban con la frecuencia establecida cuando se agrega una alarma de Diferencia de eventos. Tabla 6-4 Definiciones de las opciones Opción Definición Tabla Incluye los orígenes de datos, las direcciones IP o los nombres de host, el tipo de origen de datos y la diferencia de tiempo correspondiente a los eventos. Editar Abre la página Editar origen de datos correspondiente al origen de datos seleccionado. Puede cambiar la configuración de la zona horaria para que el origen de datos genere los eventos con la hora correcta. Exportar Exporta la lista de la tabla. Actualizar Actualiza la información de la tabla para reflejar los cambios recientes. Intervalo Determina la antigüedad para el análisis de eventos de la base de datos. Véase también Administración de orígenes de datos no sincronizados en la página 380 382 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos y flujos, además de conservar esta información disponible para fines de consulta, análisis forense, validación de reglas y conformidad. Contenido Eventos, flujos y registros Administración de informes Descripción de los filtros contains y regex Uso de las vistas de ESM Filtros de tipos personalizados Búsquedas de McAfee Active Response Visualización de la hora del evento ® Eventos, flujos y registros Los eventos, flujos y registros recopilan distintos tipos de actividades que se producen en un dispositivo. Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un flujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cuales al menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que se produce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre los eventos y los flujos: • Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes que los eventos. • Los flujos no están asociados a una firma de regla (ID de firma) como los eventos. • Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. • Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número de bytes y paquetes transmitidos por el destino del flujo. • Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. McAfee Enterprise Security Manager 9.6.0 Guía del producto 383 7 Uso de los eventos Eventos, flujos y registros Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada dispositivo. Véase también Configuración de descargas de eventos, flujos y registros en la página 384 Limitación del tiempo de recopilación de datos en la página 385 Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN en la página 390 Configuración de descargas de eventos, flujos y registros Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo de forma que lo haga automáticamente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros. 3 Configure las descargas y haga clic en Aplicar. Véase también Eventos, flujos y registros en la página 383 Limitación del tiempo de recopilación de datos en la página 385 Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN en la página 390 Página Eventos, flujos y registros en la página 384 Página Eventos, flujos y registros Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo seleccionado. Tabla 7-1 Definiciones de opciones 384 Opción Definición Actualizar automáticamente reglas Si el ESM descarga automáticamente las reglas del servidor de reglas, seleccione esta opción en caso de que desee que las reglas descargadas se desplieguen en el dispositivo. Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe la existencia de eventos, flujos o registros de forma automática. Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o registros de inmediato. Para ver el estado de estos trabajos, véase Obtener eventos y flujos. McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Tabla 7-1 Definiciones de opciones (continuación) Opción Definición Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de extracción de datos diario forma que el ESM extraiga datos de cada dispositivo y envíe los datos al ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de datos). Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registros puede acarrear una fuga de datos. Generar eventos de vulnerabilidad Seleccione esta opción para que los eventos que coincidan con los datos de origen de evaluación de vulnerabilidades agregados al sistema (véase Integración de datos de evaluación de vulnerabilidades) se conviertan en eventos de vulnerabilidad y generen una alerta en el ESM local. Las propiedades de directiva del Editor de directivas son las mismas para todos estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre es 100). Proceso de última descarga de eventos o Proceso de última descarga de flujos Permiten ver la última vez que se han recuperado eventos o flujos del dispositivo, si el proceso ha sido correcto o no y el número de eventos o flujos recuperados. Último registro de eventos descargado, Último registro de cadena descargado o Último registro de flujos descargado Permiten ver la fecha y la hora del último registro de evento, cadena o flujo descargado. Si cambia este valor, es posible establecer la fecha y la hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y, después, en Obtener eventos; el ESM recuperará todos los eventos del dispositivo desde ese momento hasta la fecha. Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM. Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada uno de los dispositivos administrados por el ESM (véase Definición de la configuración de umbral de inactividad). Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de cada uno de los dispositivos (véase Definición de la configuración de geolocalización y ASN). Véase también Configuración de descargas de eventos, flujos y registros en la página 384 Agregación de eventos o flujos en la página 391 Limitación del tiempo de recopilación de datos Puede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos de cada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo. Antes de empezar Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos (véase Cambio de la configuración de agregación de eventos o flujos). Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno. McAfee Enterprise Security Manager 9.6.0 Guía del producto 385 7 Uso de los eventos Eventos, flujos y registros Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registros puede acarrear una fuga de datos. 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades 2 3 . Seleccione una de las siguientes opciones: • Eventos, flujos y registros • Eventos y registros • Registros Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de inicio y finalización del intervalo de tiempo. El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM del ELM y cuándo envía los datos el ESM al ELM para su registro. Véase también Eventos, flujos y registros en la página 383 Configuración de descargas de eventos, flujos y registros en la página 384 Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN en la página 390 Definición de la configuración de umbral de inactividad Cuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no se generan eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece un indicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 386 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros. 2 Haga clic en Configuración de inactividad. 3 Resalte el dispositivo y haga clic en Editar. 4 Realice cambios en la configuración y después haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Véase también Eventos, flujos y registros en la página 383 Configuración de descargas de eventos, flujos y registros en la página 384 Limitación del tiempo de recopilación de datos en la página 385 Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN en la página 390 Página Umbral de inactividad en la página 387 Página Editar umbral de inactividad en la página 387 Página Umbral de inactividad Permite definir el umbral de inactividad de los dispositivos, de manera que se le notifique cuando un dispositivo no reciba eventos o flujos durante el periodo de tiempo especificado. Tabla 7-2 Definiciones de opciones Opción Definición Columna Dispositivo Incluye todos los dispositivos del sistema. Columna Umbral Muestra el umbral de cada dispositivo. Columna Heredar Muestra si un dispositivo secundario hereda la configuración de umbral del elemento principal. Seleccione esta opción o anule su selección para cambiar la configuración. Editar Abre la página Editar umbral de inactividad para poder cambiar la configuración de umbral. Véase también Definición de la configuración de umbral de inactividad en la página 386 Página Editar umbral de inactividad Permite editar la configuración de umbral para el dispositivo seleccionado en la página Umbral de inactividad. Si se establece en cero (0), el dispositivo no tendrá un umbral de inactividad. Véase también Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic en el icono Obtener eventos y flujos 2 en la barra de herramientas de acciones. En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación, haga clic en Iniciar. El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detalles sobre los dispositivos resaltados en la tabla superior. 3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después, haga clic en el icono Actualizar vista actual McAfee Enterprise Security Manager 9.6.0 en la barra de herramientas de vistas. Guía del producto 387 7 Uso de los eventos Eventos, flujos y registros Véase también Eventos, flujos y registros en la página 383 Configuración de descargas de eventos, flujos y registros en la página 384 Limitación del tiempo de recopilación de datos en la página 385 Definición de la configuración de umbral de inactividad en la página 386 Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN en la página 390 Página Obtener eventos y flujos en la página 388 Página Obtener eventos y flujos Permite recuperar manualmente eventos y flujos de los dispositivos seleccionados. Tabla 7-3 Definiciones de opciones Opción Definición Minimizar la página Obtener eventos y flujos mientras se siguen recuperando los eventos o flujos. TABLA SUPERIOR Columna Nombre de dispositivo Ver los dispositivos para los que se pueden recuperar eventos o flujos según lo seleccionado en el árbol de navegación del sistema. Puede seleccionar uno o varios de estos dispositivos a fin de ver los detalles en la tabla inferior. Columna Eventos Seleccionar los dispositivos para los que desee recuperar eventos. Columna Flujos Seleccionar los dispositivos para los que desee recuperar flujos. Columna Estado Ver el estado de la recuperación una vez iniciada. Incluye el número de trabajos de inserción y obtención en ejecución para un dispositivo, así como el último trabajo de obtención ejecutado mientras la ventana estaba abierta. Se actualiza cada dos segundos. Iniciar Haga clic en esta opción para iniciar la recuperación. Se debe seleccionar una casilla de verificación como mínimo para que esta opción esté activa. Cancelar Cancelar el proceso una vez iniciado. El proceso se detiene cuando finaliza la operación en curso. TABLA INFERIOR Columna Nombre de dispositivo Ver los nombres de los dispositivos seleccionados en la tabla superior. Columna Operación Ver la operación realizada en el dispositivo en ese momento. Columna Hora de inicio Ver la hora de creación del trabajo, que no es necesariamente la hora en que se empezó a procesar en el ESM. Columna Estado Ver el estado del trabajo. Actualizar Actualizar la tabla. Se actualiza automáticamente cada cinco segundos. Véase también Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros Es posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de forma automática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividad del sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puede especificar qué dispositivos deben buscar cada tipo de información y establecer la configuración de umbral de inactividad para los dispositivos administrados por el ESM. 388 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y registros. 2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros. 3 Haga clic en Aceptar. Véase también Eventos, flujos y registros en la página 383 Configuración de descargas de eventos, flujos y registros en la página 384 Limitación del tiempo de recopilación de datos en la página 385 Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos en la página 387 Definición de la configuración de geolocalización y ASN en la página 390 Página Eventos, flujos y registros en la página 389 Página Dispositivos en la página 389 Página Eventos, flujos y registros Permite definir la configuración de eventos, flujos y registros. Tabla 7-4 Definiciones de opciones Opción Definición Intervalo de comprobación automática Seleccione esta opción si desea que el sistema compruebe la existencia de eventos, flujos y registros automáticamente. Defina la frecuencia que desee para ello. Comprobar ahora Permite buscar eventos, flujos y registros inmediatamente. Mostrar dispositivos Seleccione la configuración de descarga automática de eventos, flujos y registros para cada dispositivo. Configuración de inactividad Si desea que se le notifique cuando un dispositivo no genere eventos o flujos durante un periodo de tiempo, seleccione esta opción, resalte el dispositivo y haga clic en Editar. Véase también Comprobación de eventos, flujos y registros en la página 388 Página Dispositivos Permite establecer la configuración de recuperación de eventos, flujos y registros de cada dispositivo del sistema. Tabla 7-5 Definiciones de opciones Opción Definición Columna Nombre de dispositivo Incluye todos los dispositivos del sistema. Columna Eventos Seleccione los dispositivos que desee que descarguen eventos automáticamente. Columna Flujos Seleccione los dispositivos que desee que descarguen flujos automáticamente. Columna Registros Seleccione los dispositivos que desee que descarguen registros automáticamente. McAfee Enterprise Security Manager 9.6.0 Guía del producto 389 7 Uso de los eventos Eventos, flujos y registros Véase también Comprobación de eventos, flujos y registros en la página 388 Definición de la configuración de geolocalización y ASN La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica de forma exclusiva cada una de las redes de Internet. Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible recopilar datos de geolocalización de origen y destino para los eventos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización. 3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar. Es posible filtrar los datos de eventos mediante esta información. Véase también Eventos, flujos y registros en la página 383 Configuración de descargas de eventos, flujos y registros en la página 384 Limitación del tiempo de recopilación de datos en la página 385 Definición de la configuración de umbral de inactividad en la página 386 Obtención de eventos y flujos en la página 387 Comprobación de eventos, flujos y registros en la página 388 Página Configuración de geolocalización en la página 390 Página Configuración de geolocalización Permite configurar el dispositivo para almacenar datos de geolocalización o de ASN. Tabla 7-6 Definiciones de opciones Opción Definición Recopilar datos de geolocalización Si desea recopilar datos de geolocalización para eventos o flujos, seleccione esta opción. Datos de origen, Datos de destino Si ha seleccionado Recopilar datos de geolocalización, seleccione si desea recopilar ambos tipos o solo uno de ellos. Recopilar datos ASN Si desea recopilar datos de ASN para eventos o flujos, seleccione esta opción. Datos de origen, Datos de destino Si ha seleccionado Recopilar datos ASN, indique si desea recopilar ambos tipos o solo uno de ellos. Desactivado Seleccione esta opción si desea detener la recopilación de datos de geolocalización o ASN para eventos o flujos. Actualizar Permite volver a la configuración de dispositivo actual. Véase también Definición de la configuración de geolocalización y ASN en la página 390 390 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Eventos, flujos y registros 7 Agregación de eventos o flujos Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o flujo con un recuento que indica el número de veces que se ha producido. El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas para las cuales se haya activado la agregación en el Editor de directivas. Dirección IP de destino origen y destino Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo: • ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7). • ::0000:10.0.12.7 sería 10.0.12.7. Eventos y flujos agregados Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Total contiene el valor 30. Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas individuales (véase Administración de las excepciones de agregación de eventos). La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo. Véase también Cambio de la configuración de agregación de eventos o flujos en la página 393 Adición de excepciones a la configuración de agregación de eventos en la página 394 Administración de las excepciones de agregación de eventos en la página 395 Página Eventos, flujos y registros en la página 384 Página Eventos, flujos y registros Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM McAfee Enterprise Security Manager 9.6.0 Guía del producto 391 7 Uso de los eventos Eventos, flujos y registros trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo seleccionado. Tabla 7-7 Definiciones de opciones Opción Definición Actualizar automáticamente reglas Si el ESM descarga automáticamente las reglas del servidor de reglas, seleccione esta opción en caso de que desee que las reglas descargadas se desplieguen en el dispositivo. Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe la existencia de eventos, flujos o registros de forma automática. Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o registros de inmediato. Para ver el estado de estos trabajos, véase Obtener eventos y flujos. Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de extracción de datos diario forma que el ESM extraiga datos de cada dispositivo y envíe los datos al ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de datos). Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registros puede acarrear una fuga de datos. Generar eventos de vulnerabilidad Seleccione esta opción para que los eventos que coincidan con los datos de origen de evaluación de vulnerabilidades agregados al sistema (véase Integración de datos de evaluación de vulnerabilidades) se conviertan en eventos de vulnerabilidad y generen una alerta en el ESM local. Las propiedades de directiva del Editor de directivas son las mismas para todos estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre es 100). Proceso de última descarga de eventos o Proceso de última descarga de flujos Permiten ver la última vez que se han recuperado eventos o flujos del dispositivo, si el proceso ha sido correcto o no y el número de eventos o flujos recuperados. Último registro de eventos descargado, Último registro de cadena descargado o Último registro de flujos descargado Permiten ver la fecha y la hora del último registro de evento, cadena o flujo descargado. Si cambia este valor, es posible establecer la fecha y la hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y, después, en Obtener eventos; el ESM recuperará todos los eventos del dispositivo desde ese momento hasta la fecha. Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM. Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada uno de los dispositivos administrados por el ESM (véase Definición de la configuración de umbral de inactividad). Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de cada uno de los dispositivos (véase Definición de la configuración de geolocalización y ASN). Véase también Configuración de descargas de eventos, flujos y registros en la página 384 Agregación de eventos o flujos en la página 391 392 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Cambio de la configuración de agregación de eventos o flujos La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en la página Agregación. Antes de empezar Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración. La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras que la agregación de flujos lo está en los receptores y los dispositivos IPS. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos o Agregación de flujos. 3 Defina la configuración y haga clic en Aceptar. Véase también Agregación de eventos o flujos en la página 391 Adición de excepciones a la configuración de agregación de eventos en la página 394 Administración de las excepciones de agregación de eventos en la página 395 Página Agregación de eventos/flujos en la página 393 Página Agregación de eventos/flujos Permite agregar grupos de eventos o flujos idénticos o similares a un único registro con el fin de ahorrar espacio. Tabla 7-8 Definiciones de opciones Opción Definición Actualizar Permite leer la configuración de agregación actual del dispositivo y utilizar la tasa de agregación correspondiente. Usar agregación dinámica Permite aumentar el rendimiento de las inserciones en el ESM. Si se selecciona, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración de la agregación correspondiente a Nivel 2 y Nivel 3. Recuperará registros de acuerdo con la configuración de recuperación de Eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprimirá un registro hasta la primera vez que el ESM lo extraiga. Si se configura para la recuperación manual, un registro se comprimirá un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extraerá un nuevo registro y se iniciará la compresión en ese registro nuevo. Control deslizante Haga clic en la flecha indicadora y arrástrela hasta la posición que desee. La descripción de cada nivel cambia para reflejar la configuración seleccionada. Opción Cuando la opción Usar agregación dinámica no esté seleccionada, establezca el primer Personalizado del y el segundo valor de nivel 1. Antes de planificar la recopilación de eventos, flujos control deslizante y registros (véase Limitación del tiempo de recopilación de datos), el primer valor se debe establecer entre 240 y 360 minutos. Aplicar Permite actualizar el dispositivo con todas las opciones de configuración de esta pantalla. McAfee Enterprise Security Manager 9.6.0 Guía del producto 393 7 Uso de los eventos Eventos, flujos y registros Tabla 7-8 Definiciones de opciones (continuación) Opción Definición Ver (solo eventos) Permite acceder a la página Excepciones de agregación de eventos (véase Adición de excepciones a la configuración de agregación de eventos). Puertos (solo flujos) Configure los valores de agregación de puertos de flujos que sean necesarios (véase Configuración de los valores de agregación de los puertos de flujos). Véase también Cambio de la configuración de agregación de eventos o flujos en la página 393 Administración de las excepciones de agregación de eventos en la página 395 Adición de excepciones a la configuración de agregación de eventos La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por una regla. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 3 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción. Haga clic en el icono Menú y seleccione Modificar configuración de agregación. Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación de eventos definida para el dispositivo. 4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar. 5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos. 6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados. La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios. Véase también Agregación de eventos o flujos en la página 391 Cambio de la configuración de agregación de eventos o flujos en la página 393 Administración de las excepciones de agregación de eventos en la página 395 Página Excepciones de agregación de eventos en la página 395 Página Desplegar para excepciones de agregación en la página 395 394 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Página Excepciones de agregación de eventos Las excepciones de agregación de eventos se establecen en la vista Análisis de eventos. La página Excepciones de agregación de eventos permite cambiar la configuración o quitar una excepción. Tabla 7-9 Definiciones de opciones Opción Definición Editar Permite realizar cambios en la excepción seleccionada. Quitar Eliminar la excepción seleccionada. Desplegar Desplegar los cambios en el dispositivo. Véase también Adición de excepciones a la configuración de agregación de eventos en la página 394 Página Desplegar para excepciones de agregación Permite desplegar cualquier cambio realizado en las excepciones de agregación. Tabla 7-10 Definiciones de opciones Opción Definición Columna Dispositivo Ver los dispositivos del sistema. Segunda columna Seleccione los dispositivos en los que desee desplegar los cambios. Columna Estado Permite ver el estado del despliegue en cada dispositivo. Véase también Adición de excepciones a la configuración de agregación de eventos en la página 394 Administración de las excepciones de agregación de eventos Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe la posibilidad de editar o eliminar una excepción. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades . 2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla. 3 Realice los cambios necesarios y haga clic en Cerrar. Véase también Agregación de eventos o flujos en la página 391 Cambio de la configuración de agregación de eventos o flujos en la página 393 Adición de excepciones a la configuración de agregación de eventos en la página 394 Página Agregación de eventos/flujos en la página 393 Configuración del reenvío de eventos El reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediante syslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir el McAfee Enterprise Security Manager 9.6.0 Guía del producto 395 7 Uso de los eventos Eventos, flujos y registros paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren antes de su reenvío. Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de registros firmados digitalmente de cada uno de los dispositivos del entorno. Véase también Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Configuración del reenvío de eventos Es posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a un servidor syslog o SNMP. El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de eventos recuperados por el ESM, puede afectar al rendimiento global de ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar. 3 Si ha seleccionado agregar o editar un destino, defina su configuración. 4 Haga clic en Aplicar o en Aceptar. Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Página Reenvío de eventos en la página 396 Página Reenvío de eventos Permite configurar las opciones de reenvío de eventos para poder reenviar datos de eventos a syslog. Tabla 7-11 Definiciones de opciones Opción Definición Destinos de reenvío de eventos Ver los destinos que ya se han agregado al sistema. 396 Agregar Agregar un nuevo destino al sistema. Editar Cambiar la configuración del destino seleccionado. McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Tabla 7-11 Definiciones de opciones (continuación) Opción Definición Quitar Eliminar un destino del sistema. Configuración Especificar la configuración que se aplica a todos los destinos de reenvío de eventos. Véase también Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos Es posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a un servidor syslog o SNMP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Página Agregar destino de reenvío de eventos en la página 397 Página Agregar destino de reenvío de eventos Permite agregar un nuevo destino de reenvío de eventos al ESM. Tabla 7-12 Definiciones de opciones Opción Definición Nombre Introduzca un nombre para este destino. Activado Seleccione esta opción para activar el reenvío de eventos a este destino. Usar perfil del sistema Seleccione esta opción si desea usar un perfil existente; después, seleccione un perfil en la lista desplegable o haga clic en Usar perfil del sistema a fin de agregar un perfil nuevo. Formato Seleccione el formato en la lista desplegable. Véase Agentes de reenvío de eventos para obtener una lista detallada de los agentes y la información contenidos en los paquetes. Dirección IP de destino Escriba la dirección IP de destino de syslog. Puerto de destino Seleccione el puerto de destino en el que escucha syslog. McAfee Enterprise Security Manager 9.6.0 Guía del producto 397 7 Uso de los eventos Eventos, flujos y registros Tabla 7-12 Definiciones de opciones (continuación) Opción Definición Protocolo Elija entre los protocolos de transporte UDP y TCP. UDP es el estándar de protocolo en el que se basa syslog. Los paquetes enviados a través de syslog mediante TCP tienen exactamente el mismo formato que sus homólogos UDP, incluidos la función, la gravedad y el mensaje; la única excepción es un carácter de nueva línea (código de carácter ASCII 10) al final del mensaje. Al contrario que en el caso de UDP, que es un protocolo sin conexión, se debe establecer una conexión TCP entre el ESM y el servidor que escucha los eventos reenviados. Si no se puede establecer una conexión o la conexión se interrumpe, el ESM rastrea el último evento reenviado correctamente e intenta establecer la conexión de nuevo tras unos minutos. Una vez restablecida la conexión, el ESM reanuda el reenvío de eventos donde se detuvo. Si selecciona UDP, no podrá seleccionar SSH o TLS en el campo Modo. Función Seleccione la función de los paquetes de syslog. Gravedad Seleccione la gravedad de los paquetes de syslog. Formato de hora Seleccione el formato de hora para el encabezado del reenvío de eventos de syslog. Si selecciona Heredado, el formato será el mismo que era en las versiones anteriores a la 9.3.0, que correspondía a GMT. Si selecciona Estándar, podrá seleccionar una zona horaria. Zona horaria Si ha seleccionado Estándar, seleccione la zona horaria que se usará al enviar registros de reenvío de eventos. Ocultar datos Seleccione esta opción si desea enmascarar los datos seleccionados incluidos en los datos reenviados a este destino. Para seleccionar los datos, haga clic en Configurar. Enviar paquete Si tiene la directiva configurada para copiar un paquete, seleccione esta opción en caso de que desee reenviar la información sobre el paquete. Esta información se incluye, si el paquete está disponible, al final del mensaje de syslog con codificación Base 64. Filtros de evento Haga clic aquí para aplicar filtros a los datos de evento reenviados a syslog. Modo Seleccione el modo de seguridad para el mensaje. Si selecciona SSH, rellene la información restante. Si elige utilizar syslog mediante TCP (protocolo), indique si desea realizar la conexión TCP a través de SSH o TLS. Ya que syslog es un protocolo sin cifrar, el uso de SSH o TLS evita que otras personas puedan examinar sus mensajes de reenvío de eventos. Si utiliza el modo FIPS, puede reenviar datos de registro mediante TLS. Puerto local de retransmisión Escriba el puerto que se utilizará en el lado del ESM de la conexión SSH. Puerto SSH remoto Escriba el puerto en el que escucha el servidor SSH al otro lado de la conexión SSH. Nombre de usuario SSH Escriba el nombre de usuario de SSH utilizado para establecer la conexión SSH. Clave DSA SSH Escriba la clave de autenticación DSA pública empleada para la autenticación SSH. El contenido de este campo se agregará al archivo authorized_keys (o equivalente) en el equipo donde se ejecute el servidor SSH. Véase también Adición de destinos de reenvío de eventos en la página 397 Página Filtros de evento en la página 402 Página Filtrar informe en la página 402 398 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Eventos, flujos y registros Agentes de reenvío de eventos Estos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se reenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos. Agente Contenido Syslog (McAfee 9.2) ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3, Valor de agregación 3. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). Syslog (McAfee 8.2) ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). Syslog (Nitro) ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64). Syslog "McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre (ArcSight) de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez, Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo, Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo), ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64). McAfee Enterprise Security Manager 9.6.0 Guía del producto 399 7 Uso de los eventos Eventos, flujos y registros Agente Contenido Syslog (Snort) snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName], [Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP de destino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del paquete tiene la codificación Base 64). Syslog (registros de auditoría) Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0 y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de registro. Syslog (formato de evento común) Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto = modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/ buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor, dirección convertida de dispositivo. Syslog (formato de evento estándar) <#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM: { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime": "2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A" Véase también Configuración del reenvío de eventos en la página 395 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Activación o desactivación del reenvío de eventos Es posible activar o desactivar el reenvío de eventos en el ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 400 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección. 3 Haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Eventos, flujos y registros 7 Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Modificación de la configuración de todos los destinos de reenvío de eventos Cabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de una vez. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y establezca las opciones. 3 Haga clic en Aceptar. Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Adición de filtros de reenvío de eventos Es posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP en el ESM. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y, después, en Filtros de evento. 3 Rellene los campos de filtrado y haga clic en Aceptar. McAfee Enterprise Security Manager 9.6.0 Guía del producto 401 7 Uso de los eventos Eventos, flujos y registros Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Página Filtros de evento Permite agregar valores para filtrar los datos de eventos reenviados a un servidor syslog. Tabla 7-13 Definiciones de opciones Opción Definición Dispositivo Haga clic en el icono de filtrado clic en Aceptar. IP de destino Escriba una dirección IP de destino individual (161.122.15.13) o un intervalo de direcciones IP (192.168.0.0/16) por los que filtrar. Puerto de destino Escriba el puerto de filtrado; solo se permite uno. Protocolo Escriba el protocolo de filtrado; solo se permite uno. IP de origen Escriba la dirección IP de origen individual o un intervalo de direcciones IP por los que filtrar. , seleccione el dispositivo por el que filtrar y haga Tipo de dispositivo Haga clic en el icono de filtrado, seleccione un máximo de 10 tipos de dispositivo y haga clic en Aceptar. ID normalizado Seleccione los ID normalizados para el filtrado (véase Normalización). Gravedad Para filtrar por la gravedad de un evento, seleccione Mayor o igual que y un número de gravedad entre 0 y 100. Véase también Página Agregar destino de reenvío de eventos en la página 397 Página Filtrar informe Permite filtrar los datos de evento generados por el receptor de forma que el Visor de transmisiones muestre los datos que se desea ver. Los campos se describen en la parte inferior de la página cuando se seleccionan. Véase también Página Agregar destino de reenvío de eventos en la página 397 Edición de la configuración de filtrado de reenvío de eventos Es posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada. Antes de empezar Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de usuarios. 402 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Eventos, flujos y registros 7 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Editar y, después, haga clic en Filtros de evento. 3 Realice los cambios y haga clic en Aceptar. Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Envío y reenvío de eventos con el formato de eventos estándar en la página 403 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Envío y reenvío de eventos con el formato de eventos estándar El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos JavaScript (JSON) que permite representar datos de eventos genéricos. El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde el ESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a un receptor, mediante la selección de SEF como formato de datos al crear el origen de datos. Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a cabo estos cuatro pasos: 1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM que reenvía los eventos. — Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. — Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Exportar. — Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de reglas. 2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos personalizados y las reglas personalizadas que acaba de exportar. — Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. — Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Importar. — Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de reglas. McAfee Enterprise Security Manager 9.6.0 Guía del producto 403 7 Uso de los eventos Administración de informes 3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM. — En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar el origen de datos y, después, haga clic en el icono Agregar origen de datos . — En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y, después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos. — Rellene la información solicitada y haga clic en Aceptar. 4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío. — Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades . — Haga clic en Reenvío de eventos y, después, en Agregar. — En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del reenvío y haga clic en Aceptar. Véase también Configuración del reenvío de eventos en la página 395 Agentes de reenvío de eventos en la página 399 Configuración del reenvío de eventos en la página 396 Adición de destinos de reenvío de eventos en la página 397 Activación o desactivación del reenvío de eventos en la página 400 Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401 Adición de filtros de reenvío de eventos en la página 401 Edición de la configuración de filtrado de reenvío de eventos en la página 402 Administración de informes Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV. Informes predefinidos Los informes predefinidos se dividen en las siguientes categorías: • Conformidad • McAfee Database Activity Monitoring (DAM) • Ejecutivo • McAfee DEM • McAfee ADM • McAfee Event Reporter Estos informes generan datos basados en los eventos. Informes definidos por el usuario Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección de la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden incluir componentes y configurarlos para que muestren los datos de la forma deseada. Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe cuando ya no es necesario. 404 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Administración de informes 7 Véase también Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un informe en la página 405 Adición de un diseño de informe en la página 408 Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Establecimiento del mes de inicio para los informes trimestrales Si ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido y almacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta fecha de inicio. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes. 3 Haga clic en Aplicar para guardar la configuración. Véase también Administración de informes en la página 404 Adición de un informe en la página 405 Adición de un diseño de informe en la página 408 Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Adición de un informe Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño de informe existente o crear uno nuevo mediante el editor Diseño del informe. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar y defina la configuración en la página Agregar informe. 3 Haga clic en Guardar. El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo Condición. McAfee Enterprise Security Manager 9.6.0 Guía del producto 405 7 Uso de los eventos Administración de informes Véase también Administración de informes en la página 404 Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un diseño de informe en la página 408 Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Página Informes en la página 406 Página Agregar informe en la página 406 Página Informes Permite administrar los informes predefinidos y definidos por el usuario en el ESM. Tabla 7-14 Definiciones de opciones Opción Definición Tabla Informes Ver los informes que hay actualmente configurados en el ESM. Agregar Definir la configuración de un informe nuevo y agregarlo al ESM. Editar Cambiar la configuración de un informe existente. Quitar Eliminar un informe existente del ESM. Ejecutar ahora Ejecutar el informe seleccionado en ese momento. Compartir Comparta los informes seleccionados con los grupos o usuarios de su elección. Importar Importar informes que se han exportado previamente. Exportar Exportar informes. Activado Activar el informe seleccionado en la tabla. Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, no se generará ningún informe de la lista. Condiciones Administrar los tipos de condiciones disponibles para los informes. Destinatarios Administrar los destinatarios definidos en el ESM. Ver Ver los informes que hay en cola a la espera de ejecución y cancelarlos si procede. Archivos Administrar los archivos de informes generados. Véase también Adición de un informe en la página 405 Página Agregar informe Permite definir la configuración de un informe. Tabla 7-15 Definiciones de opciones 406 Opción Definición Nombre del informe Escriba un nombre para el informe. Descripción Escriba una descripción de la información que genera el informe. Condición Seleccione esta opción si desea que el informe se ejecute desde la lista de opciones. Si desea agregar una condición a la lista de opciones, haga clic en Editar condiciones. Zona horaria Seleccione la zona horaria que se debe emplear para ejecutar las consultas. Formato de fecha Seleccione el formato que se debe usar para la fecha. McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Administración de informes Tabla 7-15 Definiciones de opciones (continuación) Opción Definición Formato Seleccione el formato que desea que tenga el informe generado. • Si está diseñando un informe nuevo, las opciones son PDF o HTML. • Si desea incluir una vista en el informe, seleccione Ver PDF. • Si desea generar un archivo CSV con los resultados de la consulta, seleccione Consulta en CSV. Mensaje de correo electrónico enviado a usuarios y grupos Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y, después, haga clic en Agregar destinatario para seleccionarlos. Si el formato del informe es Informe en HTML o Consulta en CSV, indique si desea que el informe se envíe como datos adjuntos en el mensaje de correo electrónico o directamente. Archivo guardado en el ESM Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra el prefijo predeterminado para el nombre del archivo, el cual se puede cambiar. Una vez generado el archivo, haga clic en Archivos en la página Informes para ver el informe. Archivo guardado en ubicación remota Permite guardar el informe en una ubicación remota. Seleccione la ubicación en la lista desplegable. Si no aparece, haga clic en administrar ubicaciones y agregue el perfil de ubicación remota. Elija un diseño existente o cree uno nuevo Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o cree otro nuevo. Es posible administrar los diseños. • Elija un diseño existente: localice el diseño en la lista y haga clic en él. • Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseño nuevo. • Editar: realice cambios en un diseño existente. • Agregar carpeta: permite agregar una carpeta para organizar los diseños. A continuación cabe la posibilidad de agregar un diseño nuevo a la carpeta, arrastrar y soltar un diseño existente en la carpeta o agregar una subcarpeta. • Importar: a fin de importar un diseño, haga clic en esta opción y busque el archivo que desee importar. Si el diseño que va a importar incluye una imagen que se encuentra actualmente en el ESM, se abrirá Importar diseños de informe para informarle del conflicto y ofrecerle las opciones siguientes: • Mantener local: mantiene la imagen en el ESM y elimina la imagen del diseño de informe. Se empleará la imagen del ESM para el diseño. • Reemplazar local: sustituye la imagen del ESM por la imagen del diseño de informe. Cualquier diseño que utilice la imagen eliminada del ESM pasará a usar la imagen importada con el diseño. • Cambiar nombre: cambia el nombre de la imagen del diseño de informe automáticamente y el diseño se importa mediante la imagen con el nombre nuevo. • Exportar: haga clic aquí para exportar diseños. • Incluir resumen de filtro en informe: permite incluir un resumen de los filtros de componentes globales e individuales definidos para este informe. Los filtros empleados se indican en la parte inferior del informe. Esto resulta útil si desea conocer los límites definidos para los datos del informe. Elija una vista Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir en el informe en la lista desplegable. McAfee Enterprise Security Manager 9.6.0 Guía del producto 407 7 Uso de los eventos Administración de informes Tabla 7-15 Definiciones de opciones (continuación) Opción Definición Elija una consulta predefinida Si ha seleccionado Consulta en CSV, seleccione la consulta predefinida. Introduzca los valores a fin de filtrar Seleccione los filtros que desee aplicar a todos los componentes de este informe (véase Página Filtros de consulta). Puede utilizar los filtros contains y regex en estos campos (véase Descripción de los filtros contains y regex). Véase también Adición de un informe en la página 405 Adición de un diseño de informe Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3. 3 En la sección 4, seleccione Informe en PDF o Informe en HTML. 4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe. 5 Configure el diseño a fin de mostrar los datos generados por el informe. El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable. Véase también Administración de informes en la página 404 Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un informe en la página 405 Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Editor Diseño del informe en la página 408 Editor Diseño del informe Permite agregar o editar un diseño de informe. Posteriormente, se puede utilizar al configurar un informe. Tabla 7-16 Definiciones de opciones Opción Definición Deslice el indicador a un lado u otro para ajustar el tamaño de la página del editor. Seleccione esta opción para que la anchura de la página del editor coincida con la de la página. 408 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Administración de informes Tabla 7-16 Definiciones de opciones (continuación) Opción Definición Propiedades de documento Defina la configuración de formato básica para el diseño. • Nombre y Descripción: escriba un nombre para el diseño y una descripción de sus funciones. El nombre es obligatorio. • Orientación: indique si desea que la página tenga orientación horizontal o vertical a la hora de imprimir el informe. • Tamaño: el tamaño predeterminado de la página de informe es 8,5 x 11. Para cambiarlo, seleccione el tamaño correcto en la lista desplegable. El cambio se reflejará en la página del editor. • Fuente predeterminada: seleccione el tipo de fuente, el tamaño y el color del texto del informe. Al hacer el cambio, este se refleja en el texto de la página del editor. También puede indicar si desea que el texto esté en negrita, en cursiva, subrayado, centrado o alineado a la derecha de la página. • Margen: seleccione el margen de los bordes del informe. • Encabezado y pie de página: indique si desea que el informe tenga encabezado y pie de página. Propiedades de encabezado Haga clic en el área de encabezado de la página del editor y, después, haga lo siguiente en la sección Propiedades de encabezado. • Fuente de nombre de informe: seleccione la fuente que desee utilizar para el nombre del diseño en el encabezado. • Elementos incluidos: seleccione los elementos que desee incluir en el encabezado. Si cambia la fuente de estos elementos, acceda a Propiedades de documento. • Logotipo: indique si desea que aparezca un logotipo en el encabezado. De ser así, indique si desea que se encuentre a la derecha o a la izquierda del encabezado, y haga clic en el vínculo situado en el campo Archivo para seleccionar una imagen. Propiedades de pie de página Haga clic en el área del pie de la página del editor. En la sección Propiedades de pie de página, seleccione los elementos que desee incluir. Guardar Haga clic aquí para guardar el diseño. Se le notificará si queda alguna opción requerida sin definir. Guardar como Permite guardar el diseño con un nombre de archivo nuevo. Copiar Haga clic aquí para copiar el componente seleccionado en el diseño. En la parte izquierda se agregará el icono de un portapapeles que indica el tipo de componente copiado. Posteriormente, se puede pegar de dos formas: • Arrastre y suelte el icono en la ubicación donde desee agregar el componente. • Resalte un componente en el diseño y haga clic en Pegar. El componente copiado se inserta debajo del componente resaltado. McAfee Enterprise Security Manager 9.6.0 Guía del producto 409 7 Uso de los eventos Administración de informes Tabla 7-16 Definiciones de opciones (continuación) Opción Definición Propiedades de componentes Arrastre y suelte componentes de Texto, Imagen, Tabla, Gráfico de barras, Gráfico circular o Gráfico de distribución en la página del editor y defina su configuración como sigue. • Asistente de consultas: defina la consulta para el componente seleccionado. • Fuente: defina el tipo de fuente, el tamaño y el color del texto; indique si se le debe aplicar negrita, cursiva o subrayado; por último, indique si desea que se justifique a la izquierda, el centro o la derecha. • Imagen: seleccione la imagen en la página Selector de imagen. • Título: cambie el título si procede, establezca la fuente y seleccione su justificación. • Consulta: realice cambios en la consulta si procede y seleccione el número máximo de resultados que se mostrarán en la tabla. En un componente de Tabla, Gráfico de barras o Gráfico circular, seleccione Resolver direcciones IP como nombres de host si desea que el informe utilice la resolución de DNS para las direcciones IP de origen y destino. • Encabezado de tabla: establezca la fuente para la fila de encabezado de la tabla. • Tabla: establezca la fuente para los datos de la tabla. • Borde: indique si desea que aparezca un borde alrededor del cuadro de texto, la imagen o la tabla y, de ser así, el grosor y el color. • Colores de filas alternativos: si desea que las filas alternativas de una tabla tengan un color distinto, seleccione ambos colores. • Columnas: defina los nombres y el formato de cada columna de la tabla. • Configuración de subtotal: indique si desea que aparezcan los subtotales en la tabla. • Otro: en el caso de un gráfico circular, indique si desea que aparezcan etiquetas y una leyenda. • Para ajustar el tamaño de un componente, haga clic en el componente en la página del editor, haga clic en uno de los cuadrados amarillos que indican los bordes y arrástrelo hasta obtener el tamaño deseado. Salto de página Arrástrelo y suéltelo en la ubicación donde desee insertar un salto de página. Una línea negra en negrita indica dónde se encuentra el salto de página. Véase también Adición de un diseño de informe en la página 408 410 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Administración de informes Inclusión de una imagen en los PDF y los informes Es posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la imagen que aparece en la pantalla Inicio de sesión. Antes de empezar Agregue la imagen a la página Configuración personalizada (véase Personalización de la página de inicio de sesión). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos. 3 Haga clic en Aceptar. Véase también Administración de informes en la página 404 Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un informe en la página 405 Adición de un diseño de informe en la página 408 Adición de una condición de informe en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Página Selector de imagen o Imágenes de fondo en la página 411 Página Selector de imagen o Imágenes de fondo Permite agregar una imagen al ESM o seleccionar una imagen existente. Tabla 7-17 Definiciones de opciones Opción Definición Tabla Selector de imagen Permite ver las imágenes que hay en el ESM. Seleccione una y haga clic en Aceptar. Agregar Permite agregar una nueva imagen al ESM. Cambiar nombre Permite cambiar el nombre de una imagen que hay actualmente en el ESM. El nombre de las imágenes de la lista debe ser exclusivo. Eliminar Permite eliminar una imagen del ESM. Véase también Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe Agregue condiciones para que estén disponibles a la hora de configurar un informe. McAfee Enterprise Security Manager 9.6.0 Guía del producto 411 7 Uso de los eventos Administración de informes Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Condiciones y rellene la información solicitada. 3 Haga clic en Aceptar para guardar la configuración. Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para un informe. Véase también Administración de informes en la página 404 Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un informe en la página 405 Adición de un diseño de informe en la página 408 Inclusión de una imagen en los PDF y los informes en la página 411 Visualización de los nombres de hosts en un informe en la página 413 Página Condiciones en la página 412 Página Agregar condición en la página 412 Página Condiciones La adición de condiciones de informe hace que se genere un informe cuando se cumple un criterio especificado. Tabla 7-18 Definiciones de opciones Opción Definición Tabla Condiciones Ver las condiciones existentes. Agregar Especificar la configuración de una condición nueva. Editar Cambiar la configuración de una condición existente. Quitar Eliminar una condición existente. Véase también Adición de una condición de informe en la página 411 Página Agregar condición Permite agregar una condición nueva al ESM. Una vez agregada, podrá seleccionarla a la hora de definir la configuración para un informe. Tabla 7-19 Definiciones de opciones Opción Definición Nombre Escriba un nombre para esta condición. Tipo Seleccione la frecuencia con que desee que se active la condición. Notas Escriba notas que expliquen lo que hace la condición. Propiedades Defina los detalles sobre el momento de activación. Las opciones dependen del tipo seleccionado. Véase también Adición de una condición de informe en la página 411 412 McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Descripción de los filtros contains y regex Visualización de los nombres de hosts en un informe Es posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de origen y destino en los informes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 . En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades 2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones de la 1 a la 4. 3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular y rellene el Asistente de consultas. 4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP como nombres de host. Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades del sistema | Hosts). Véase también Administración de informes en la página 404 Establecimiento del mes de inicio para los informes trimestrales en la página 405 Adición de un informe en la página 405 Adición de un diseño de informe en la página 408 Inclusión de una imagen en los PDF y los informes en la página 411 Adición de una condición de informe en la página 411 Descripción de los filtros contains y regex Los filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados como no indizados. Estos filtros tienen requisitos de sintaxis. Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y minúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con contains/regex. Sintaxis y ejemplos La sintaxis básica de contains es contains(valor) y, en el caso de regex, es regex(expresión_regular). o incluya la notación Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas. se aplican a los valores de regex y contains. Si desea que los resultados Los iconos NOT y OR incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores y haga clic en el icono OR. McAfee Enterprise Security Manager 9.6.0 Guía del producto 413 7 Uso de los eventos Descripción de los filtros contains y regex Ejemplo 1 - Búsqueda simple Campos indizados: contains(stra), regex(stra) Campos no indizados: stra Resultado: Devuelve cualquier cadena con stra, como, por ejemplo, administrador, gmestrad o straub. Ejemplo 2 - Búsqueda OR Campos indizados: contains(admin,NGCP), regex((admin|NGCP)) Campos no indizados: admin,NGCP Resultado: Devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El par adicional de paréntesis es necesario para que funcione OR con la expresión regular. Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio Símbolo de dólar: Campos indizados: contains($), regex(\x24) o regex(\$) Campos no indizados: $ Resultado: Devuelven cualquier cadena dentro del campo que contenga $. Diríjase a http://www.ascii.cl para ver la lista de valores HEX correspondientes a los caracteres. Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de PCRE es un método de búsqueda mejor. Símbolo de porcentaje: Campos indizados: contains(%), regex(\x25) o regex(\%) Campos no indizados: % Barra diagonal inversa: Campos indizados: contains(\), regex(\x5c) o regex(\\) Campos no indizados: \ Barra diagonal inversa doble Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\) Campos no indizados: \\ En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de Expresión regular no válida (ER5-0015). Ejemplo 4 - Búsqueda mediante el carácter comodín * 414 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Descripción de los filtros contains y regex Campos indizados: 7 contains (ad*) Campos no indizados: ad* Resultado: Devuelve cualquier cadena que empiece por ad como, por ejemplo, administrador y adición. Ejemplo 5 - Búsqueda mediante una expresión regular Estos dominios corresponden a eventos DNS de Microsoft. regex(nitroguard\x28[3-4]\x29[com|info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) Resultado: Esta expresión regular busca una cadena concreta. En este caso, se trata de nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta expresión regular coincide con las primeras dos expresiones, pero no con las demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta función. Las expresiones serán muy distintas en su caso. Advertencias • El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres caracteres. • Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se puede utilizar en reglas de correlación con tipos personalizados de nombre/valor. • El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más lento en las consultas. Descripción del filtro Bloom Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter. Campos compatibles con contains y regex Access_Resource File_Operation_Succeeded Sitio de referencia Aplicación Ruta de archivo Clave de registro Application_Protocol File_Type Valor de registro Área Filename Request_Type Authoritative_Answer Estado de reenvío Response_Code CCO De Return_Code Proceso del llamador From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Categoría Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID McAfee Enterprise Security Manager 9.6.0 Guía del producto 415 7 Uso de los eventos Descripción de los filtros contains y regex Client_Version HTTP_Req_Host Estado de sesión Comando HTTP_Req_Method ID de firma Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incoming_ID SNMP_Item_Type Database_ID Interfaz SNMP_Operation Database_Name Dest. de interfaz SNMP_Version ID de centro de datos Job_Name Usuario de origen Nombre de centro de datos Job_Type Source_Context DB2_Plan_Name Idioma ID de inicio de sesión de origen Delivery_ID Local_User_Name Source_Network Descripción Logical_Unit_Name Source_UserID Usuario de destino Tipo de inicio de sesión Source_Zone Directorio de destino LPAR_DB2_Subsystem Comando SQL Destination_Filename Mail_ID SQL_Statement Destination_Hostname Buzón de correo Step_Count ID de inicio de sesión de destino Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Asunto Destination_UserID Malware_Insp_Result SWF_URL Destination_Zone Servidor de administración Table_Name Método de detección Message_ID Target_Class Acción de dispositivo Message_Text Target_Context Dirección Método Nombre de proceso de destino Directorio NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Categoría de amenaza DNS_Name NTP_Request Amenaza gestionada DNS_Type NTP_Server_Mode Threat_Name Dominio Objeto To Event_Class Object_Type To_Address External_Application Sistema operativo URL External_DB2_Server Policy_Name Categoría de URL External_Hostname Privileged_User User_Agent ID de sesión externo Process_Name User_Nickname Función Query_Response Versión File_Operation Motivo ID de máquina virtual Nombre de máquina virtual Los siguientes tipos personalizados pueden utilizar contains y regex: 416 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Uso de las vistas de ESM Vistas Administración de casos • Cadena • Notas • Cadena aleatoria • Resumen • Nombre/valor • Historial 7 • Cadena con hash Uso de las vistas de ESM El ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por un dispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation and Correlation (MSEAC) de McAfee. Contenido Uso de las vistas de ESM Visualización de detalles de sesión Barra de herramientas de vistas Vistas predefinidas Adición de una vista personalizada Componentes de vista Uso del Asistente de consultas Administración de vistas Búsqueda alrededor de un evento Visualización de los detalles de dirección IP de un evento Cambio de la vista predeterminada Filtrado de vistas Listas de control Normalización de cadenas Uso de las vistas de ESM Mediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a través de un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. La vista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema. Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vista predeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida (véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin de ejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas). También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú de componentes y la barra de herramientas de componentes a fin de interactuar con las vistas y sus datos. En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso. En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff: 10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería 10.0.12.7. McAfee Enterprise Security Manager 9.6.0 Guía del producto 417 7 Uso de los eventos Uso de las vistas de ESM Visualización de detalles de sesión Es posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV mediante el Visor de sesión. Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado de una conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentan con ID de sesión. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver. 2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a continuación, seleccione Información detallada de evento | Eventos. 3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de sesión situado junto al campo ID de sesión. Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión. Barra de herramientas de vistas La barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de varias opciones que se pueden utilizar a la hora de configurar las vistas. Tabla 7-20 418 Opción Descripción 1 — Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediante la ocultación del panel del árbol de dispositivos. 2 — Navegación por vistas Permite retroceder y avanzar por las vistas anteriores. 3 — Lista de vistas Seleccione una vista en la lista desplegable, la cual incluye todas las vistas predefinidas y personalizadas seleccionadas para su visualización en esta lista. 4 — Administrar vistas Permite administrar todas las vistas (véase Administración de vistas). Puede seleccionar qué vistas desea incluir en la lista, agregar carpetas o renombrar, eliminar, copiar, importar y exportar vistas. 5 — Actualizar vista actual Permite actualizar todos los datos mostrados en el panel de vistas. 6 — Vista predeterminada Volver a la vista predeterminada. McAfee Enterprise Security Manager 9.6.0 Guía del producto 7 Uso de los eventos Uso de las vistas de ESM Tabla 7-20 (continuación) Opción Descripción 7 — Imprimir vista actual Imprimir una copia de la vista actual. Las opciones de impresión son: • Cambiar tamaño para ajustar todos los componentes en una página: los componentes que forman parte de la vista se ajustan para que la vista quepa en una página. • Imprimir cada componente en una página distinta: cada componente que forma parte de la vista se imprime en una página diferente. Si hace clic en Cambiar tamaño de componente para ajustarlo a la página, se ajusta el tamaño de cada componente para rellenar toda la página. • Imprimir área visible solamente: solo se imprime la parte de la vista visible en la pantalla. • Exportar a PDF: la vista se guarda como un archivo PDF. 8 — Editar vista actual Permite modificar la vista mostrada, en caso de ser una vista personalizada. Al hacer clic en esta opción, se abre la Barra de herramientas de edición de vistas (véase Adición de una vista personalizada). 9 — Crear vista nueva Permite crear una nueva vista personalizada (véase Adición de una vista personalizada). 10 — Espacio de tiempo Especifique el espacio de tiempo correspondiente a la información que desea que aparezca en la vista. 11 — Ocultar filtros Haga clic aquí para ampliar la vista actual mediante la ocultación del panel de filtrado. Vistas predefinidas La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del sistema, así como a cualquier vista personalizada que se agregue. A continuación se detallan los diferentes tipos de vistas predefinidas. • Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su posible efecto sobre su sistema. • Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas. • Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema. • La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre el dispositivo seleccionado aparece en la mitad inferior de la vista. McAfee Enterprise Security Manager 9.6.0 Guía del producto 419 7 Uso de los eventos Uso de las vistas de ESM • Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista Búsqueda de ELM mejorada). • Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo seleccionado en el árbol de navegación del sistema. • Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés para empleados ajenos al departamento de TI. • Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza mediante Nitro IPS (véase Vistas de flujo). • McAfee Event Reporter incluye vistas específicas para varios productos de McAfee. • Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver correctamente los datos en los administradores personalizados, es necesario crear vistas personalizadas. • Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes: • Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las condiciones de alarma (véase Vista Alarmas activadas). • Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los casos). Véase también Vistas de flujo en la página 420 Activación del registro de flujos en la página 421 Vista Búsqueda de ELM mejorada en la página 421 Realización de una búsqueda de ELM mejorada en la página 422 Vistas de flujo Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el dispositivo Nitro IPS. Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo así, podrá ver los flujos en la vista Análisis de flujos. Véase también Vistas predefinidas en la página 419 Activación del registro de flujos en la página 421 Vista Búsqueda de ELM mejorada en la página 421 Realización de una búsqueda de ELM mejorada en la página 422 420 McAfee Enterprise Security Manager 9.6.0 Guía del producto Uso de los eventos Uso de las vistas de ESM 7 Activación del registro de flujos Para ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activar dos variables de firewall. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 En el árbol de navegación del sistema, seleccione un dispositivo. Haga clic en el icono del Editor de directivas y seleccione Variable en el panel Tipos de regla. 3 Expanda la categoría Firewall en el panel de visualización de reglas. 4 En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. 5 En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. Véase también Vistas predefinidas en la página 419 Vistas de flujo en la página 420 Vista Búsqueda de ELM mejorada en la página 421 Realización de una búsqueda de ELM mejorada en la página 422 Vista Búsqueda de ELM mejorada La vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el sistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros uno o varios ELM. Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM para proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual permite limitar la consulta para minimizar el número de archivos en los que buscar. Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados: • Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con una distribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de espacios de tiempo. • Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del sistema