Notas de la versión McAfee Enterprise Security Manager 9.6.0 Contenido Acerca de esta versión Funciones nuevas de la versión 9.6.0 Problemas conocidos y solucionados Instrucciones de ampliación Búsqueda de documentación de productos Acerca de esta versión Este documento contiene información importante relativa a la versión actual. Le recomendamos encarecidamente que lea todo el documento. No se admite la ampliación automática de versiones preliminares del software. A fin de llevar a cabo la ampliación a una versión de producción del software, póngase en contacto con el equipo encargado de las versiones beta de McAfee mediante [email protected] para obtener información sobre el proceso de ampliación. ® 1 Funciones nuevas de la versión 9.6.0 ® McAfee Enterprise Security Manager (McAfee ESM) 9.6.0 ofrece capacidades actualizadas compatibles con los macrodatos (Big Data) de seguridad integrados y las funciones avanzadas correspondientes a la solución SIEM. Método de recopilación de orígenes de datos Leer final de archivo(s) Cuando se selecciona Origen de archivo NFS u Origen de archivo CIFS en el campo Recuperación de datos al agregar un origen de datos, es necesario elegir un método de recopilación. Existen dos opciones: Copiar archivo(s) o Leer final de archivo(s). • Copiar archivo(s): se copian los archivos de registro completos desde el recurso compartido remoto al receptor para su procesamiento. Si los archivos de registro son extensos y no se actualizan con información nueva frecuentemente, copiar el archivo de registro completo puede resultar poco eficiente y lento. • Leer final de archivo(s): los archivos de registro se leen de forma remota y solamente se leen los eventos nuevos. Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo la última vez. Si se detectan cambios significativos en el archivo, se vuelve a leer todo el archivo desde el principio. El campo Expresión comodín reconoce ahora los caracteres comodín ? y *. ? corresponde a un único carácter, mientras que * corresponde a cualquier número de caracteres. Por ejemplo, log??.log coincidirá con log01.log o logat.log, pero no con log1.log, log123.log ni loggable.log. Véase Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la Guía del producto de McAfee Enterprise Security Manager 9.6.0 para obtener detalles al respecto. Inicio de sesión mediante CAC Anteriormente, los usuarios CAC se creaban mediante el número de 10 dígitos del nombre común. Ahora, se emplea el FQDN. Si utiliza CAC actualmente, use el número de 10 dígitos la primera vez que inicie sesión en esta versión. Posteriormente, el número se convierte en el FQDN de forma automática en la base de datos. En el resto de inicios de sesión sucesivos, se debe emplear el FQDN. Para obtener su FQDN, es necesario disponer de la configuración correspondiente a CAC. La dirección IP de su ESM (https://[Dirección IP del ESM]/cac) incluye el FQDN para CAC presente en el lector. Puede utilizarlo en el campo Nombre de usuario de la pantalla de inicio de sesión para iniciar sesión de forma correcta. Véase Configuración del inicio de sesión mediante CAC en la Guía del producto de McAfee Enterprise Security Manager 9.6.0 para obtener detalles al respecto. Consultas compartidas Esta función reduce la carga sobre el ESM principal en un sistema redundante. Esta reducción se logra mediante la ejecución de consultas en los ESM redundantes cuando el intervalo de fechas especificado de la consulta indica que estos contienen los resultados de la consulta. Cuando la función está activada, se envían consultas al ESM redundante si los datos solicitados abarcan más de 30 días o la hora de inicio de la consulta supera en 12 horas la hora actual del ESM. Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Los resultados de estas consultas siempre se devuelven al ESM principal. Los usuarios con un sistema redundante tienen acceso automático a esta función en cuanto llevan a cabo la ampliación a la versión 9.6.0. 2 Esta función está desactivada de forma predeterminada. Para activarla, seleccione Consultas compartidas en la página Configuración de redundancia. Se le informará de que se producirá un reinicio de CPService en breve. Véase Desactivación de las consultas compartidas en la Guía del producto de McAfee Enterprise Security Manager 9.6.0 para obtener detalles al respecto. Configuración del receptor de disponibilidad alta mediante IPv6 Se ha agregado una sección a la Guía del producto y la Ayuda donde se describe cómo configurar un receptor de disponibilidad alta con IPv6. Véase Configuración del receptor de disponibilidad alta con IPv6 en la Guía del producto de McAfee Enterprise Security Manager 9.6.0 para obtener detalles al respecto. Compatibilidad con eStreamer v5 ESM es compatible ahora con la estructura de eventos de la versión 5 (v5) del software eStreamer. Esta actualización también aporta compatibilidad con otros tipos de eventos. Problemas conocidos y solucionados Para obtener una lista de los problemas conocidos y solucionados en la versión 9.6.0, véase este artículo de la base de conocimiento de McAfee: KB86880. Instrucciones de ampliación A fin de preparar el sistema para la versión 9.6.0 del software, descargue los archivos de ampliación para los dispositivos ESM, Nitro IPS, ACE, ADM, Database Event Monitor (DEM), receptor, ELMERC, ELM y la combinación ESM/receptor. A continuación, amplíelos en el orden indicado. Para obtener información sobre cómo instalar los dispositivos, consulte la Guía de instalación de McAfee Enterprise Security Manager 9.6.0. Procedimientos • Descarga de los archivos de ampliación en la página 8 Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local. • Ampliación del sistema en la página 9 Amplíe el ESM y sus dispositivos siguiendo un orden específico, el cual depende del modo. Tras la ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva. • Ampliación de ESM, ESMREC o ENMELM en la página 10 Cuando el sistema esté listo, amplíe su ESM, ESMREC o ENMELM a la versión 9.6.0. • Ampliación de dispositivos en la página 11 Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/ Event Receiver, ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS, amplíe los dispositivos antes de ampliar el ESM. 3 Preparativos para la ampliación Hay varias cosas que se deben hacer antes de proceder a una ampliación. • Asegúrese de que la reconstrucción de la base de datos de ESM a partir de una compilación anterior (9.4.2 o posterior) haya finalizado y de que sea posible planificar el período de interrupción para esta ampliación. • Cree una copia de seguridad de la base de datos de ESM antes de iniciar la ampliación. Exporte los siguientes elementos o cree una copia de seguridad de ellos para garantizar la facilidad de recuperación en caso de que una ampliación inutilice una regla, un evento u otro contenido. Alarmas: En el cuadro de diálogo Propiedades del sistema, haga clic en Alarmas, resalte cada una de las alarmas, haga clic en Exportar y guarde el archivo. Listas de vigilancia: En el cuadro de diálogo Propiedades del sistema, haga clic en Listas de vigilancia, resalte cada una de las listas de vigilancia, haga clic en Exportar y guarde el archivo. Reglas personalizadas: En la Directiva predeterminada del Editor de directivas, aplique este procedimiento para todos los tipos de reglas excepto Origen de datos, Eventos de Windows, ESM, Normalización, Variable y Preprocesador. 1 En el panel Tipos de regla, haga clic en un tipo de regla. 2 En el panel Filtros/etiquetado, haga clic en la ficha Avanzada, seleccione definido por el usuario en el campo Origen y, después, haga clic en Actualizar . 3 Resalte las reglas, haga clic en Archivo | Exportar | Reglas y guárdelas en formato XML. Directivas: • En la Directiva predeterminada del Editor de directivas, haga clic en Archivo | Exportar | Directiva y, después, seleccione Todas las reglas y variables personalizadas. Asegúrese de que el subsistema de RAID por software se esté ejecutando con dos unidades activas. Si está utilizando ESM 4245R, 5205R, 5510R o 5750R, ESMREC 4245R, 5205R o 5510R, o bien ESMLM 4245R, 5205R o 5510R, emita el comando cat/proc/mdstat de una de estas formas: • En la consola de ESM, haga clic en Propiedades del sistema | Administración de ESM | Terminal, haga clic en Escribir y escriba el comando. • Acceda mediante SSH al ESM. • Conecte un monitor y un teclado al dispositivo. Si la salida tiene un aspecto como el del siguiente ejemplo, el RAID funciona correctamente y puede seguir con la ampliación. Personalities : [raid1] md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2] [UU] Unused devices: <none> El código [UU] identifica las unidades activas. En caso de que aparezca [_U] o [U_], una unidad no forma parte del RAID. Deberá ponerse en contacto con el Soporte técnico antes de la ampliación. 4 Tipo de información Detalles Tipos de dispositivos compatibles Los dispositivos ESM, ESM/Event Receiver (ESMREC) o ESM/Log Manager (ENMELM) solo se comunican con los modelos de dispositivos de la versión 9.6.0. A fin de comprobar el modelo de su dispositivo, emita el comando cat/proc/ cpuinfo. La salida incluye el número de CPU en la línea model name. La CPU debe ser una de las siguientes: Eliminación de dispositivos • 1275 • 5450 • 2160 • 5645 • 2670 • 6300 • 3220 • 6400 • 5405 • 7500 • 5410 • 7542 • 5440 • 9400 Antes de ampliar el ESM, ESMREC o ENMELM, es necesario eliminar todos los modelos de dispositivos especificados y las direcciones IP virtuales correspondientes a los modelos de Nitro IPS especificados. De no hacerlo, aparecerá un mensaje en la página Inicio de sesión y el registro de mensajes indicará que se ha producido este problema y que no se puede llevar a cabo la ampliación. El ESM tampoco se ampliará, y se incluirán las entradas correspondientes en el registro de mensajes del dispositivo. Para eliminar un IPS virtual, seleccione el dispositivo en el árbol de navegación del sistema y haga clic en el icono Propiedades. Seleccione Configuración del dispositivo | Dispositivos virtuales, seleccione los dispositivos virtuales existentes y haga clic en Quitar. Haga clic en Escribir para indicar la configuración al IPS. Es necesario desplegar la directiva del dispositivo ESM, ESMREC o ENMELM de la versión 9.6.0 en el dispositivo IPS o, de lo contrario, el IPS permanecerá en modo de omisión y no se inspeccionará el tráfico. Tiempo de reconstrucción El tiempo de reconstrucción de la tabla varía para el ESM, el ESMREC y el ENMELM. Para acelerar la ampliación de la base de datos del ESM: • Establezca una duración de extracción mayor para la recopilación de eventos, flujos y registros, lo cual aumenta el tiempo para la reconstrucción. En la consola de ESM, haga clic enPropiedades del sistema | Eventos, flujos y registros y establezca el Intervalo de comprobación automática. • Desactive la recopilación de eventos, flujos y registros hasta que finalice la reconstrucción. Este paso solo se debe realizar si el número de eventos y flujos enviados al ESM es reducido. En la consola de ESM, haga clic en Propiedades del sistema | Eventos, flujos y registros y anule la selección del Intervalo de comprobación automática. Rutas de ampliación • Es posible ampliar a la versión 9.6.0 directamente desde la versión 9.4.2 o posterior. • Las versiones anteriores a la 9.4.2 se deben ampliar mediante la ruta siguiente: 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.4.2 o posterior > 9.6.0. Ampliación de dispositivos receptores de disponibilidad alta A fin de ampliar los dispositivos receptores de disponibilidad alta, es necesario comprobar antes el estado de disponibilidad alta del receptor. Véase Comprobación del estado de receptores de disponibilidad alta en la Ayuda online de ESM. 5 Situaciones de ampliación especiales En situaciones especiales, es necesario llevar a cabo pasos adicionales antes o después de la ampliación. Situación Acción Instalación de un nuevo modelo de McAfee ESM Registre su hardware en un plazo de 30 días para asegurarse de recibir actualizaciones de directivas, analizadores y reglas como parte del contrato de mantenimiento. Si no se registra, no podrá recibir ampliaciones. Para obtener su nombre de usuario y su contraseña permanentes, envíe un mensaje de correo electrónico a la dirección [email protected] e incluya en él la siguiente información: • Número de concesión de McAfee • Nombre de contacto • Nombre de cuenta • Dirección de correo electrónico de contacto • Dirección Obtención de actualizaciones de reglas sin conexión 1 Diríjase a http://www.mcafee.com/us/downloads/downloads.aspx. 2 En la esquina superior derecha, haga clic en Descargar mis productos y, después, en Ir. 3 Introduzca su número de concesión, escriba las letras que se muestran y, a continuación, haga clic en Enviar. 4 Haga clic en MFE Enterprise Security Manager y, después, en MFE Nitro Rules Downloads. 5 Lea el acuerdo de licencia y haga clic en Acepto. Se mostrarán los archivos de actualización disponibles según la versión del ESM. 6 Descargue las reglas correspondientes a su versión de ESM. Resolución de problemas de comunicación de los dispositivos Si ha ampliado un dispositivo de McAfee antes de ampliar el ESM o bien el ESM está en proceso de ampliación, puede que aparezca este mensaje: Es necesario ampliar el dispositivo a la versión 9.6.0 para poder llevar a cabo la operación. Verifique que el ESM sea de la versión correcta. 1 En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y, después, seleccione el icono Propiedades. 2 Haga clic en Conexión y, después, en Estado. 3 Vuelva a intentar la operación que provocó el mensaje. Ampliación de un ESM redundante Se debe ampliar el ESM principal antes de hacer lo propio con el ESM redundante. 1 En el ESM principal, seleccione el ESM en el árbol de navegación del sistema y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros y anule la selección de Intervalo de comprobación automática. 3 Tras ampliar el ESM redundante, vuelva a activar la recopilación de eventos, flujos y registros en el ESM principal. 6 Situación Acción McAfee ePO con Policy Auditor Si el dispositivo de McAfee ePO ya está en el ESM, deberá actualizarlo. Al efectuar la actualización, se registra Policy Auditor como origen de evaluación de vulnerabilidades, lo cual a su vez permite que se escriba Policy Auditor en vathirdparty.conf. 1 Si no tiene un dispositivo de tipo todo en uno, amplíe el receptor al que esté conectado el dispositivo de McAfee ePO. 2 En la consola de ESM, haga clic en Propiedades de ePO | Administración de dispositivo y, después, haga clic en Actualizar. Puede configurar la recuperación automática en la ficha Administración de dispositivo. 3 Haga clic en Propiedades de receptor y, después, haga clic en la ficha Evaluación de vulnerabilidades. 4 Haga clic en Escribir. 5 Repita el paso 2 para obtener datos de evaluación de vulnerabilidades en el ESM. 6 Cierre la sesión en la consola de ESM y vuelva a iniciarla. Ampliación de los receptores de disponibilidad alta Antes de llevar a cabo la ampliación, establezca el receptor principal preferido con el valor Sin preferencia, lo cual permite utilizar la opción de Conmutación en caso de error. El proceso de ampliación requiere que el usuario amplíe el receptor secundario, haga clic en Conmutación en caso de error y, después, amplíe el nuevo receptor secundario. De esta forma, hay un receptor principal que recopila datos durante todo el proceso, garantizando así una fuga de datos mínima. Una vez ampliados ambos receptores, vuelva a aplicar el receptor principal preferido. 7 Situación Acción Reconstrucción de la base de datos de administración de ELM La indización de la base de datos de administración de ELM podría requerir más tiempo, en función del modelo de ELM. Por ejemplo, el número de grupos de almacenamiento existentes, la cantidad de datos enviados desde los dispositivos de registro y el ancho de banda de la red pueden aumentar el tiempo que se tarda en completar la indización. No obstante, esta tarea en segundo plano tiene un impacto mínimo en el rendimiento y, cuando finaliza, mejora las consultas sobre datos históricos. Para comprobar el estado de la reconstrucción, acceda a Propiedades de ELM | Información de ELM. Si aparece el mensaje La base de datos se está reconstruyendo en el campo Estado Activo, no detenga ni inicie la base de datos de ELM. El sistema indiza todos los datos nuevos del ELM en el dispositivo origen del envío antes de enviar dichos datos al ELM. Si tiene receptores que realizan el registro en el ELM y se encuentran cerca de su capacidad máxima, póngase en contacto con el Soporte técnico. Ampliación de un ELM redundante Amplíe el ELM en espera antes de hacer lo propio con el ELM activo. El proceso de ampliación suspende la redundancia de ELM. Tras ampliar ambos ELM, deberá reiniciar la redundancia de ELM. 1 Amplíe el ELM en espera. 2 Amplíe el ELM activo. 3 En el árbol de navegación del sistema, seleccione el ELM en espera y acceda a Propiedades de ELM | Redundancia de ELM; después, haga clic en Volver a poner en servicio. 4 Diríjase a Propiedades de ELM | Información de ELM y haga clic en Actualizar. Tanto el ELM activo como el ELM en espera deberían mostrar el estado Correcto. 5 Si el ELM en espera tiene el estado Incorrecto, haga clic en Actualizar de nuevo. Tras unos minutos, el estado del ELM en espera debería cambiar a Correcto, rsync de ELM redundante 100% finalizado. Existe la posibilidad de que tenga que hacer clic en Actualizar varias veces. Descarga de los archivos de ampliación Cuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local. Procedimiento 8 1 En el sitio web de McAfee de Descarga de productos, en la dirección http://www.mcafee.com/us/ downloads/downloads.aspx, escriba su número de concesión de cliente en el campo Descargar mis productos y haga clic en Ir. 2 Seleccione el dispositivo que desee ampliar. 3 Seleccione el vínculo correcto (MFE <nombre del dispositivo> v9.6.0), lea el acuerdo de licencia de McAfee y haga clic en Acepto. 4 Descargue estos archivos en su sistema local: Tipo de dispositivo Nombre de archivo McAfee Enterprise Security Manager (ESM o ETM) ESS_Update_9.6.0.signed.tgz McAfee Enterprise Security Manager y Log Manager (ENMELM o ESMREC) ESSREC_Update_9.6.0.signed.tgz McAfee Nitro Intrusion Prevention System (Nitro IPS o NTP) IPS_Update_9.6.0.signed.tgz McAfee Event Receiver (ERC o ELMERC) RECEIVER_Update_9.6.0.signed.tgz Tipo de dispositivo Nombre de archivo McAfee Database Event Monitor (DEM) DBM_Update_9.6.0.signed.tgz McAfee Advanced Correlation Engine (ACE) RECEIVER_Update_9.6.0.signed.tgz McAfee Application Data Monitor (ADM) APM_Update_9.6.0.signed.tgz McAfee Enterprise Log Manager (ELM) RECEIVER_Update_9.6.0.signed.tgz Los dispositivos ELM deben ser de la versión 9.4.2 o posterior para poder ampliar a las versiones 9.5.2 o 9.6.0. Estos archivos están listos para ampliar el ESM y los dispositivos correspondientes. Ampliación del sistema Amplíe el ESM y sus dispositivos siguiendo un orden específico, el cual depende del modo. Tras la ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva. Antes de empezar • Consulte Preparativos para la ampliación y Situaciones de ampliación especiales. • Asegúrese de que en el sistema se esté ejecutando la versión 9.4.2 o posterior. • Si ha ampliado recientemente a la versión 9.4.2, verifique que la reconstrucción de la base de datos haya finalizado. Al realizar la ampliación, todos los recopiladores activos (tales como Windows, eStreamer y Checkpoint) dejan de recopilar datos hasta que se establece de nuevo la configuración de los dispositivos y se despliega la directiva. Procedimiento 1 Amplíe los dispositivos en este orden. Para obtener detalles sobre la ampliación del ESM y los dispositivos, consulte Ampliación de ESM, ESMREC o ENMELM y Ampliación de dispositivos. Modo Orden No FIPS 1 Amplíe el ESM en primer lugar y, después, el ESMREC o el ENMELM. 2 Espere a que se compile la base de datos. 3 Amplíe el ELM o ELMERC. 4 Amplíe Nitro IPS, Event Receiver, ACE, DEM y ADM. Si va a ampliar un ESM redundante, véase Ampliación de un ESM redundante. FIPS 1 Amplíe el ELM o ELMERC. 2 Amplíe los dispositivos Nitro IPS, Event Receiver, ACE, DEM y ADM. 3 Amplíe el ESM, ESMREC o ENMELM. Puede empezar cuando se inicien todas las ampliaciones de dispositivos. Si no se amplían los dispositivos antes de ampliar el ESM en el modo FIPS, esto puede afectar a la recopilación de registros de ELM. 2 Verifique que existe comunicación con los dispositivos. 9 3 Descargue la actualización de reglas manual en el ESM (véase Obtención de actualizaciones de reglas sin conexión). 4 Aplique las reglas actualizadas. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades . 5 b En la página Información del sistema, haga clic en Actualización de reglas y, después, en Actualización manual. c Navegue hasta el archivo de actualización, haga clic en Cargar y, después, en Aceptar. Lleve a cabo este procedimiento para volver a establecer la configuración de cada uno de los dispositivos a fin de aplicar toda la configuración de la versión 9.6.0. a En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y, después, haga clic en el icono Propiedades. b Siga estos pasos en cada dispositivo. Tipo de dispositivo Procedimiento Event Receiver o combinación ESM/ Event Receiver • Orígenes de datos: haga clic en Orígenes de datos | Escribir. ACE • Correlación de riesgos: haga clic en Administración de correlación de riesgos | Escribir. • Orígenes de evaluación de vulnerabilidades: haga clic en Evaluación de vulnerabilidades | Escribir. • Correlación histórica: haga clic en Histórica | Activar correlación histórica | Aplicar. Si esta opción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar. • Correlación de reglas: haga clic en Correlación de reglas, seleccione Activar correlación de reglas y haga clic en Aplicar. Si esta opción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar. Nitro IPS, DEM o ADM • Dispositivos virtuales (IPS y ADM): Haga clic en Dispositivos virtuales | Escribir. • Servidores de base de datos: haga clic en Servidores de base de datos | Escribir. 6 Despliegue la directiva en todos los dispositivos ampliados. 7 Anule el modo de omisión del dispositivo en Configuración del dispositivo | Interfaces. 8 Si dispone de un ELM o ELMERC que recopilan registros de un dispositivo, sincronice el ELM (Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM). Ampliación de ESM, ESMREC o ENMELM Cuando el sistema esté listo, amplíe su ESM, ESMREC o ENMELM a la versión 9.6.0. Antes de empezar 10 • Siga los pasos descritos en la sección Instrucciones de ampliación. • Verifique que todos los dispositivos conectados al ESM sean compatibles con la versión 9.6.0. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la consola de ESM, seleccione el dispositivo ESM y haga clic en el icono Propiedades. 2 Seleccione Administración de ESM y haga clic en Actualizar ESM. 3 En la página Seleccionar archivo de actualización de software, desplácese hasta uno de los archivos siguientes. 4 Tipo de dispositivo Archivo Enterprise Security Manager (ESM) autónomo ESS_Update_9.6.0.signed.tgz Enterprise Security Manager con un receptor integrado (ESMREC) ESSREC_Update_9.6.0.signed.tgz Enterprise Security Manager con un receptor y un Enterprise Log Manager (ENMELM) integrados, lo que también se conoce como combinación ENMELM ESSREC_Update_9.6.0.signed.tgz Seleccione el archivo y haga clic en Cargar. Se le informará de que el ESM se reiniciará y todos los usuarios perderán la conexión. 5 Haga clic en Sí para continuar y, cuando se le pida que cierre el navegador, haga clic en Aceptar. La ampliación se iniciará y puede tardar varias horas. 6 Cuando termine la ampliación, vuelva a iniciar sesión en la consola mediante una sesión nueva del navegador. Ampliación de dispositivos Si no está usando el modo FIPS, amplíe los dispositivos IPS, Event Receiver, ELM, ELM/Event Receiver, ACE, ADM y DEM después de ampliar el ESM. Si utiliza el modo FIPS, amplíe los dispositivos antes de ampliar el ESM. Antes de empezar • Siga los pasos descritos en la sección Instrucciones de ampliación. • Verifique que todos los dispositivos conectados al ESM sean compatibles con la versión 9.6.0. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la consola de ESM, seleccione el dispositivo que desee ampliar y, después, haga clic en el icono Propiedades. 2 Haga clic en la opción Administración del dispositivo y, después, en Actualizar dispositivo. 3 En la página Seleccionar archivo de actualización de software, desplácese hasta uno de estos archivos: 11 Tipo de dispositivo Archivo IPS IPS_Update_9.6.0.signed.tgz • Event Receiver Receiver_Update_9.6.0.signed.tgz • ELM • Combinación ELM/Event Receiver • ACE DEM DBM_Update_9.6.0.signed.tgz ADM APM_Update_9.6.0.signed.tgz Máquina virtual ESS Ya no hay ampliaciones disponibles para este dispositivo. Póngase en contacto con el equipo de ventas para adquirir un nuevo modelo de máquina virtual de ESM. 4 Seleccione el archivo y haga clic en Cargar. 5 En la página Actualizar software del dispositivo, haga clic en Sí para continuar. El archivo se cargará y el dispositivo se reiniciará. 6 Verifique la versión del dispositivo. Búsqueda de documentación de productos En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo documentación de los productos, artículos técnicos, etc. Procedimiento 1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento. 2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos. 3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos. Procedimientos • Uso de la Ayuda de ESM en la página 13 ¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual, donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso sobre el uso de ESM. • Preguntas más frecuentes en la página 14 A continuación se incluyen las respuestas a las preguntas más frecuentes. Búsqueda de información localizada Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee ESM localizadas (traducidas) en los idiomas siguientes: 12 • Chino simplificado • Japonés • Chino tradicional • Coreano • Inglés • Portugués brasileño • Francés • Alemán • Español Acceso a la Ayuda online localizada Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la Ayuda online. 1 Inicie sesión en ESM. 2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones. 3 Seleccione un idioma y haga clic en Aceptar. 4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado. Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayuda localizada se instalará mediante una actualización futura. Búsqueda de documentación del producto localizada en el Centro de conocimiento 1 Visite el Centro de conocimiento. 2 Busque la documentación del producto localizada mediante los parámetros siguientes. • Término de búsqueda: guía del producto, guía de instalación o notas de la versión • Producto: SIEM Enterprise Security Manager • Versión: 9.6.0 3 En los resultados de la búsqueda, haga clic en el título del documento relevante. 4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la parte derecha. Haga clic en el idioma relevante. 5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto. Uso de la Ayuda de ESM ¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual, donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso sobre el uso de ESM. Procedimiento 1 2 Para abrir la Ayuda de ESM, realice una de estas acciones: • Seleccione la opción de menú Ayuda | Contenido de la Ayuda. • Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de ESM para buscar ayuda contextual específica de cada pantalla. En la ventana de la Ayuda: • Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el panel de la derecha. • Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la Ayuda. 13 • Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente. • Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono de la impresora, situado en la parte superior derecha del tema de la Ayuda. • Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte inferior del tema de la Ayuda. Preguntas más frecuentes A continuación se incluyen las respuestas a las preguntas más frecuentes. ¿Dónde puedo encontrar información sobre ESM en otros idiomas? Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de ESM. Búsqueda de información localizada en la página 12 ¿Dónde puedo obtener más información sobre McAfee ESM? • Uso de la Ayuda de ESM en la página 13 • Visite el Centro de conocimiento • Visite el Centro de expertos • Vea los vídeos de McAfee ESM ¿Qué dispositivos de la solución SIEM se admiten? Visite el sitio web de McAfee ESM ¿Cómo se configuran los orígenes de datos concretos? Busque las guías de configuración de los orígenes de datos actuales en el Centro de conocimiento ¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido? • Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá notificaciones cuando el artículo sufra modificaciones. • Para obtener información sobre los paquetes de contenido, lea el artículo de la base de conocimiento en el Centro de conocimiento. © 2016 Intel Corporation Intel y el logotipo de Intel son marcas comerciales o marcas comerciales registradas de Intel Corporation. McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.