Guia de instalação do McAfee Enterprise Security Manager 11.0 · Ele permite que os usuários...

Guia de instalação do McAfee EnterpriseSecurity Manager 11.0.0

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de instalação do McAfee Enterprise Security Manager 11.0.0

Conteúdo

1 Installation overview 7De que tipo de instalação você precisa? . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Fluxo de trabalho de instalação de hardware . . . . . . . . . . . . . . . . . . . . . . . . . 8Fluxo de trabalho de instalação de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Fluxo de trabalho de atualização de software . . . . . . . . . . . . . . . . . . . . . . . . 10

2 Planning your installation 11Componentes do sistema disponíveis . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Formação de clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Cenários de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Como funciona o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3 System requirements 19Requisitos do sistema de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4 Install software for the first time 21Deploy the VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Distribuir uma VM do VMware ESXi . . . . . . . . . . . . . . . . . . . . . . . . . 21Distribuir uma KVM do Linux no ESM . . . . . . . . . . . . . . . . . . . . . . . . 22Distribuir uma VM do AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Install the software on an AWS VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Download da imagem da VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Mount the software on an AWS VM . . . . . . . . . . . . . . . . . . . . . . . . . 26

Instalar o software em um AWS HVM . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

5 Update to a new software version 31Prepare to update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Fazer download dos arquivos de atualização . . . . . . . . . . . . . . . . . . . . . 31Fazer backup do banco de dados . . . . . . . . . . . . . . . . . . . . . . . . . 32Verificar o status de alta disponibilidade do ERC . . . . . . . . . . . . . . . . . . . . 32Identificar e solucionar casos especiais de atualização . . . . . . . . . . . . . . . . . . 33

Atualizar o software ESM - ESM único . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Atualizar o software ESM - vários ESMs . . . . . . . . . . . . . . . . . . . . . . . . . . 35Update connected devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Atualizar dispositivos do SIEM periféricos . . . . . . . . . . . . . . . . . . . . . . 37Atualizar dispositivos do SIEM periféricos (modo FIPS) . . . . . . . . . . . . . . . . . . 38Verificar o status de alta disponibilidade do ERC . . . . . . . . . . . . . . . . . . . . 40Atualizar receptores de alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . 41

6 Complete your installation 43Entrar no ESM pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Add and configure devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Adicionar dispositivos à árvore de dispositivos . . . . . . . . . . . . . . . . . . . . . 45Adicionar dispositivos no modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . 46Alterar nomes de dispositivo, links e descrições . . . . . . . . . . . . . . . . . . . . 47

Guia de instalação do McAfee Enterprise Security Manager 11.0.0 3

Definir comunicação de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 47Configurar receptores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Configurar o ELS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Configure ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Configure ACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Configurar o McAfee Risk Advisor . . . . . . . . . . . . . . . . . . . . . . . . . 55Configurar o McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . . . 55Configurar um DAS para armazenar dados de um ESM completo . . . . . . . . . . . . . . 56

Codificar dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Gerenciar chaves SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Set up data sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Como funcionam as origens de dados . . . . . . . . . . . . . . . . . . . . . . . . 58Configurar receptores para criar origens de dados automaticamente . . . . . . . . . . . . 58

Gerenciar origens de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Definir formatos de data para origens de dados . . . . . . . . . . . . . . . . . . . . 63Adicionar origens de dados filho . . . . . . . . . . . . . . . . . . . . . . . . . . 63Adicionar origens de dados ASP com codificação diferente . . . . . . . . . . . . . . . . 63Adicionar origens de dados cliente . . . . . . . . . . . . . . . . . . . . . . . . . 63Como funcionam as origens de dados do cliente . . . . . . . . . . . . . . . . . . . . 64Selecione o método de coleta de origem de dados Coletar arquivo de cauda . . . . . . . . . 64Como funcionam as origens de dados de correlação . . . . . . . . . . . . . . . . . . 65

Set up data storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Como funciona o armazenamento de dados . . . . . . . . . . . . . . . . . . . . . 66Configurar o armazenamento de dados . . . . . . . . . . . . . . . . . . . . . . . 68Configurar o armazenamento de dados da VM . . . . . . . . . . . . . . . . . . . . 68Aumentar índices de acumulador . . . . . . . . . . . . . . . . . . . . . . . . . 69Configurar limites de retenção de dados . . . . . . . . . . . . . . . . . . . . . . . 69Definir limites de alocação de dados . . . . . . . . . . . . . . . . . . . . . . . . 69Gerenciar a indexação do acumulador . . . . . . . . . . . . . . . . . . . . . . . 70Exibir a utilização de memória do banco de dados . . . . . . . . . . . . . . . . . . . 70

McAfee Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Configurar o log do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 71Gerenciar listas de armazenamento . . . . . . . . . . . . . . . . . . . . . . . . 71Mover listas de armazenamento . . . . . . . . . . . . . . . . . . . . . . . . . . 72Reduzir o tamanho da alocação de armazenamento . . . . . . . . . . . . . . . . . . 72Espelhamento do armazenamento de dados do ELM . . . . . . . . . . . . . . . . . . 73Adicionar armazenamento de dados espelhados do ELM . . . . . . . . . . . . . . . . . 73Reconstruir listas de armazenamento espelhadas . . . . . . . . . . . . . . . . . . . 74Desativar dispositivos de espelhamento . . . . . . . . . . . . . . . . . . . . . . . 74Substituir um banco de dados de gerenciamento espelhado do ELM . . . . . . . . . . . . 74Redundância de ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Gerenciamento da compactação do ELM . . . . . . . . . . . . . . . . . . . . . . . 76Restaurar dados do ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Definir um local de armazenamento alternativo . . . . . . . . . . . . . . . . . . . . 77Exibir uso do armazenamento do ELM . . . . . . . . . . . . . . . . . . . . . . . 77Migração do banco de dados do ELM . . . . . . . . . . . . . . . . . . . . . . . . 77

Configure ELM Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Desativar compartilhamento de arquivo HomeGroup . . . . . . . . . . . . . . . . . . 78Configurar o armazenamento de dados externos . . . . . . . . . . . . . . . . . . . 78Adicionar dispositivos iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Vincular dispositivos de armazenamento a listas de armazenamento . . . . . . . . . . . . 79Dispositivos de armazenamento de SAN de formato . . . . . . . . . . . . . . . . . . 80Configurar um DAS para armazenar dados de um ESM completo . . . . . . . . . . . . . . 81Configure a unidade do local virtual para armazenar dados . . . . . . . . . . . . . . . . 81

Work in FIPS mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Verificar integridade de FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Conteúdo


Solução de problemas do modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . 84

7 Troubleshooting 85Conceder acesso ao sistema para a McAfee . . . . . . . . . . . . . . . . . . . . . . . . . 85

Conteúdo


Conteúdo


1 Installation overview

Conteúdo De que tipo de instalação você precisa? Fluxo de trabalho de instalação de hardware Fluxo de trabalho de instalação de VM Fluxo de trabalho de atualização de software

De que tipo de instalação você precisa?Use esta árvore de decisão para determinar quais instruções se aplicam à sua instalação.

1


Fluxo de trabalho de instalação de hardwareEste fluxograma apresenta uma visão geral das etapas necessárias para instalar a solução ESM em umappliance do ESM.

1 Installation overviewFluxo de trabalho de instalação de hardware


Fluxo de trabalho de instalação de VMEste fluxograma apresenta uma visão geral das etapas necessárias para instalar a solução ESM em umamáquina virtual.

Consulte também Cenários de configuração na página 14Componentes do sistema disponíveis na página 11

Installation overviewFluxo de trabalho de instalação de VM 1


Fluxo de trabalho de atualização de softwareInstale uma nova versão do software ESM.

1 Installation overviewFluxo de trabalho de atualização de software


2 Planning your installation

Conteúdo Componentes do sistema disponíveis Formação de clusters Cenários de configuração Como funciona o modo FIPS

Componentes do sistema disponíveisO McAfee ESM e seus componentes são instalados na rede e configurados para identificar vulnerabilidades eameaças. O ESM, o receptor e o McAfee

®

Enterprise Log Manager são necessários. Outros dispositivos sãoopcionais de acordo com as necessidades da empresa.

Os componentes do McAfee ESM incluem:

• McAfee® Enterprise Security Manager (McAfee ESM): disponível como componente de hardware ouinstalação de software de máquina virtual (VM), o McAfee ESM fornece análise de log, SIEM e funções deanálise de rede.

• McAfee Event Receiver (ERC): disponível como um componente de hardware ou instalação do software deVM, ele coleta logs de terceiros, eventos e dados de fluxo para que o ESM realize correlação e análise.

• McAfee Enterprise Log Manager (ELM): disponível como componente de hardware ou instalação dosoftware de VM, ele fornece funções de gerenciamento de log em conformidade. Requer um ESM e um ERC.

O ELM pode ser considerado como armazenamento "frio". Ele executa hashing para oferecer integridadeforense e compacta para fornecer eficiência de armazenamento (em um pacote pequeno de 2 U). Ele pode serpesquisado, mas geralmente só em instâncias raras. E deve ser o armazenamento de registro que permiterequisitos de retenção de log completos.

• McAfee Enterprise Log Search (ELS): um componente de hardware que coleta, indexa e armazena todos oseventos para fornecer uma trilha de auditoria de atividade comprovada. O ELS pesquisa eventos maisrápido do que o McAfee® Enterprise Log Manager porque usa índices.

O ELS pode ser considerado como uma pesquisa de log bruta e rápida. Ele permite que os usuáriosprocurem eventos em qualquer parte do log (especialmente os que não são analisados). Ele permite que oMcAfee ESM filtre mais dados "menos" importantes, pois podemos obtê-los rapidamente. Isso aumenta otempo de armazenamento, o desempenho e a eficiência do McAfee ESM. O ELS normalmente armazenarequisitos de retenção inferior ao total (3 a 6 meses dependendo do EPS), pois esses dados não estãocompactados. Portanto, ambientes de EPS alto chegam rapidamente à faixa de Terabyte alto.

• McAfee Receiver/ELM (ELMERC): disponível como um componente de hardware ou instalação de softwarede VM que inclui o ELM e o ERC.

• McAfee® Advanced Correlation Engine (McAfee® ACE): disponível como componente de hardware ouinstalação de software de VM que fornece correlação entre o McAfee RSC e Enterprise. Identifique eclassifique eventos em tempo real ou modo histórico usando a lógica baseada em regra e em risco.

2


• McAfee Application Data Monitor: um componente de hardware que monitora mais de 500 aplicativosconhecidos por meio da pilha inteira de camadas e captura detalhes de todas as violações da sessãocompleta.

• McAfee Database Event Monitor (DEM): um componente de hardware que automatiza a coleta, ogerenciamento, a análise, a visualização e a geração de relatórios do acesso ao banco de dados para amaioria das plataformas de bancos de dados.

• McAfee Direct Attached Storage (DAS): um componente de hardware conectado ao ESM, ELM ou ELS paraexpandir o espaço de armazenamento.

Em soluções redundantes, é necessário um dispositivo DAS em cada sistema. Por exemplo, dois ELMsredundantes requerem dois dispositivos DAS.

• Console do ESM: um computador com um navegador usado por administradores de segurança paraconfigurar e gerenciar o ESM.

Use apenas uma combinação de ESM ou vários desses componentes, dependendo do seu ambiente.

Consulte também Cenários de configuração na página 14Fluxo de trabalho de instalação de VM na página 9

2 Planning your installationComponentes do sistema disponíveis


Formação de clustersOs clusters de dispositivos do McAfee ESM podem ser configurados para maximizar a taxa de transferência(fragmentação), aumentar a quantidade de cópias de dados de eventos mantidas em dispositivos (replicação)ou se beneficiar desses dois recursos em uma instalação híbrida (fragmentação e replicação).

Em um ambiente de cluster, um nó age como o nó ativo e outros agem como nós em espera. O nó ativoexecuta funções de gerenciamento para o cluster.

Dimensionamento

O cluster permite que você dimensione o sistema por meio da fragmentação de dados, que é a capacidade decada dispositivo do McAfee ESM em um cluster consultar dados de eventos em todos os dispositivos do McAfeeESM desse cluster.

A fragmentação aumenta os índices de taxa de sistema usando a capacidade de vários dispositivos paraprocessar dados de eventos.

Replicação

Quando você usa a replicação, cada dispositivo atua como um nó individual do banco de dados, permitindoreplicar dados. Em um ambiente de cluster, especifique qual deles será o dispositivo "ativo". Esse dispositivo éo principal ponto de interação com o software McAfee ESM. Os outros dispositivos atuarão como dispositivos"em espera", que ajudam a balancear consultas e coletar dados, mas não executam tarefas de gerenciamento.Você pode configurar manualmente qualquer McAfee ESM no cluster para ser o dispositivo "ativo". Cadadispositivo armazena a configuração e outras definições.

Novos dados de evento sofrem balanceamento de carga para cada dispositivo dependendo do fator dereplicação configurado. O fator de replicação determina a quantidade de cópias de dados que existe no cluster.A replicação atenua as consequências de uma falha do dispositivo.

Planning your installationFormação de clusters 2


Dimensionamento e replicação juntosAproveitando a escala e a replicação, você poderá criar um sistema robusto que fornece processamento rápidode eventos e garante a retenção de dados.

Cenários de configuraçãoVocê pode configurar o McAfee ESM com apenas um ESM de combinação ou pode adicionar componentes paraidentificar ameaças em uma grande rede empresarial.Adicione componentes ao ambiente de rede para aumentar o desempenho, adicionar funcionalidade eaumentar a capacidade de armazenamento de eventos. Por exemplo, a inclusão dos componentes a seguir oude modelos mais avançados de um componente existente pode dimensionar a proteção da sua rede.

Os dispositivos da combinação de ESM instalados na máquina virtual têm limites de número de componentesque podem ser adicionados.

Solução do ESM de pequena escalaA figura mostra que um dispositivo do ESM fornece visibilidade dos eventos da rede.

2 Planning your installationCenários de configuração


Solução do ESM de grande escala

Esta figura mostra como vários ESMs oferecem visibilidade dos eventos de uma rede empresarial de grandeporte. Adicione ESMs à medida que a rede crescer e o número de eventos aumentar.

Consulte também Fluxo de trabalho de instalação de VM na página 9Componentes do sistema disponíveis na página 11

Como funciona o modo FIPSA norma FIPS (Federal FIPS Information Processing Standards) dos Estados Unidos define procedimentos,arquitetura, algoritmos e outras técnicas usadas para criptografia e módulos de criptografia, em que cadacomponente de criptografia individual da solução geral exige uma certificação independente.

Noções básicas da norma FIPS

A norma FIPS 140-2 (Federal Information Processing Standard) especifica os requisitos de produtos dehardware e software que implementam a funcionalidade criptográfica. A FIPS 140-2 é aplicável a todas asagências federais que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais(mas não secretas) em computadores e sistemas de telecomunicações (incluindo sistemas de voz), como definido naSeção 5131 do Ato da Reforma de Gerenciamento da Tecnologia de Informação de 1996, Lei pública 104–106. Onúmero -2 na FIPS 140-2 indica a revisão da norma.

Planning your installationComo funciona o modo FIPS 2


Consulte o NIST (National Institute of Standards and Technology) para obter informações atualizadas. A McAfeeusa esses módulos criptográficos do RSA para atender aos requisitos de conformidade com a FIPS.

Modo FIPS

Um McAfee ESM em execução no modo FIPS está em conformidade com FIPS. A decisão de executar o servidorMcAfee ESM no modo FIPS é feita durante a instalação e não pode ser alterada.

No modo FIPS, o McAfee ESM:

• Insere restrições adicionais em tipos de métodos de segurança permitidos

• Realiza testes adicionais durante a inicialização

• Permite conexões somente de dispositivos em conformidade com FIPS.

Motivos para usar o McAfee ePO no modo FIPS

A sua organização pode precisar usar o McAfee ePO no modo FIPS se você estiver em uma destas categorias:

• Você é uma organização do governo dos EUA que deve operar modelos criptográficos em conformidadecom a FIPS 140-2 de acordo com o FISMA ou com outros regulamentos federais, estaduais ou locais.

• Sua organização exige o uso dos módulos criptográficos padronizados e avaliados de maneiraindependente.

O limite criptográfico

A conformidade com a FIPS requer uma separação física ou lógica entre as interfaces por meio das quais osparâmetros de segurança críticos entram e saem do módulo criptográfico e de todas as outras interfaces. OMcAfee ESM cria essa separação ao criar um limite em torno do módulo de criptografia. Um conjunto deinterfaces aprovado é usado para acessar os módulos dentro do limite. Nenhum outro mecanismo paraacessar esses módulos é permitido ou fornecido quando estão no modo FIPS.

Os módulos dentro do limite realizam estes processos:

• Os métodos de segurança validados por FIPS que realizam criptografia, hashing e serviços relacionados emexecução dentro do McAfee ESM

• Inicialização e teste de verificação exigidos pela FIPS

• Extensão e verificação de assinatura executável

• Gerenciamento da conexão TLS

• Encapsulamento de API criptográfico

2 Planning your installationComo funciona o modo FIPS


Status dorecurso

Descrição

Recursos nãodisponíveis nomodo FIPS

• Receptores de alta disponibilidade.

• Capacidade de se comunicar com o dispositivo usando o protocolo SSH.

• No console do dispositivo, um menu de gerenciamento de dispositivos substitui o shellprincipal.

Recursosdisponíveissomente no modoFIPS

• Quatro funções de usuário não se sobrepõem: Usuário, Usuário avançado, Administraçãode auditoria, e Administração de chave e certificado.

• Todas as páginas de Propriedades têm uma opção de Autoteste que permite verificar se osistema está funcionando corretamente no modo FIPS.

• Se houver falha de FIPS, será adicionado um sinalizador de status à árvore de navegaçãode sistemas para refletir a falha.

• Todas as páginas de Propriedades têm a opção Exibir. Quando é clicada, ela abre a páginaToken de identidade de FIPS. Ela exibe um valor que precisa ser comparado ao valormostrado naquelas seções do documento, para garantir que a FIPS não foicomprometida.

• Em Propriedades do sistema | Usuários e grupos | Privilégios | Editar grupo, a página inclui oprivilégio Autoteste de criptografia da FIPS, que concede aos membros do grupo aautorização para executar autotestes da FIPS.

• Em Assistente de adição de dispositivo, o protocolo TCP é sempre definido como Porta 22. Aporta SSH pode ser alterada.

Planning your installationComo funciona o modo FIPS 2


2 Planning your installationComo funciona o modo FIPS


3 System requirements

Requisitos do sistema de VMA máquina virtual (VM) que você usa para a VM do McAfee ESM deve atender a estes requisitos mínimos.

• Processador — 8 núcleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/DualOpteron64 ou superior

• RAM — Depende do modelo (4 GB ou mais)

• Espaço em disco — Depende do modelo (250 GB ou mais)

• VMware ESXi 5.0 ou posterior

• Configuração ampla ou reduzida: escolha os requisitos de disco rígido para seu servidor. O requisito mínimoé de 250 GB. Consulte as especificações de seu produto de VM.

Consulte também Download da imagem da VM na página 25

3


3 System requirementsRequisitos do sistema de VM


4 Install software for the first time

Conteúdo Deploy the VM Install the software on an AWS VM Instalar o software em um AWS HVM

Deploy the VM

Conteúdo Distribuir uma VM do VMware ESXi Distribuir uma KVM do Linux no ESM Distribuir uma VM do AWS

Distribuir uma VM do VMware ESXiDepois que você montar e codificar uma VM do VMware ESXi, ela funcionará como um dispositivo físico doESM.

Tarefa1 Acesse a raiz da unidade de CD (para instalação de CD) ou faça download dos arquivos .ova do ESXi no site

de downloads da McAfee.

2 No vSphere Client, clique no endereço IP do servidor na árvore de dispositivos.

3 Clique em Arquivo e selecione Distribuir modelo OVF.

4 Designe o nome, a pasta para montagem da VM, a definição da configuração de disco e a opção Rede VM.

5 Distribua os arquivos para o servidor ESXi, selecione a VM e defina a configuração Editar máquina virtual.

6 Selecione as configurações de rede corretas para os switches/adaptadores da rede VMware ESXi e clique emReproduzir para inicializar a VM.

7 Usando o menu VM, defina o endereço IP de GER1, a máscara de rede, o gateway e os endereços DNS, epressione Esc para ativar o menu.

8 Configure a interface de rede na VM, salve as alterações antes de sair da janela Menu e codifique odispositivo.

4


Distribuir uma KVM do Linux no ESMPara executar o McAfee ESM no ambiente da KVM do Linux, é necessário importar a imagem do disco rígido dotarball (arquivo .tgz). O arquivo tarball contém arquivos de configuração de exemplo.

Tarefa1 Obtenha o arquivo tarball (.tgz) atual na página de downloads da McAfee.

2 Mova o arquivo tarball para o diretório onde você deseja colocar o disco rígido virtual.

3 Extraia o tarball executando este comando: tar –xf McAfee_ETM_VM4_250.tgz

Para distribuir várias VMs do mesmo tipo no mesmo local, altere o nome do disco rígido virtual.

ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw para my_first_erc.raw, my_second_erc.raw, porexemplo.

4 Crie uma VM no hipervisor KVM usando:

(libvirt, qemu-kvm, proxmox, virt-manager, ovirt)

5 Aponte a imagem da VM para o disco rígido virtual existente (arquivo .raw do disco Virtio) onde você extraiuo tarball.

Distribuir uma VM do AWSCrie o servidor AWS com as configurações adequadas e crie uma conexão com sua rede empresarial.

Antes de iniciarÉ preciso ter uma conta do Amazon Web Services.

Este exemplo e os valores selecionados descrevem um servidor ESM simples. Os valores selecionados por vocêpodem ser diferentes.

Tarefa1 Entre no console do AWS para abrir a página Console do AWS.

2 Defina a região do data center do AWS como o local mais próximo à maioria de suas redes.

3 Em Computação, clique duas vezes em EC2 (Amazon Elastic Compute Cloud) para abrir a Etapa 1: Escolheruma Amazon Machine Image (AMI) e selecionar a instância de servidor Amazon Linux AMI.

Esse tipo tem as ferramentas AWS/EC2 pré-instaladas. Se você escolher outros tipos Linux, precisará instalaras ferramentas AWS/EC2.

4 Abra a Etapa 2: Escolher um tipo de instância, selecione m3.2xlarge ou maior e clique em Avançar: Configurardetalhes da instância.

Ao escolher o Tipo de instância, selecione a contagem de CPU correta e o tipo de instância correto. Se nãotiver certeza, entre em contato com o suporte.

5 Clique em Avançar: Configurar detalhes da instância para selecionar a rede a ser usada durante a execução dainstância.

4 Install software for the first timeDeploy the VM


É necessário que você consiga se conectar à sua instância usando:

• Endereço público

• Endereço privado

Você pode criar sua própria Nuvem privada virtual (VPC) no AWS. Para obter mais informações, consulte VPCnos serviços da lista suspensa.

6 Clique em Avançar: Adicionar armazenamento para abrir a Etapa 4: página Adicionar armazenamento. Deixeos padrões selecionados para a instância de "compilação" da Amazon.

O padrão para dispositivos da McAfee é 250 GB. Você pode adicionar mais volumes, caso precise.

7 Clique em Avançar: Instância de marca para abrir a Etapa 5: Página Instância de marca. Digite um nome parapoder localizar a instância na coluna "Valor".

8 Clique em Avançar: Configurar grupo de segurança para abrir a Etapa 6: Página Configurar grupo desegurança, em seguida, selecione:

• Criar um novo grupo de segurança: um novo grupo de segurança limita quem pode entrar na instância.

Adicione a faixa de endereços IP externos.

• Selecionar um grupo de segurança existente.

9 Clique em Verificar e iniciar para abrir a Etapa 7: Verificar e iniciar instância e clique em Iniciar.

Desconsidere este aviso caso ele seja exibido: A configuração de sua instância não está qualificada para acamada de uso livre.

10 Selecione um par de chaves ou crie um novo par, pois ele será necessário para entrar em sua novainstância.

11 Clique em Iniciar instância e Exibir instâncias para confirmar o status do servidor AWS.

Pode levar de 20 a 30 minutos até a sua instância ficar pronta para ser acessada. Quando a colunaVerificações de status, ao lado da nova instância, exibe 2/2 verificações, você está pronto para iniciar oprocesso de instalação.

12 Anote o endereço IP público. Mostrado neste exemplo como: cc.dd.ee.ff.

Esse endereço IP é necessário para transferir o instalador para a instância e para entrar.

Você criou seu servidor AWS. Continue com o processo de instalação e criação da imagem do AWS.

Tarefas• Configurar a interface de rede de VM na página 24

• Codificar o dispositivo VM na página 25Codifique o dispositivo para estabelecer um vínculo entre ele e o ESM.

Consulte também Uso do software com AWS na página 26Configurar conexões do AWS na página 28Criar uma imagem do AWS na página 26

Install software for the first timeDeploy the VM 4


Configurar a interface de rede de VM

Tarefa1 Conecte um monitor e um teclado ao dispositivo e ligue-o.

O processo de inicialização é concluído em aproximadamente dois minutos, e é exibida a página dessa telade cristal líquido (LCD).

2 Pressione Esc duas vezes, role para baixo até Config. de IP de GER. e pressione Enter.

3 Defina o endereço IP da VM do ESM.

a Role para baixo até Ger1 e pressione Enter.

b Role para baixo até Endereço IP e pressione Enter.

c Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois de concluído,pressione Enter.

4 Defina o endereço IP da máscara de rede.

a Role para baixo até Máscara de rede e pressione Enter.

b Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois de concluído,pressione Enter.

5 Defina o endereço IP do gateway da rede.

a Role para baixo até IP do gateway e pressione Enter.


6 Defina o endereço IP do DNS.

a Role para baixo até IP de DNS1 e pressione Enter.


7 Configure o DHCP.

a Role para baixo até DHCP e pressione Enter.

b Ative/desative a configuração entre S(im) e N(ão) e em seguida pressione Enter para selecionar aconfiguração correta.

8 Encerre e salve as alterações.

a Role para baixo até Concluído e pressione Enter para retornar à Config. de IP de GER.

b Role para Salvar alterações e pressione Enter.

4 Install software for the first timeDeploy the VM


9 (Opcional) Se você estiver usando o modo FIPS, altere a porta de comunicação.

a Pressione a seta para baixo duas vezes, depois pressione Enter.

b Role para baixo até Porta de comunicação e pressione Enter.

c Altere o número da porta e pressione Enter.

Anote o novo número da porta, pois ele será necessário no momento de codificar o dispositivo.

Codificar o dispositivo VMCodifique o dispositivo para estabelecer um vínculo entre ele e o ESM.

Antes de iniciarConecte fisicamente o dispositivo à rede.

Tarefa

1 Na árvore de navegação do sistema, clique no sistema ou grupo e no ícone Adicionar dispositivo no painelde ações.

2 Insira as informações solicitadas em cada página do Assistente de adição de dispositivo.

Install the software on an AWS VM

Conteúdo Download da imagem da VM Mount the software on an AWS VM

Download da imagem da VM

Antes de iniciarVocê deve ter o Número de concessão da McAfee para fazer download do software do ESM.

Tarefa

1 Use o navegador para acessar o site de downloads da McAfee.

2 Clique em Downloads, digite seu Número de concessão da McAfee e o código CAPTCHA, depois clique emEnviar.

3 Na página Meus produtos, role a lista para baixo e selecione um arquivo de download de VM** do McAfeeEnterprise Security Manager.

O número no nome do arquivo de download indica o número de núcleos que a imagem do ESM aloca para aVM. Por exemplo, o arquivo "VM32" aloca 32 núcleos para a VM.

4 Selecione a guia Versão atual e selecione a imagem de VM do McAfee Enterprise Security Manager.

5 Selecione um arquivo de imagem e o salve em seu sistema local. Anote o nome do arquivo e o local. Vocêprecisará dessas informações para montar a imagem.

Consulte também Requisitos do sistema de VM na página 19

Install software for the first timeInstall the software on an AWS VM 4


Mount the software on an AWS VM

Conteúdo Uso do software com AWS Criar uma imagem do AWS Configurar conexões do AWS

Uso do software com AWSUm servidor virtual AWS (Amazon Web Services) fornece os mesmos recursos e desempenho de uma VM doMcAfee ESM configurado localmente.

As etapas básicas para criar um servidor AWS em sua rede com o McAfee ESM incluem:

1 Obtenha uma conta da AWS em http://aws.amazon.com/.

2 Entre no Console de gerenciamento da AWS e configure sua instância do AWS.

3 Instale o software do ESM, ERC, ELM, ELS ou ACE.

4 Configure o dispositivo ESM.

Consulte também Configurar conexões do AWS na página 28Criar uma imagem do AWS na página 26Distribuir uma VM do AWS na página 22

Criar uma imagem do AWSInstalar o ESM em um servidor AWS é diferente de instalar o software em um servidor físico. Estas etapasdescrevem o processo.

Antes de iniciarÉ preciso que você tenha criado o servidor AWS e conectado ao servidor.

É preciso saber o endereço IP configurado do servidor AWS.

Tarefa

1 Use scp ou pscp (PuTTY Secure Copy Client) para converter o arquivo .pem em .ppk.

Por exemplo, ao usar o Secure Copy Client, use este comando para converter o arquivo de chave etransfira-o para a nova instância do AWS:

scp -i mykeypair.pem siem_install.sh [email protected]:

Ao usar o PuTTY Secure Copy Client, use este comando para converter o arquivo:

pscp -i mykeypair.pem siem_install.sh [email protected]>:

Estas são as variáveis dos exemplos anteriores:

• siem_install.sh — Nome do arquivo de conversão

• ec2-user — Nome de usuário

• cc.dd.ee.ff — Endereço IP

No Windows, use WinSCP para copiar o arquivo em sua instância, convertendo o arquivo .pem para .ppkpara PuTTY ou WinSCP.

4 Install software for the first timeInstall the software on an AWS VM


http://aws.amazon.com/

2 Entre na nova instância de AWS usando SSH ou PuTTY com este comando:

ssh -i mykeypair.pem [email protected] são as variáveis do exemplo:

• mykeypair.pem — Nome do arquivo SSH de conversão

• ec2-user — Nome de usuário

• cc.dd.ee.ff — Endereço IP

3 Digite este comando para alterar para raiz e pressione Enter:

sudo su

4 Execute aws configure como raiz e forneça a ID da chave de acesso e a Chave de acesso secreta que vocêrecebeu, usando estes comandos:

[root@<IP address> <ec2-user name>]# aws configure

AWS Access Key ID [None]: <Access Key ID>

AWS Secret Access Key [None]: <Secret Access Key>

Default region name [None]: (Deixe em branco e pressione Enter)

Default output format [None] (Deixe em branco e pressione Enter)

5 Confirme se o script de instalação é executável. Se for necessário, use chmod. Por exemplo:

chmod u+x siem_install.sh

Install software for the first timeInstall the software on an AWS VM 4


6 Crie uma imagem de AMI e uma instância com este comando:

./siem_install.sh

Se for emitido um erro indicando que as chaves não foram definidas, você poderá adicionar as chaves nalinha de comando. Por exemplo:

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ETM_VM8.sh

A chave de acesso ou a chave secreta de AWS não foi definida

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ERU_VM8.sh -O <ID da chave deacesso> -W

<Chave de acesso secreta>

Para acessar a Ajuda, as opções de saída:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh -h

install_McAfee_ETM_VM8.sh - instalar SIEM no Amazon EC2

install_McAfee_ETM_VM8.sh [opções]

opções:

-h, --help mostram ajuda breve

-O chave AWS

-W Chave secreta de AWS

A criação da imagem de AMI leva cerca de 20 minutos e não é um processo interativo. Este é um exemplo dasaída:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh Descompactando arquivos Executando o instalador Criando volume Anexando volume formatando volume 1+0 registros de entrada 1+0 registros de saída 4194304 bytes (4,2 MB) copiados, 0,0467013 s, 89,8 MB/s mke2fs 1.42.9 (28-Dez-2013) mke2fs 1.42.9 (28-Dez-2013) montando partição principal copiando arquivos principais montando partição de inicialização copiando arquivos de inicialização Atualizando fstab Atualizando grub desmontando partição de inicialização desmontando partição principal desconectando volume Criando instantâneo (isso levará algum tempo) Criando AMI Criada a AMI "ami-bb8afc81". Para executar, inicie uma instância dessa AMI Excluindo volume (temporário) Cliente.VolumeInválido.NãoEncontrado: o volume "vol-9eb2ae81" não existe. Concluído

7 Quando a imagem for criada, saia do shell principal, saia da instância, vá para o Dashboard EC2 e finalize ainstância em execução.

A finalização da instância destrói a instância.

Agora, você pode entrar no AWS do ESM sem problemas, além de configurar, codificar e começar a usar odispositivo AWS.

Consulte também Uso do software com AWS na página 26Distribuir uma VM do AWS na página 22Configurar conexões do AWS na página 28

Configurar conexões do AWSDepois de configurar o hash para o AWS do ESM, conecte-se e adicione dispositivos.

Antes de iniciarÉ preciso que você tenha criado o AWS e instalado o ESM no AWS.

4 Install software for the first timeInstall the software on an AWS VM


Tarefa

1 Após a verificação de hash com a McAfee, você pode usar seu endereço IP configurado para entrarinicialmente no ESM. Para obter detalhes, consulte Entrar no console do McAfee ESM.

2 Conecte os dispositivos físicos e virtuais ao ESM.

3 Confirme se todos os dispositivos ESM aparecem no ESM antes de configurá-los.

4 Codifique os dispositivos para concluir a configuração.

Consulte também Uso do software com AWS na página 26Distribuir uma VM do AWS na página 22Criar uma imagem do AWS na página 26

Instalar o software em um AWS HVMO McAfee ESM é instalado no AWS HVM usando scripts. Os scripts de instalador SIEM Amazon EC2 criamimagens da máquina Amazon (AMIs) do qual você pode iniciar instâncias de VM de dispositivos. Há uminstalador separado para cada dispositivo (ETM, ERC, McAfee ACE etc.), e cada instalador produz uma AMI paraesse dispositivo específico.

Antes de iniciarVerifique se você tem os scripts do instalador.

Tarefa

1 No dashboard Amazon EC2, selecione Instances (Instâncias) na barra de menu esquerda e clique em LaunchInstance (Iniciar instância).

2 Selecione Amazon Linux AMI.

3 Na tela Choose Instance Type (Escolher tipo de instância), escolha m3.medium ou m4.large e clique em Next(Próximo).

4 Na tela Configure Instance Details (Configurar detalhes da instância), clique em Next (Próximo).

5 Na tela Add Storage (Adicionar armazenamento), clique em Next (Próximo).

6 Na tela Add Tags (Adicionar marcas), clique em Next (Próximo).

7 Na tela Configure Security Group (Configurar grupo de segurança), selecione Create (Criar) ou selecione umgrupo de segurança que permita acesso SSH à instância.

8 Clique em Review And Launch (Revisar e iniciar).

9 Clique em Launch (Iniciar).

10 Selecione um par de chaves ao qual você tem acesso e clique em Launch Instances (Iniciar instâncias).

11 No prompt de comando, digite scp -i ~/my_key.pem install_hvm_etm_16.shec2-user@instance_ip_address:

O script do instalador é copiado para a máquina virtual.

12 Para entrar, digite ssh -i ~/my_key.pem ec2-user@instance_ip_address.

Install software for the first timeInstalar o software em um AWS HVM 4


13 Torne-se raiz digitando sudo su.

14 Digite aws configure.

a Insira a chave de acesso da AWS.

b Insira a chave secreta da AWS.

c Deixe os outros campos em branco.

15 No prompt de comando, digite # ./install_hvm_ace_16.sh.

Quando o script do instalador for concluído (15 a 20 minutos) uma nova AMI estará registrada em sua contaAWS. Você pode usar essa AMI para iniciar uma VM.

A instância do Amazon Linux usada para executar o instalador não é mais necessária e pode ser encerrada.

4 Install software for the first timeInstalar o software em um AWS HVM


5 Update to a new software version

Conteúdo Prepare to update Atualizar o software ESM - ESM único Atualizar o software ESM - vários ESMs Update connected devices

Prepare to update

Conteúdo Fazer download dos arquivos de atualização Fazer backup do banco de dados Verificar o status de alta disponibilidade do ERC Identificar e solucionar casos especiais de atualização

Fazer download dos arquivos de atualizaçãoQuando o sistema estiver pronto para atualização, faça download dos arquivos de atualização no sistema local.

Antes de iniciarVocê deve ter um número de concessão.

Tarefa1 Vá para o site de download de produtos da McAfee.

2 Clique em Fazer download, insira seu número de concessão, digite as letras exibidas e envie.

3 Selecione McAfee Enterprise Security Manager e clique na guia Todas as versões.

4 Faça download do arquivo de lançamento no sistema local.

Tipo de dispositivo Arquivo

McAfee Enterprise Security Manager independente (ESM) ESS_Update_11.0.signed.tgz

McAfee Enterprise Security Manager com um receptor incorporado(ESMREC)

ESSREC_Update_11.0.signed.tgz

McAfee Enterprise Security Manager com um receptor incorporado eENMELM (McAfee Enterprise Log Manager), também conhecido comoCaixa de combinação

ESSREC_Update_11.0.signed.tgz

5


Fazer backup do banco de dadosFaça backup de dados do sistema para que você possa recuperar se o processo de atualização não forconcluído corretamente.

Antes de iniciarConfirme se o banco de dados do ESM recompilado de uma compilação anterior (9.6.x ouposterior) está concluído e se é possível agendar a janela de interrupção para essa atualização.

Tarefa1 Em Propriedades do sistema, clique em Alarmes, destaque cada alarme, clique em Exportar e salve o arquivo.

2 Em Propriedades do sistema, clique em Listas de observação, selecione cada lista, clique em Exportar e salve oarquivo.

3 Em Política padrão do Editor de políticas, siga este processo para cada tipo de regra, exceto Origem de dados,Eventos do Windows, ESM, Normalização, Variável e Pré-processador.

a No painel Tipos de regras, clique em um tipo de regra.

b No painel Filtros/Marcação, clique na guia Avançado, selecione definido pelo usuário no campo Origem eclique em Atualizar .

c Destaque as regras, clique em Arquivo | Exportar | Regras, e salve-as no formato XML.

4 Em Política padrão no Editor de políticas, clique em Arquivo | Exportar | Política e selecione Todas as regraspersonalizadas e variáveis personalizadas.

Verificar o status de alta disponibilidade do ERCSe o sistema incluir receptores de alta disponibilidade, verifique para garantir que os endereços IP não sejamduplicados.

Antes de iniciarVocê precisa ter privilégios de administrador para concluir essa tarefa.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo ERC-HA primário e clique no ícone Propriedades

.

2 Nos campos Status e Status secundário, verifique se o status é OK; Status HA: online.

3 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ha_status na interface de linha decomando nos dois ERCs. As informações resultantes mostram o status desse ERC e como ele interpreta ostatus do outro ERC. Assemelha-se ao seguinte:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Verifique o seguinte no status:

• A primeira linha da resposta é OK.

• Host name corresponde ao nome do host na linha de comando menos o número do modelo do ERC.

• Mode será primary (primário) se o valor de sharedIP for o nome do host desse ERC, caso contrário, omodo será secundário.

5 Update to a new software versionPrepare to update


• As próximas duas linhas mostram os nomes do host dos ERCs no par de HA e o status em execução decada ERC. O status de ambos é online.

• corosync= mostra o status de execução de corosync, que deve ser em execução.

• hi_bit é no (não) em um ERC e yes (sim) no outro.

Certifique-se de que somente um dos ERCs-HA esteja definido com o valor hi_bit. Se os dois ERCs HAestiverem definidos com o mesmo valor, ligue para o Suporte da McAfee antes da atualização paracorrigir essa configuração.

5 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ifconfig nos dois ERCs.

6 Verifique o seguinte nos dados gerados:

• Os endereços MAC em eth0 e eth1 são únicos nos dois ERCs.

• O ERC primário tem o endereço IP compartilhado em eth1 e o ERC secundário não tem qualquerendereço IP em eth1.

Se os dois ERCs HA estiverem definidos com o mesmo valor, ligue para o Suporte técnico antes daatualização para corrigir essa configuração.

Essa verificação confirma se o sistema está funcionando e se não existem endereços IP duplicados, o quesignifica que os dispositivos podem ser atualizados.

Identificar e solucionar casos especiais de atualizaçãoEm situações especiais, é preciso realizar etapas adicionais antes ou depois da atualização.

Tarefa1 Se você estiver instalando um novo McAfee ESM:

a Registre o hardware dentro de 30 dias para ter certeza de que receberá atualizações de política,analisador e regra como parte do contrato de manutenção. Se não registrá-lo, não poderá receberatualizações.

b Para obter seu nome de usuário e sua senha permanentes, envie um e-mail [email protected] contendo as seguintes informações:

• Número de concessão da McAfee • Nome do contato

• Nome da conta • Endereço de e-mail do contato

• Endereço

2 Se você precisar de atualizações de regra offline:

a Abra um navegador da Web e vá para http://www.mcafee.com/us/downloads/downloads.aspx.

b Clique em Fazer download, insira seu número de concessão, digite as letras exibidas e envie.

c Selecione McAfee Enterprise Security Manager e clique na guia Todas as versões.

d Faça o download das regras da sua versão do McAfee ESM.

3 Se houver problemas de comunicação do dispositivo durante o processo de atualização:

Update to a new software versionPrepare to update 5


Se você tiver atualizado um dispositivo da McAfee antes de atualizar o McAfee ESM ou se o ESM estiver nomeio da atualização, esta mensagem poderá aparecer: É necessário fazer upgrade deste dispositivo para que aoperação possa ser realizada. Verifique se a versão do McAfee ESM está correta.

a No console do McAfee ESM, selecione o dispositivo na árvore de navegação do sistema e clique no ícone

Propriedades .

b Clique em Conexão e em Status.

c Tente novamente a operação que resultou na mensagem.

4 Se o sistema inclui um McAfee ePO com o Policy Auditor, atualize-o.

a Se você não estiver usando um dispositivo completo, atualize o McAfee Event Receiver no qual odispositivo do McAfee ePO está conectado.

b No console do McAfee ESM, clique em Propriedades do ePO | Gerenciamento de dispositivose em Atualizar.

É possível definir a recuperação automática na guia Gerenciamento de dispositivos.

c Clique em Propriedades do Receptor e selecione a guia Avaliação de vulnerabilidade.

d Clique em Gravar.

e Repita a etapa para obter os dados de VA no McAfee ESM.

f Saia do console do McAfee ESM e entre novamente.

5 Verifique o status do processo de recompilação do banco de dados do ELM.

A indexação do banco de dados de gerenciamento do ELM pode exigir um tempo adicional, dependendo domodelo do ELM. Por exemplo, o número de listas de armazenamento que você tem, a quantidade de dadosenviados ao registrar dispositivos e a largura de banda de rede podem aumentar o tempo de conclusão daindexação. No entanto, essa tarefa em segundo plano tem impacto mínimo no desempenho e, quandoconcluída, aprimora a consulta de dados históricos.

a Vá para Propriedades do ELM | Informações do ELM.

b Se a mensagem O banco de dados está sendo recompilado for exibida no campo Status ativo, nãointerrompa nem inicie o banco de dados do ELM. O sistema indexa todos os dados novos do ELM nodispositivo de envio antes de enviar os dados ao ELM.

c Se você tiver um receptor de eventos criando logs no ELM e a capacidade deles estiver próxima do limitemáximo, entre em contato com o Suporte.

6 Se você estiver atualizando um ELM redundante:

Se você desligar o dispositivo durante uma atualização, poderá ocorrer perda de dados.

a Atualize o ELM de espera.

b Atualize o ELM ativo.

c Na árvore de navegação do sistema, selecione o ELM de espera e vá para Propriedades do ELM |Redundância do ELM | Retomar serviço.

d Vá para Propriedades do ELM | Informações do ELM e clique em Atualizar. Os ELMs ativos e de esperaexibem o status OK.

e Se o ELM de espera exibir o status Não é seguro, clique em Atualizar novamente. Após alguns minutos, ostatus do ELM de espera mudará para OK, a ressincronização do ELM redundante está 100% concluído.Talvez seja necessário clicar em Atualizar várias vezes.

5 Update to a new software versionPrepare to update


Atualizar o software ESM - ESM únicoAtualize o software do McAfee ESM para uma versão mais recente.

Antes de iniciarCertifique-se de que foi feito backup das configurações e dos dados do sistema.

Se o sistema não puder acessar a internet, faça download do arquivo de atualização no site dedownloads da McAfee.

Na atualização, todos os coletores ativos param de coletar dados até que você regrave as configurações dodispositivo e distribua a política.

Tarefa1 No dashboard, clique no menu suspenso ( ) e selecione Configuração.

2 Selecione o ESM e clique no ícone Propriedades .

3 Clique em Gerenciamento do ESM.

4 Selecione a guia Manutenção e clique em Atualizar ESM.

5 Siga um destes procedimentos:

• Selecione o arquivo de atualização na lista e clique em OK.

• Procure um arquivo de atualização de software obtido no servidor de atualizações e regras do ESM.Clique em Fazer upload e em Sim na página de aviso.

O ESM é reinicializado e todas as sessões atuais são desconectadas enquanto a atualização é instalada. Sevocê tiver problemas durante uma atualização, poderá:

• Reverter para a versão anterior do software.

• Restaurar os arquivos de backup.

• Tentar atualizar novamente.

6 Entrar e definir configurações de clusters.

a Em Propriedades do ESM, selecione Formação de clusters.

b Selecione o ESM principal e clique em Gravar.

Atualizar o software ESM - vários ESMsAtualize seu sistema para uma versão mais recente do software.

Antes de iniciarCertifique-se de que foi feito backup das configurações e dos dados do sistema.

Se o sistema não puder acessar a internet, faça download do arquivo de atualização no site dedownloads da McAfee.

Se você estiver adicionando ESMs para o desempenho (não replicação), garanta que eles não estejamconfigurados como redundantes durante o processo de atualização. Eles serão adicionados depois que aatualização for concluída, e o fator de replicação não será alterado. Por exemplo, você pode ter 4 ESMs nadistribuição de 10.x. Um é o principal e três são redundantes. Na 10.x, cada um deles é uma cópia do principal,

Update to a new software versionAtualizar o software ESM - ESM único 5


logo, há 4 cópias dos dados. Na 11.0, você poderia ter todos os quatro no cluster com um fator de replicação dedois. Isso resultaria em duas cópias de seus dados em dois nós para aumentar o desempenho e adisponibilidade. Para atualizar para essa configuração, você removerá dois ESMs redundantes da instalaçãoexistente, atualizará para a nova versão (que cria um cluster de 2 ESMs) e, em seguida, adicionarámanualmente dois ESMs.

O fator de replicação deve ser um múltiplo do número de nós (ESMs). Para adicionar nós a fim de aumentar odesempenho, eles devem ser adicionados em números pares.

Ao atualizar da versão 9.6.1 para a 11.0 (pulando a versão 10.x), visite a página de propriedades de cadadispositivo do ESM depois que a atualização for concluída para restabelecer a comunicação.

Se você estiver redirecionando um ESM existente, obtenha um ISO específico do modelo para a versão 11.0com o Suporte e a distribua primeiro para "limpar" o dispositivo. É necessário concluir a primeira entrada noprocesso após distribuir o ISO e antes de adicionar o ESM a um cluster.

Na atualização, todos os coletores ativos param de coletar dados até que você regrave as configurações dodispositivo e distribua a política.

Tarefa1 No dashboard, clique no menu suspenso ( ) e selecione Configuração.

2 Selecione o ESM principal e clique no ícone Propriedades .

3 Clique em Gerenciamento do ESM.

4 Selecione a guia Manutenção e clique em Atualizar ESM.


• Selecione o arquivo de atualização na lista e clique em OK.

• Procure um arquivo de atualização de software obtido no servidor de atualizações e regras do ESM.Clique em Fazer upload e em Sim na página de aviso.

O ESM é reinicializado e todas as sessões atuais são desconectadas enquanto a atualização é instalada. Sevocê tiver problemas durante uma atualização, poderá:

• Reverter para a versão anterior do software.

• Restaurar os arquivos de backup.

• Tentar atualizar novamente.

6 Entrar e definir configurações de clusters.

a Em Propriedades do ESM, selecione Formação de clusters.

b Selecione o ESM principal e clique em Gravar.

7 Atualize o(s) ESM(s) redundante(s).

O ESM redundante configura a próprio como parte de um cluster.

8 Quando todos os ESMs estiverem atualizados, entre no ESM principal e defina as configurações declustering novamente em Propriedades do sistema | Formação de clusters | Gravar.

5 Update to a new software versionAtualizar o software ESM - vários ESMs


Update connected devices

Conteúdo Atualizar dispositivos do SIEM periféricos Atualizar dispositivos do SIEM periféricos (modo FIPS) Verificar o status de alta disponibilidade do ERC Atualizar receptores de alta disponibilidade

Atualizar dispositivos do SIEM periféricosAtualize dispositivos periféricos, regrave as configurações do dispositivo e distribua a política.

Antes de iniciar

• Leia as notas de versão.

• Se você tiver atualizado recentemente o software ESM, verifique se a reconstrução do banco dedados foi concluída.

• Certifique-se de que haja comunicação com cada dispositivo do sistema.

Tarefa

1 Atualize o ELM.

a No dashboard, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Propriedades.

b Clique em Gerenciamento de <dispositivo> e selecione a guia Manutenção.

c Clique em Atualizar ELM.

d Selecione uma atualização na tabela ou clique em Procurar para localizar o software de atualização nosistema local.

e Clique em OK.

2 Atualize os dispositivos do receptor, ACE, DEM e ADM.

Se o sistema inclui receptores de alta disponibilidade, use o processo Atualizar receptores de altadisponibilidade.


b Clique em <dispositivo> Gerenciamento e selecione a guia Manutenção.

c Clique em Atualizar <dispositivo>.


e Clique em OK.

O processo de atualização será iniciado e poderá levar várias horas.

3 Aplique as regras atualizadas.

a Na árvore de navegação do sistema, selecione o ESM e clique no ícone Propriedades .

b Na página Informações do sistema, clique em Atualização de regras e em Atualização manual.

c Procure o arquivo de atualização, clique em Fazer upload e em OK.

Update to a new software versionUpdate connected devices 5


4 Regrave as configurações combinadas do McAfee Event Receiver ou ESM/Event Receiver.


b Clique em Origens de dados | Gravar.

c Clique em Avaliação de vulnerabilidade | Gravar.

5 Regrave as configurações de ACE.


b Clique em Gerenciamento de correlação de risco | Gravar.

c Clique em Histórico | Ativar correlação histórica | Aplicar. Se já estiver marcada, desmarque-a, selecione-anovamente e clique em Aplicar.

d Clique em Correlação de regras, selecione Ativar correlação de regras e clique em Aplicar. Se já estivermarcada, desmarque-a, selecione-a novamente e clique em Aplicar.

6 Regrave as configurações do DEM ou do ADM.


b Clique em Dispositivos virtuais | Gravar.

c Para os servidores de banco de dados: clique em Servidores de banco de dados | Gravar.

7 Distribua a política para todos os dispositivos atualizados.

8 Para tirar o dispositivo selecionado do modo de desvio, clique em Configuração do dispositivo | Interfaces.

9 Se você tem um ELM ou ELMERC que coleta logs de um dispositivo, sincronize o ELM (Propriedades dodispositivo | Configuração do dispositivo | Sincronizar ELM ).

Atualizar dispositivos do SIEM periféricos (modo FIPS)

Antes de iniciar• Leia as notas de versão.

• Verifique se o sistema está executando a versão 9.6 ou posterior.

• Se você tiver atualizado recentemente o software ESM, verifique se a reconstrução do banco dedados foi concluída.

• Obtenha o arquivo de atualização de regras manual no site de downloads da McAfee.

Na atualização, todos os coletores ativos (como Windows, eStreamer e Checkpoint) param de coletar dados atéque você regrave as configurações do dispositivo e distribua a política.

Se os dispositivos não forem atualizados antes de atualizar o ESM no modo FIPS, a coleta de logs do ELM poderáser afetada.

Tarefa1 Atualize os dispositivos ELM independentes.


b Clique em Gerenciamento do ELM e selecione a guia Manutenção.

5 Update to a new software versionUpdate connected devices


c Clique em Atualizar ELM.


e Clique em OK.

2 Atualize o McAfee Event Receiver, o ACE, o DEM e o ADM.

Se o sistema inclui receptores de alta disponibilidade, use o processo Atualizar receptores de altadisponibilidade.


b Clique em <dispositivo> Gerenciamento e selecione a guia Manutenção.

c Clique em Atualizar <dispositivo>.


e Clique em OK.

3 Atualize os ESMs e os dispositivos de combinação. Se você estiver atualizando um sistema com dispositivosdo ESM redundantes, atualize o ESM primário primeiro.


b Clique em Gerenciamento do ESM e, em seguida, selecione a guia Manutenção.

c Clique em Atualizar ESM.


e Clique em OK.

O processo de atualização será iniciado e poderá levar várias horas.

4 Verifique se há comunicação com os dispositivos.

5 Aplique as regras atualizadas.

a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades .

b Na página Informações do sistema, clique em Atualização de regras e em Atualização manual.

c Procure o arquivo de atualização, clique em Fazer upload e em OK.

6 Regrave as configurações combinadas do McAfee Event Receiver ou ESM/Event Receiver.


b Clique em Origens de dados | Gravar.

c Clique em Avaliação de vulnerabilidade | Gravar.

7 Regrave as configurações de ACE.


b Clique em Gerenciamento de correlação de risco | Gravar.



c Clique em Histórico | Ativar correlação histórica | Aplicar. Se já estiver marcada, desmarque-a, selecione-anovamente e clique em Aplicar.

d Clique em Correlação de regras, selecione Ativar correlação de regras e clique em Aplicar. Se já estivermarcada, desmarque-a, selecione-a novamente e clique em Aplicar.

8 Regrave as configurações do DEM ou do ADM.


b Clique em Dispositivos virtuais | Gravar.

c Para os servidores de banco de dados: clique em Servidores de banco de dados | Gravar.

9 Distribua a política para todos os dispositivos atualizados.

10 Para tirar o dispositivo selecionado do modo de desvio, clique em Configuração do dispositivo | Interfaces.

11 Se você tem um ELM ou ELMERC que coleta logs de um dispositivo, sincronize o ELM (Propriedades dodispositivo | Configuração do dispositivo | Sincronizar ELM ).

Verificar o status de alta disponibilidade do ERCSe o sistema incluir receptores de alta disponibilidade, verifique para garantir que os endereços IP não sejamduplicados.

Antes de iniciarVocê precisa ter privilégios de administrador para concluir essa tarefa.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo ERC-HA primário e clique no ícone Propriedades

.

2 Nos campos Status e Status secundário, verifique se o status é OK; Status HA: online.

3 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ha_status na interface de linha decomando nos dois ERCs. As informações resultantes mostram o status desse ERC e como ele interpreta ostatus do outro ERC. Assemelha-se ao seguinte:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Verifique o seguinte no status:

• A primeira linha da resposta é OK.

• Host name corresponde ao nome do host na linha de comando menos o número do modelo do ERC.

• Mode será primary (primário) se o valor de sharedIP for o nome do host desse ERC, caso contrário, omodo será secundário.

• As próximas duas linhas mostram os nomes do host dos ERCs no par de HA e o status em execução decada ERC. O status de ambos é online.



• corosync= mostra o status de execução de corosync, que deve ser em execução.

• hi_bit é no (não) em um ERC e yes (sim) no outro.

Certifique-se de que somente um dos ERCs-HA esteja definido com o valor hi_bit. Se os dois ERCs HAestiverem definidos com o mesmo valor, ligue para o Suporte da McAfee antes da atualização paracorrigir essa configuração.

5 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ifconfig nos dois ERCs.

6 Verifique o seguinte nos dados gerados:

• Os endereços MAC em eth0 e eth1 são únicos nos dois ERCs.

• O ERC primário tem o endereço IP compartilhado em eth1 e o ERC secundário não tem qualquerendereço IP em eth1.

Se os dois ERCs HA estiverem definidos com o mesmo valor, ligue para o Suporte técnico antes daatualização para corrigir essa configuração.

Essa verificação confirma se o sistema está funcionando e se não existem endereços IP duplicados, o quesignifica que os dispositivos podem ser atualizados.

Atualizar receptores de alta disponibilidadeAtualize os receptores primário e secundário, começando pelo receptor secundário.

Tarefa1 Na árvore de navegação do sistema, selecione o receptor e clique no ícone Propriedades .

2 Defina o receptor primário como Sem preferência, o que lhe permite usar a opção Failover.

3 Atualize o receptor secundário.

a Clique em Gerenciamento do receptor e em Secundário.

b Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.

O receptor é reiniciado, e a versão do software é atualizada.

c Em Propriedades do receptor, clique em Alta disponibilidade | Retomar serviço.

d Selecione o receptor secundário e clique em OK.

4 Altere o receptor secundário para primário clicando em Alta disponibilidade | Failover.

5 Atualize o outro receptor.

a Clique em Gerenciamento do receptor e em Secundário.

b Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.

O receptor é reiniciado, e a versão do software é atualizada.

c Em Propriedades do receptor, clique em Alta disponibilidade | Retomar serviço.

d Selecione o receptor secundário e clique em OK.



6 Complete your installation

Conteúdo Entrar no ESM pela primeira vez Add and configure devices Codificar dispositivos Set up data sources Gerenciar origens de dados Set up data storage McAfee Enterprise Log Manager (ELM) Configure ELM Storage Work in FIPS mode

Entrar no ESM pela primeira vezEntre no console para começar a definir o ESM e as configurações do dispositivo.

Antes de iniciarVerifique se é necessário operar o sistema no modo FIPS. O FIPS consiste em padrões públicosdesenvolvidos pelo governo federal dos Estados Unidos. Caso seja necessário atender a essasnormas, você deverá operar o sistema no modo FIPS.

Tarefa1 Abra um navegador da Web e vá até o endereço IP que você definiu ao configurar a interface de rede do

ESM. Por exemplo, se o endereço IP do ESM for 172.016.001.140, digite o seguinte no navegador:

https:\\172.016.001.140\

2 Clique em Prosseguir para o site, se for exibido um erro de certificado autoassinado para o navegador.

3 Clique em Entrar, selecione o idioma para o console e digite a senha e o nome de usuário padrão.

• Nome de usuário padrão: NGCP

• Senha padrão: security.4u

4 Clique em Entrar, leia o Contrato de licença do usuário final e clique em Aceitar.

5 Quando solicitado, altere o nome de usuário e a senha e clique em OK.

6 Selecione se deseja ativar ou não o modo FIPS e, caso selecione Sim, clique na confirmação adicional.

Se houver necessidade de trabalhar no modo FIPS, ative-o ao entrar pela primeira vez para que todas ascomunicações futuras com dispositivos McAfee sejam no modo FIPS. Não ative o modo FIPS se não fornecessário.

6


7 Em Acesso a atualizações de regras, clique em OK e siga as instruções exibidas para obter seu nome deusuário e senha, que são necessários para acessar as atualizações de regras.

8 Defina a configuração inicial do ESM:

a Selecione o idioma que será usado para os logs do sistema.

b Selecione o fuso horário do ESM e o formato de data a serem usados nesta conta e clique em Avançar.

9 Insira as informações de servidor referentes ao ESM.

a Digite os endereços IPv4 primário e da máscara de rede ou o IPv6. Se necessário, clique em Avançado.

b (Opcional) Digite os endereços IPv4 secundário e da máscara de rede ou o IPv6. Se necessário, clique emAvançado.

c Em Configurações gerais, digite o gateway, os servidores DNS e quaisquer outras informaçõesnecessárias para conectar o ESM a sua rede.

d Clique em Avançar.

10 (Opcional) Se for necessária a conexão por meio de um servidor proxy, digite seu endereço IP, número daporta e credenciais, defina a configuração de rede local e clique em Avançar.

11 (Opcional) Se necessário, insira rotas estáticas de que o ESM necessita para comunicar-se com a rede. Aoconcluir, clique em Avançar.

12 Adicione seus servidores NTP (Network Time Protocol) para sincronizar a hora do sistema ESM. Defina estasconfigurações conforme necessário:

• Endereço IP do servidor NTP

• Chave de autenticação

• ID da chave

Para obter melhores resultados no ESM, é importante ter uma referência de tempo comum em toda aempresa. Por padrão, o ESM usa um conjunto de servidores NTP baseados na Internet. Insira o servidor NTPpróprio da empresa e clique em Avançar.

13 Para verificar automaticamente o servidor ESM quanto a atualizações de regras:

• Digite o seu ID de cliente e senha para verificar a sua identidade.

• Configure o intervalo de verificação automática em horas e minutos.

• Clique em Verificar agora ou Atualização manual.

14 Clique em Concluir.

15 Na caixa de diálogo Alteração nas configurações de rede, clique em Sim para reiniciar o serviço do ESM.

O reinício leva cerca de 90 segundos para ser concluído. Em seguida, você poderá ser solicitado a entrarnovamente no ESM.

Consulte também Adicionar dispositivos à árvore de dispositivos na página 45

6 Complete your installationEntrar no ESM pela primeira vez


Add and configure devices

Conteúdo Adicionar dispositivos à árvore de dispositivos Adicionar dispositivos no modo FIPS Alterar nomes de dispositivo, links e descrições Definir comunicação de dispositivos Configurar receptores Configurar o ELS Configure ELM Configure ACE Configurar o McAfee Risk Advisor Configurar o McAfee Vulnerability Manager Configurar um DAS para armazenar dados de um ESM completo

Adicionar dispositivos à árvore de dispositivosDepois de configurar e instalar dispositivos físicos e virtuais, adicione-os ao console do McAfee ESM.

Antes de iniciarVerifique se os dispositivos estão instalados de acordo com o guia de hardware (para hardware) ouo guia de instalação (para dispositivos virtuais).

Conclua as etapas a seguir apenas para uma instalação complexa do McAfee ESM com vários dispositivos. Nãoconclua essa tarefa para uma instalação simples do McAfee ESM usando uma combinação de dispositivos.

Tarefa

1 Na árvore do sistema de navegação, clique em ESM local ou em um grupo.

2 Clique em .

3 Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.

4 No campo Nome do dispositivo, insira um nome exclusivo nesse grupo. Estes caracteres são inválidos nosnomes de dispositivos: ! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < > , / ? ` ~ + = \ e |.

5 Clique em Avançar.

6 Forneça as informações solicitadas:

• Para dispositivos do McAfee ePO: selecione um receptor, digite as credenciais necessárias para entrar nainterface da Web e clique em Avançar. Digite as configurações a serem usadas na comunicação com obanco de dados.

Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome de usuárioe senha para o dispositivo.

• Para todos os outros dispositivos — Digite o endereço IP ou URL de destino do dispositivo.

7 Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em Avançar.

8 Digite uma senha para esse dispositivo e clique em Avançar.

O McAfee ESM testa a comunicação do dispositivo e informa o status da conexão.

Consulte também Entrar no ESM pela primeira vez na página 43

Complete your installationAdd and configure devices 6


Adicionar dispositivos no modo FIPSDois métodos no modo FIPS permitem que você adicione um dispositivo que já foi codificado a um ESM. Ostermos e as extensões de arquivo listados aqui podem ser úteis quando você executar esses processos.

Terminologia

• Chave de dispositivo: contém os direitos de gerenciamento que um ESM tem para um dispositivo e não éusada para criptografia.

• Chave pública: a chave de comunicação SSH pública do ESM, que é armazenada na tabela de chavesautorizadas de um dispositivo.

• Chave privada: a chave de comunicação SSH privada do ESM, que é usada pelo executável de SSH em umESM para estabelecer a conexão SSH com um dispositivo.

• ESM primário: o ESM que foi originalmente usado para registrar o dispositivo.

• ESM secundário: o ESM adicional que se comunica com o dispositivo.

Extensões de arquivo para arquivos de exportação diferentes

• .exk: contém a chave do dispositivo.

• .puk:: contém a chave pública.

• .prk:: contém a chave privada e a chave do dispositivo.

Ativar comunicação com vários dispositivos no modo FIPSVocê pode permitir que vários ESMs se comuniquem com o mesmo dispositivo exportando e importandoarquivos .puk.

O ESM primário é usado para importar o arquivo .puk exportado do dispositivo do ESM secundário e enviar achave pública contida no ESM secundário para o dispositivo, permitindo que os dois dispositivos do ESM secomuniquem com o dispositivo.

Tarefa1 Exporte o arquivo .puk do ESM secundário.

a Na página Propriedades do sistema do ESM secundário, selecione Gerenciamento do ESM.

b Clique em Exportar SSH e selecione o local onde o arquivo .puk será salvo.

c Clique em Salvar e saia.

2 Importe o arquivo .puk para o ESM primário.

a Na árvore de navegação do sistema do ESM primário, selecione o dispositivo que deseja configurar.

b Clique no ícone Propriedades e selecione Gerenciamento de chaves.

c Clique em Gerenciar chaves de SSH.

d Clique em Importar, selecione o arquivo .puk e clique em Fazer upload.

e Clique em OK e saia do ESM primário.

6 Complete your installationAdd and configure devices


Alterar nomes de dispositivo, links e descriçõesQuando você adicionar um dispositivo à Árvore de sistemas, dê um nome para ele, que será exibido na árvore.Você pode alterar o nome do dispositivo, o nome do sistema, o URL e a descrição.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Configuração.

2 Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades .

3 Clique em Nome e descrição para alterar o nome, o nome do sistema, o URL e a descrição ou exibir o númeroda ID do dispositivo.

Definir comunicação de dispositivosQuando você adiciona dispositivos ao McAfee ESM, deve estabelecer a comunicação entre o dispositivo e oMcAfee ESM.

Antes de iniciarSe você estiver codificando um McAfee ESM distribuído, após a alteração do endereço IP dodispositivo secundário, verifique se a porta 443 está aberta para se reconectar com o McAfee ESM.

A alteração das configurações de conexão somente afeta a forma como o McAfee ESM se comunica com osdispositivos.



3 Clique em Conexão.

Opção Definição

Endereço IP/nome de destino O endereço IP ou o nome do host que o McAfee ESM usa para se comunicarcom o dispositivo.

Porta de destino A porta usada para tentar se comunicar (a porta padrão é 22).

Marcar este dispositivo comodesativado

Interrompe a comunicação de SSH com o McAfee ESM. O ícone do dispositivona árvore de navegação do sistema indica se ele está desativado.

Status Verifica a conexão com o McAfee ESM.

Configurar receptoresO McAfee Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens devários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, NetFlow, sFlow e outros.

Os receptores coletam e normalizam dados de eventos e fluxos em uma única solução fácil de gerenciar,fornecendo uma exibição única entre vários fornecedores.

Os receptores de alta disponibilidade (Receptor-HA) podem ser usados no modo primário e secundário,atuando como backups um do outro. O receptor secundário (B) monitora o receptor primário (A) de maneiracontínua, e novas configurações ou informações sobre política são enviadas aos dois dispositivos. Quando oreceptor B determina que houve uma falha no receptor A, ele desconecta a placa de rede da origem de dadosdo Receptor A da rede e assume o posto de receptor primário. Ele permanece como primário até que hajaintervenção manual para restaurar o receptor A como primário.



Configurar o arquivamento de dados do receptorConfigure o receptor para encaminhar um backup dos dados brutos para seu dispositivo de armazenamentopara armazenamento de longo prazo.

Antes de iniciarA porta 445 precisa ser aberta no sistema com o compartilhamento CIFS para possibilitar umaconexão do compartilhamento CIFS.

A porta 135 precisa ser aberta no sistema com o compartilhamento SMB para possibilitar umaconexão de SMB.

O McAfee ESM oferece suporte aos seguintes tipos de armazenamento: SMB/CIFS (Server Message Block/Common Internet File System), NFS (Network File System) e Encaminhamento de Syslog.

Armazenamento SMB/CIFS e NFS, na forma de arquivos de dados, um backup de todos os dados brutos éenviado ao receptor pelas origens de dados que utilizam os protocolos de e-mail, estream, http, SNMP, SQL,syslog e agentes remotos. O sistema envia esses arquivos de dados para o arquivamento de cada 5 minutos. OEncaminhamento de Syslog envia dados brutos para os protocolos de syslog como um fluxo contínuo desyslogs combinados para o dispositivo. O receptor pode encaminhar para somente um tipo de armazenamentopor vez. Você pode configurar os três tipos, mas somente um tipo poderá ser ativado para arquivar dados.

Esse recurso não é compatível com os tipos de origem de dados Netflow, sflow e IPFIX.





3 Clique em Configuração do receptor | Arquivamento de dados.

4 Selecione um tipo de compartilhamento e insira as informações de configuração de conexão solicitadas.

Tipo decompartilhamento

Opção Definição

SMB/CIFS Tipo decompartilhamento

Define o tipo de compartilhar como SMB ou CIFS.

Endereço IP O endereço IP do compartilhamento.

Nome docompartilhamento

O rótulo aplicado a um compartilhamento.

Caminho O subdiretório no compartilhamento onde os dadosarquivados devem ser armazenados (por exemplo,TMP/Armazenamento). Se o armazenamento estiverno diretório raiz do compartilhamento, nenhumcaminho será necessário.

Nome de usuário e senha As credenciais necessárias para se conectar aocompartilhamento.

Não utilize vírgulas na senha ao se conectar a umcompartilhamento SMB/CIFS.

NFS Endereço IP O endereço IP do compartilhamento.

Ponto de montagem Nome do ponto de montagem no compartilhamento.

Caminho O local no compartilhamento para armazenar dadosarquivados (por exemplo, TMP/Armazenamento). Seo armazenamento estiver no diretório raiz docompartilhamento, nenhum caminho seránecessário.

Encaminhamento de Syslog Endereço O endereço IP do compartilhamento.

Porta A porta usada para arquivar dados.

Configurar receptores de alta disponibilidadeDefina as configurações dos receptores de alta disponibilidade. Adicione o receptor que funciona como odispositivo principal. Deve haver três ou mais NICS.

Se você for solicitado a cumprir as normas FIPS, não use este recurso. Os receptores de alta disponibilidade nãoestão em conformidade com a FIPS.

Tarefa1 Na árvore de navegação do sistema, selecione o receptor que é o dispositivo principal de alta

disponibilidade e clique no ícone Propriedades .

2 Clique em Configuração do receptor e em Interface.

3 Clique na guia Receptor HA e selecione Configurar alta disponibilidade.

4 Preencha as informações solicitadas e clique em OK.

É iniciado o processo que codifica o segundo receptor, atualiza o banco de dados, aplica globals.conf esincroniza os dois receptores.



Configurar receptores de alta disponibilidade com IPv6Configure a alta disponibilidade com IPV6, pois não é possível configurar o endereço de IPv6 manualmenteusando o LCD.

Antes de iniciar• Verifique se o McAfee ESM usa IPv6, de forma manual ou automática (Propriedades do sistema |

Configurações de rede).

• Saiba qual é o endereço IP compartilhado, que o administrador da rede cria.

Tarefa1 Nos dois receptores no par de alta disponibilidade:

a Ligue o receptor, depois ative o IPv6 usando o LCD.

b Navegue para Config. ger. IP | Ger1 | IPv6 e anote o endereço IP de gerenciamento. Isso pode levar umtempo em função da latência de rede.

2 Adicione um desses receptores ao McAfee ESM.

• Nome: nome do par de alta disponibilidade.

• Endereço IP de destino ou URL: endereço IPv6 de gerenciamento desse receptor de alta disponibilidade,que você anotou.

3 Selecione o dispositivo recém-adicionado na árvore de navegação do sistema e clique em Propriedades doreceptor | Configuração do receptor | Interface.

4 No campo Modo IPv6, selecione Manual (o único modo com suporte para alta disponibilidade).

5 Clique em Configuração ao lado da interface número 1, digite o endereço IP compartilhado no campo IPv6 eclique em OK.

Esse endereço é atribuído à interface compartilhada durante a configuração de alta disponibilidade. Se issonão for feito, a alta disponibilidade não fará failover corretamente.

6 Em Propriedades do receptor, clique em Conexão, insira o endereço IPv6 compartilhado em Endereço IP/Nomede destino e clique em OK.

7 Continue o processo de configuração de alta disponibilidade.

Adicionar ativos do receptorAtivo é qualquer dispositivo na rede que tenha um endereço IP. O Gerenciador de ativos permite criar ativos,alterar suas marcas, criar grupos de ativos, adicionar origens de ativos e atribuir ativos a grupos. Um ESM podeter somente uma origem de ativos.

Os receptores podem ter várias origens de ativos. Se duas origens de descoberta de ativos encontrarem omesmo ativo, o método de descoberta que tiver maior prioridade adicionará o ativo descoberto à tabela. Seduas origens de descoberta tiverem a mesma prioridade, a última a descobrir o ativo terá prioridade emrelação à primeira.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do receptor e clique em Origens de ativos.

2 Clique em Adicionar e preencha as informações solicitadas.



Opção Definição

Ativado Selecione para ativar a funcionalidade de recuperação automática. Ainda que a caixade seleção não esteja marcada, você poderá recuperar dados da origem de ativosmanualmente clicando em Recuperar. Se ela estiver marcada, os dados serãorecuperados no intervalo de tempo especificado no campo Recuperar dados.

Tipo Selecione o tipo da origem de ativos correspondente. Os campos restantes variamconforme o tipo que você selecionar.

Nome Digite um nome para esta origem de ativos.

Zona Selecione uma zona à qual deseja que esta origem de ativos seja atribuída.

Prioridade Selecione a prioridade que deseja para esta origem de ativos, caso um ativo sejadetectado simultaneamente pela avaliação de vulnerabilidade ou pela descoberta derede. As opções são de 1 a 5, em que 1 é a prioridade mais alta.

Endereço IP, Porta Digite o endereço IP e a porta de sua origem de ativos.

Usar TLS, UsarSSL

Selecione se quiser usar o protocolo de criptografia TLS (para o Active Directory) ouSSL (para o Altiris).

Nome de usuário,Senha

Digite o nome de usuário e a senha necessários para acessar o ativo.

Base de pesquisa Digite o nome apropriado para o controlador de domínio (por exemplo,dc=McAfee,dc=com).

Ativar proxy Para o Altiris, selecione se quiser ativar o servidor proxy. Se você ativá-lo, insira asinformações do proxy:• Endereço IP do servidor proxy

• Porta de escuta do proxy

• Nome de usuário do proxy

• Senha do servidor proxy

Recuperar dados Se quiser recuperar dados automaticamente, selecione a frequência da recuperação.

Conectar Teste a conexão.

3 Clique em OK e, em seguida, clique em Gravar na página Origens de ativos.

Configurar o ELSPara pesquisar dados do ELS (McAfee Enterprise Log Search), adicione dispositivos do ELS ao console, configureas políticas de retenção e armazenamento do ELS e associe origens de dados a políticas de retençãoespecíficas.

Antes de iniciarInstale e configure dispositivos virtuais ou físicos.

Tarefa1 No dashboard, clique em e em Configuração.

2 Adicione dispositivos ELS ao console.

a Na barra de ferramentas de ações, clique em e selecione McAfee Enterprise Log Search. Clique emAvançar.

b Insira um Nome do dispositivo exclusivo e clique em Avançar.



c Insira o endereço IP ou URL de destino, o número da porta SSH de destino e as configurações NTP(Network Time Protocol) referentes ao dispositivo. Clique em Avançar.

d Digite uma senha para esse dispositivo e clique em Avançar.

3 Configure o armazenamento.

A retenção de dados não compactados acelera a capacidade de pesquisa do ELS. Mas isso requer maisespaço de armazenamento, como em discos rígidos ou rede.

a Selecione ELS, clique em e depois em Armazenamento de dados.

b Se você estiver usando iSCSI, DAS, SAN ou unidades locais virtuais, preencha as informações na gradesuperior.

c Se você estiver usando SAN, unidade local virtual, NFS, iSCSI ou CIFS, clique em Adicionar na gradeinferior.

d Insira os parâmetros corretos e clique em OK.

4 Adicione políticas de retenção (limitadas a seis, no máximo).

Para pesquisar dados de registro do ELS, é preciso que haja pelo menos uma política de retenção. O sistemadefine a primeira política de retenção criada por padrão. Se existir apenas uma política, você poderá alterá-la,mas não poderá excluí-la. O ELS não aceita dados com mais de seis meses quando você cria a primeirapolítica de retenção.

a Selecione ELS, clique em e depois em Políticas de retenção.

b Clique em Adicionar.

c Especifique o nome e a duração da política de retenção e clique em OK.

O sistema armazena a duração em dias. Você pode definir uma duração em anos (365 dias), trimestres(90 dias) ou meses (30 dias).

5 Associe as origens de dados a políticas de retenção.

É possível associar uma origem de dados a um ELS ou a um ELM, mas não a ambos.

a Selecione o dispositivo da origem de dados (por exemplo, Receptor) e clique em .

b Clique em Origens de dados.

c Na coluna Log, escolha a caixa de seleção pertinente para exibir a tela Opções de dados de registro.

d Selecione a política de retenção a ser associada a essa origem de dados e clique em OK.

Configure ELM

Conteúdo Configurar redundância de ELM Definir compactação do ELM



Configurar redundância de ELMSe tiver um dispositivo do ELM independente no sistema, você poderá fornecer redundância para o log,adicionando um ELM em espera.

Antes de iniciar• Instale um ELM independente e o adicione ao McAfee ESM.

• Você deve ter um ELM em espera instalado, mas não adicionado ao console.

• Verifique se não há dados no ELM em espera. Entre em contato com o suporte se precisarredefinir os padrões de fábrica.

Tarefa1 Na árvore de navegação do sistema, clique no ELM e no ícone Propriedades .

2 Na página Propriedades do ELM, clique em Redundância do ELM e em Ativar.

3 Digite o endereço IP e a senha do ELM em espera e clique em OK.

4 Na página Propriedades do ELM, clique em Listas de armazenamento e verifique se a guia Ativo estáselecionada.

5 Adicione dispositivos de armazenamento ao ELM ativo.

6 Clique na guia Espera e adicione dispositivos de armazenamento que tenham espaço combinado suficientepara coincidir com o armazenamento no ELM ativo.

7 Adicione uma ou mais listas de armazenamento a cada ELM.

A configuração nos dois ELMs agora está sincronizada, e o ELM em espera mantém a sincronização dos dadosentre os dois dispositivos.

Opção Definição

Disponível somente quando a redundância do ELM não estiver ativada.

Ativar Clique e adicione dados do ELM em espera para ativar a redundância do ELM.

Disponível somente quando a redundância do ELM está ativada.

Remover Clique para desativar a redundância no ELM.

Alternar ELMs Clique para alternar os ELMs para que o ELM em espera seja o ELM principal. O sistemaassocia todos os dispositivos de log a ele. As ações de conexão e configuração ficambloqueadas durante o processo de alteração.

Suspender Clique para suspender a comunicação com o ELM em espera se ele estiver com problemas.Todas as interrupções na comunicação e notificações de erro da redundância sãomascaradas. Ao retornar o ELM em espera, clique em Retomar serviço.

Status Clique para exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo e emespera.

Retomar serviço Clique para que um ELM em espera reparado ou substituído retome serviço. Se o sistemaretornar o ELM e não detectar nenhuma alteração nos arquivos de configuração, aredundância continuará como antes. Se o sistema detectar diferenças, o processo deredundância continuará nas listas de armazenamento sem problemas, e você será informadode que uma ou mais listas não foram configuradas. Corrija essas listas manualmente.Se você substituir ou reconfigurar o ELM em espera, isso será detectado pelo sistema, quesolicitará que você o recodifique. O ELM ativo sincronizará todos os arquivos de configuraçãocom o ELM em espera, e o processo de redundância continuará como antes.



Definir compactação do ELMSelecione o nível de compactação para os dados recebidos no ELM a fim de economizar espaço em disco ouprocessar mais registros.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |

Compactação.

2 Selecione o nível de compactação do ELM e clique em OK.

Configure ACE

Selecionar o tipo de dados para correlaçãoO McAfee ESM coleta dados de evento e de fluxo. Selecione os dados a serem enviados para o McAfeeAdvanced Correlation Engine (ACE). O padrão é somente dados de evento.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Configuração do ACE.

2 Clique em Dados e selecione Dados de evento, Dados de fluxo ou ambos.

3 Clique em OK.



Configurar o McAfee Risk AdvisorQuando você ativar a aquisição de dados do McAfee Risk Advisor no McAfee ePO, o sistema gerará uma lista depontuação e a enviará para qualquer ACE (McAfee Advanced Correlation Engine) usado para a pontuação decampos SrcIP e DstIP.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ePO | Gerenciamento de dispositivos e clique

em Ativar.

2 Preencha os campos de configuração.

Opção Definição

Gerenciar log doELM

Configure a lista de log padrão para o dispositivo selecionado. Essa opção só estarádisponível se você tiver um ELM (McAfee Enterprise Log Manager) no McAfee ESM.

Zona Atribua o McAfee ePO a uma zona ou altere a configuração atual.

Dispositivo deatualização manual

Atualize a lista de aplicativos do dispositivo do McAfee ePO e compile uma origem dedados cliente para cada aplicativo.

Hora da últimaatualização

Exiba o último horário em que os aplicativos foram atualizados.

Ativar MRA Ativar aquisição de dados do McAfee Risk Advisor.

Prioridade Você pode ter vários dispositivos do McAfee ePO, de origem de ativos ou de avaliaçãode vulnerabilidade configurados para receber os mesmos ativos ou ameaças. Se vocêfizer isso, selecione a prioridade para os dados no dispositivo do McAfee ePO casooutros dispositivos recebam as mesmas informações.Por exemplo, o VA-1 e o ePO- 1 monitoram o sistema. O ePO-1 coleta informações desoftware e hardware do computador e o VA-1 coleta o fato de que o Windows estáinstalado. Defina uma prioridade mais alta para o ePO-1 em relação ao VA-1 para queas informações que ele coletar não possam ser sobrescritas pelas informaçõescoletadas pelo VA-1.

Agendaratualização doaplicativo

Para atualizar automaticamente a lista de aplicativos de seu dispositivo do McAfeeePO, selecione a frequência na lista suspensa.

3 Clique em OK.

Configurar o McAfee Vulnerability Manager Para efetuar pull dos dados de avaliação de vulnerabilidade do McAfee Vulnerability Manager, é precisoconectá-lo ao McAfee ESM como um dispositivo. Em seguida, associe-o a um receptor para que o McAfee ESMpossa efetuar pull do eventos de McAfee Vulnerability Manager do receptor.

Antes de iniciarObtenha as credenciais de entrada do McAfee Vulnerability Manager.

A alteração dessas configurações não afeta o dispositivo. Isso afeta somente o modo como o dispositivo secomunica com o McAfee ESM.



Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Conexão.

2 Preencha as informações solicitadas e clique em OK.

Opção Definição

Receptor associado Selecione o receptor associado a esse McAfee Vulnerability Manager.Para exibir os detalhes sobre esse Receptor, clique no link.

Inserir abaixo os parâmetros deentrada do banco de dados

Digite os parâmetros conforme solicitado. O Domínio é opcional.

Conectar Clique para testar a conexão com o banco de dados.

Inserir abaixo as credenciais deinterface do usuário do site

Digite as credenciais Web. O firewall do banco de dados e doaplicativo Web deve permitir o uso de portas para que o McAfee ESMse conecte.

Fazer upload do certificado deservidor MVM e inserir a senha

Digite as credenciais do McAfee Vulnerability Manager e clique emFazer upload para navegar até o arquivo. zip.

Conectar Teste a conexão com o site.

Configurar um DAS para armazenar dados de um ESM completo

Antes de iniciarConfigure dispositivos do DAS.

Tarefa1 Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

2 Clique em Banco de dados e, em seguida, clique em Armazenamento de dados.

3 Na tabela, clique em um dos dispositivos que não foram atribuídos para armazenar dados do McAfee ESM.

4 Clique em Atribuir e em Sim.

Depois que você atribuir um dispositivo, não poderá mudá-lo.

Codificar dispositivosDepois de adicionar um dispositivo ao ESM, codifique o dispositivo para permitir a comunicação. A codificaçãodo dispositivo reforça a segurança, garantindo que o dispositivo se comunique somente com o ESM.

Antes de iniciarSe você estiver codificando um ESM distribuído, após a alteração do endereço IP do filho, verifiquese a porta 443 está aberta para se reconectar ao ESM.

Para que o ESM se comunique com um dispositivo, ele criptografa as comunicações usando a chave criadaquando o dispositivo é codificado.

Todas as configurações são armazenadas no ESM, o que significa que o console do ESM está ciente das chavesmantidas no ESM .

6 Complete your installationCodificar dispositivos


Os administradores de dispositivos podem sobrescrever as configurações nos dispositivos usando outro ESM. Érecomendável utilizar um único ESM para gerenciar os dispositivos conectados a ele. Um DESM (DistributedESM) pode lidar com a coleta de dados dos dispositivos conectados a outro ESM.


2 No painel a Exibição física, verifique se cada dispositivo que você adicionou aparece na árvore dedispositivos.

3 Selecione um dispositivo e clique no ícone Propriedades.

4 Clique em Gerenciamento do ESM e selecione a guia Gerenciamento de chaves.

Se o dispositivo tem uma conexão estabelecida e consegue se comunicar com o ESM, é aberto o Assistentede codificação de dispositivo.

5 Digite uma nova senha para o dispositivo e clique em Avançar.

6 Clique em Concluir.

Tarefas• Gerenciar chaves SSH na página 57

Os dispositivos podem ter chaves de comunicação SSH para os sistemas com os quais precisam secomunicar com segurança. É possível interromper a comunicação com esses sistemas excluindo achave.

Gerenciar chaves SSHOs dispositivos podem ter chaves de comunicação SSH para os sistemas com os quais precisam se comunicarcom segurança. É possível interromper a comunicação com esses sistemas excluindo a chave.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades .

2 Clique em Gerenciamento de chaves e em Gerenciar chaves de SSH.

A página Gerenciar chaves de SSH contém as IDs do ESM com a qual o dispositivo se comunica.

3 Realce a ID e clique em Excluir para interromper a comunicação com um dos sistemas da lista.

4 Confirme a exclusão e clique em OK.

Opção Definição

Tabela de Chavesautorizadas

Exiba os computadores para os quais este dispositivo tem chaves de comunicaçãoSSH. Se o SSH estiver ativado, as máquinas dessa lista se comunicarão.

Hosts conhecidos No caso de dispositivos, gerencie as chaves de qualquer dispositivo habilitado paraSSH com o qual esse dispositivo tenha se comunicado (por exemplo, receptor paraorigem de dados de SCP). Para o ESM, exiba as chave de todos os dispositivos naárvore de sistemas com a qual o ESM se comunica.

Tabela de Hostsconhecidos

Exiba o endereço IP, o nome do dispositivo e a impressão digital, preenchidos comos dados do host disponível no arquivo de host conhecido (root/.ssh/known_hosts).

Impressão digital dodispositivo

Exiba a impressão digital deste dispositivo, que é gerada com a chave SSH públicado dispositivo.

Complete your installationCodificar dispositivos 6


Set up data sources

Conteúdo Como funcionam as origens de dados Configurar receptores para criar origens de dados automaticamente

Como funcionam as origens de dadosO McAfee Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens devários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, NetFlow, sFlow e outros. Asorigens de dados são usadas para controlar como os dados de registros e eventos são coletados pelo receptor.Adicione as origens de dados e defina as configurações para que elas possam coletar os dados necessários.

A página Origens de dados é o ponto de partida para gerenciar origens de dados do dispositivo Receptor. É ummeio de você adicionar, editar e excluir origens de dados, além de importá-las, exportá-las e migrá-las. Vocêtambém pode adicionar origens de dados filhos e clientes.

Configurar receptores para criar origens de dados automaticamenteConfigure receptores para criar origens de dados automaticamente usando regras padrão fornecidas com oreceptor ou regras criadas por você.

Tarefa1 Clique no ícone Obter eventos e fluxos na barra de ferramentas de ações para efetuar pull de eventos ou

fluxos.

2 No dashboard do McAfee ESM, clique em e selecione Configuração.

3 Na árvore de navegação do sistema, selecione o receptor e clique no ícone Propriedades .

4 Na página Propriedades do Receptor, clique em Origens de dados | Aprender automaticamente.

5 Na página Aprender automaticamente, clique em Configurar.

6 Na página Editor de regra de adição automática, certifique-se de que a opção Ativar a criação automática deorigens de dados esteja ativada.

7 Clique em Adicionar e selecione as regras que você deseja que o receptor use para criar origens de dadosautomaticamente.

8 Para aplicar regras selecionadas aos dados existentes aprendidos automaticamente, clique em Executaragora.

Tarefas• Gerenciar regras de criação automática na página 59

Crie, edite e organize regras personalizadas usadas pelo receptor para criar automaticamenteorigens de dados.

• Configurar aprendizado automático da origem de dados na página 60Configure os receptores do McAfee ESM para que aprendam endereços IP da origem de dadosautomaticamente.

6 Complete your installationSet up data sources


Gerenciar regras de criação automáticaCrie, edite e organize regras personalizadas usadas pelo receptor para criar automaticamente origens dedados.



3 Na página Propriedades do receptor, clique em Origens de dadosAprender automaticamente | Configurar .

4 Selecione Ativar para ativar a criação automática de origens de dados.

5 Para criar ou alterar uma regra, clique em Adicionar ou selecione uma regra e clique em Editar.

a Na página Configurar adição automática de regra, defina as configurações.

Categoria Opção Definição

Painel superior Descrição Um rótulo de texto que ajuda os usuários aidentificar o que a regra realiza.

Tipo O tipo de regra que você deseja criar.

Ativado Alterna entre ativação e desativação da regra.

Critérios de correspondênciade aprendizado automático

IP/CIDR e nome dehost

O local na rede e o nome do host do qual o tráfegodeve originar para acionar a regra.

Porta A porta pela qual o tráfego deve passar para acionara regra.

Fornecedor e modelo A regra dispara somente quando o tráfego seorigina desse fornecedor e modelo de dispositivo.

Parâmetros de origem dedados/criação de cliente

Nome O nome da origem de dados. Este campo aceitavariáveis para representar endereço IP, modelo enome do host. Por exemplo, digite Origem dedados - {MODEL}_{HOST}_{IP}.

Tipo de origem dedados

Define a nova origem de dados como uma Origemde dados ou um Cliente.

Pai Atribui a um dispositivo para atuar como o pai danova origem de dados.

Tipo de cliente Atribui um tipo de cliente à nova origem de dados.

Fornecedor e modelo A nova origem de dados é exibida no sistema comesse fornecedor e modelo.

Fuso horário O fuso horário a ser atribuído à origem de dados.

Zona (Opcional) A zona onde a nova origem de dados éexibida.

Lista dearmazenamento

Se desejar que os dados gerados pela origem dedados (não clientes) sejam armazenados no ELM,clique em Lista de armazenamento e selecione a listade armazenamento.

b Clique em OK.

6 Na página Editor de regra de adição automática, use as setas para organizar as regras na ordem desejada.

7 Clique em Executar agora para aplicar as regras aos resultados atuais de aprendizado automático.

Complete your installationSet up data sources 6


A criação automática ocorre quando é efetuado pull de alertas do receptor, manual ou automaticamente, peloMcAfee ESM.

Configurar aprendizado automático da origem de dadosConfigure os receptores do McAfee ESM para que aprendam endereços IP da origem de dadosautomaticamente.

Antes de iniciarDefina portas para Syslog, MEF e fluxos.

As portas do receptor devem corresponder às origens que estão enviando dados, caso contrário, oaprendizado automático não ocorrerá.

O firewall no Receptor fica aberto pelo tempo que você designar, de modo que o sistema possa conhecer umconjunto de endereços IP desconhecidos. Em seguida, você pode adicionar ao sistema como origens de dados.

A atualização do McAfee ESM exclui resultados de aprendizado automático. Execute o aprendizado automáticoapós a atualização para coletar os resultados do aprendizado automático novamente.



3 Na página Propriedades do receptor, clique em Origens de dados | Aprender automaticamente.

4 Defina as configurações de aprendizado automático.

a Selecione o tempo durante o qual você deseja que ocorra o aprendizado automático no campoapropriado de horas e clique em Ativar.

Ao usar o aprendizado automático no MEF, você não pode adicionar origens de dados que sejamaprendidas automaticamente usando um ID de host.

Quando o tempo expira, o sistema desativa o aprendizado automático e preenche a tabela com osendereços IP encontrados.

b Clique em Desativar para interromper o aprendizado automático.

5 Adicione endereços IP aprendidos automaticamente como origens de dados.

a Selecione endereços IP do mesmo tipo como aqueles que você deseja adicionar e clique em Adicionar.

b Na página Origens aprendidas automaticamente, selecione uma das opções.

• Se os endereços IP selecionados não tiverem um nome associado, você deverá informar se queradicionar um prefixo aos endereços selecionados.

• Se você clicar em Não, os endereços IP serão usados como os nomes dessas origens de dados.

• Se você clicar em Sim, digite um nome de prefixo e clique em OK. Os nomes dessas origens dedados incluem o nome adicionado e o endereço IP.

• Se os endereços IP selecionados tiverem nomes, o sistema adicionará origens de dados à lista.

6 Complete your installationSet up data sources


Opção Definição

Cliente com tipocorrespondente

Se uma origem de dados existente corresponde ao endereço IP selecionado, osistema adiciona itens à origem de dados como origens de dados do cliente decorrespondência por tipo. Se não existir uma origem de dados correspondente aoIP selecionado, será criada uma. Os itens restantes serão adicionados a ele comoorigens de dados cliente de correspondência por tipo.

Cliente com IPcorrespondente

Essa opção permite selecionar a origem de dados à qual você deseja adicionaresse endereço IP como um cliente. As origens de dados correspondentes sãolistadas. Se não houver nenhuma, a única opção disponível será Nenhuma - criarnova origem de dados. Selecione a origem de dados à qual deseja adicionar esseendereço IP como um cliente e clique em OK.

6 Para alterar o nome de uma origem de dados, clique em Editar nome. Use, no máximo, 50 caracteres ecertifique-se de que o nome ainda não tenha sido atribuído a uma origem de dados da lista.

7 Para alterar o tipo do endereço IP selecionado, clique em Alterar tipo. Altere o tipo, se o tipo sugerido pelosistema estiver incorreto. Exiba o pacote para ajudar a determinar o tipo correto.

Gerenciar origens de dadosAs origens de dados controlam o modo como o receptor coleta os dados de eventos e log de várias origens,incluindo firewalls, redes virtuais privadas (VPNs), roteadores, NetFlow, sFlow e outros. Adicione as origens dedados e defina as configurações para que elas coletem os dados necessários.

Antes de iniciar• Certifique-se de que o receptor dessa origem de dados esteja listado na árvore de navegação

do sistema.

• Certifique-se de que a origem de dados foi configurada conforme descrito na Referência deconfiguração de origem de dados.



3 Na página Propriedades do receptor, clique em Origens de dados.

Uma tabela lista as origens de dados existentes (incluindo a origens de dados filho e de cliente) e identificacomo a origem de dados processa os dados.

Se a Interceptação do SNMP for selecionada, a origem de dados aceitará as interceptações do SNMP padrão dequalquer dispositivo de rede gerenciável com capacidade de enviar interceptações do SNMP. Asinterceptações padrão são: falha de autenticação, inicialização a frio, perda de vizinho EGP, vínculodesativado, vínculo ativado e inicialização a quente. Quando o ESM recebe essas interceptações, ele gera umevento para a origem de dados. Para enviar ou receber interceptações do SNMP via IPv6, formule o endereçoIPv6 como um endereço de conversão IPv4.


• Para adicionar uma nova origem de dados, clique em Adicionar.

• Para adicionar uma origem de dados filho a uma origem de dados já existente, clique em Adicionar filho.

• Para editar uma origem de dados, selecione-a e clique em Editar.

Complete your installationGerenciar origens de dados 6


https://docs.mcafee.com

https://docs.mcafee.com

5 Configure a origem de dados.

Opção Definição

Usar perfis de sistema Os perfis preenchem previamente os dispositivos baseados em protocolo sysloge SNMP apenas

Fornecedor da origem dedados, Modelo da origemde dados

O fornecedor e modelo selecionados determinam quais informações inserirpara a origem de dados.As origens de dados de analisador avançado de syslog (ASP) que geram dadossem codificação UTF-8, selecione Genérico como o fornecedor e Analisadoravançado de syslog como o modelo.

Formato de dados Método de análise

Recuperação de dados Método de coleta de dados• Para SCP, defina a variável de ambiente LANG como lang=C.

• A Origem de arquivos SCP não oferece suporte a caminhos relativos. Defina olocal completo.

• Para Origem de arquivos CIFS ou Origem de arquivos NFS, selecione um métodode coleta.

Ativado Como o receptor processa os dados

Campos restantes Variam de acordo com o fornecedor, o modelo do dispositivo, o método derecuperação de dados ou o protocolo do modelo do dispositivo selecionado

As origens de dados são exibidas no receptor, na árvore de navegação.

Tarefas• Definir formatos de data para origens de dados na página 63

Selecione o formato das datas incluídas nas origens de dados.

• Adicionar origens de dados filho na página 63Adicione origens de dados filho para organizar sua origem de dados.

• Adicionar origens de dados ASP com codificação diferente na página 63O McAfee ESM lê dados codificados em UTF-8. Origens de dados do formato ASP que geram dadoscom codificação diferente para garantir que o Receptor possa ler esses dados.

• Adicionar origens de dados cliente na página 63Para aumentar o número de origens de dados permitidas no Receptor, adicione um cliente a umaorigem de dados já existente.

• Selecione o método de coleta de origem de dados Coletar arquivo de cauda na página 64Ao adicionar origens de dados, escolha um método de coleta se você selecionar Origem de arquivosNFS ou Origem de arquivos CIFS para a recuperação de dados.

6 Complete your installationGerenciar origens de dados


Definir formatos de data para origens de dadosSelecione o formato das datas incluídas nas origens de dados.

Tarefa

1 Na árvore de navegação do sistema, selecione um Receptor e clique no ícone Adicionar origem de dados .

2 Clique em Avançado e faça a seleção no campo Ordem de data:

• Padrão – Usa a ordem de data padrão (mês antes do dia). Ao usar as origens de dados clientes, osclientes que usarem essa configuração herdarão a ordem de data da origem de dados pai.

• Mês antes de dia – O mês vem antes do dia (04/23/2014).

• Dia antes do mês – O dia vem antes do mês (23/04/2014).

3 Clique em OK.

Adicionar origens de dados filhoAdicione origens de dados filho para organizar sua origem de dados.

Tarefa

1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.

2 Na tabela de origens de dados, selecione a origem de dados principal na qual deseja adicionar uma origemde dados.

3 Clique em Adicionar filho e preencha os campos como faria em uma origem de dados pai.

4 Clique em OK.

Adicionar origens de dados ASP com codificação diferenteO McAfee ESM lê dados codificados em UTF-8. Origens de dados do formato ASP que geram dados comcodificação diferente para garantir que o Receptor possa ler esses dados.

Tarefa

1 Na árvore de navegação do sistema, clique em um Receptor e clique no ícone Adicionar origem de dados .

2 Selecione Genérico no campo Fornecedor da origem de dados e selecione Analisador avançado de syslog nocampo Modelo da origem de dados.

3 Insira as informações solicitadas e selecione a codificação correta no campo Codificação.

Adicionar origens de dados clientePara aumentar o número de origens de dados permitidas no Receptor, adicione um cliente a uma origem dedados já existente.

Antes de iniciarAdicione origens de dados ao Receptor.

Tarefa





3 Clique em Origens de dados.

4 Selecione a origem de dados à qual deseja adicionar o cliente e clique em Clientes.

5 Clique em Adicionar, preencha as informações solicitadas e clique em OK.

Opção Definição

Nome Nome do cliente

Fuso horário Fuso horário do cliente

Ordem de data Formato de data: mês antes do dia ou dia antes do mês

Endereço IP, Nome do host Endereço IP do cliente ou nome do host – é possível haver mais de uma origemde dados do cliente com o mesmo endereço IP. A porta os diferencia.

Requerer TLS do syslog Selecione o protocolo de criptografia TLS para syslog.

Porta Selecione se o cliente usará a mesma porta de seu pai ou outra porta listada.

Corresponder por tipo Selecione se deseja corresponder clientes por tipo e escolha o fornecedor e omodelo desse cliente.

Os eventos se direcionam à origem de dados (pai ou cliente) que for mais específica. Por exemplo, há duasorigens de dados cliente, uma com um endereço IP 1.1.1.1 e outra com um endereço IP 1.1.1.0/24, o queabrange uma faixa. Ambas são do mesmo tipo. Se um evento corresponder a 1.1.1.1, ele irá para o primeirocliente porque é mais específico.

Como funcionam as origens de dados do clienteOrigens de dados cliente permitem que você amplie o número de origens de dados permitidas nos Receptores.Para as origens de dados com um syslog, ASP, CEF, MEF, NPP e coletor WMI, é possível adicionar até 32.766clientes de origens de dados.

Se a origem de dados já for um pai ou um filho ou se for uma origem de dados WMI e a opção Usar RPC estiverselecionada, essa opção estará indisponível.

Agora você pode ter mais de uma origem de dados cliente com o mesmo endereço IP e usar onúmero de porta para diferenciá-las. Isso permite separar os dados usando uma porta diferentepara cada tipo de dados e encaminhá-los usando a mesma porta pela qual eles entraram.

Ao adicionar uma origem de dados cliente, selecione se uma porta de origem de dados pai ou outraporta serão usadas.

As origens de dados do cliente têm estas características:

• Elas não têm direitos VIPS, Política ou Agente.

• São exibidas na árvore de navegação do sistema, mas não na tabela Origens de dados.

• Compartilham políticas e direitos da origem de dados pai.

• Elas devem estar no mesmo fuso horário, pois usam a configuração do pai.

Origens de dados WMI cliente podem ter fusos horários independentes, pois a consulta enviada ao servidor WMIdetermina o fuso horário.

Selecione o método de coleta de origem de dados Coletar arquivo decaudaAo adicionar origens de dados, escolha um método de coleta se você selecionar Origem de arquivos NFS ouOrigem de arquivos CIFS para a recuperação de dados.Os métodos de coleta são:

6 Complete your installationGerenciar origens de dados


• Copiar arquivos – o sistema copia logs completos do compartilhamento remoto para o receptor para seremprocessados. Se os arquivos de log forem grandes e atualizados com novas informações com poucafrequência, pode ser ineficiente e demorado copiá-los.

• Coletar arquivo de cauda – os logs são lidos remotamente e apenas os novos eventos são lidos. Sempre queum log é lido, o método lê da posição onde parou anteriormente. Se o arquivo for alteradosignificativamente, isso é detectado e todo o arquivo é relido desde o início.



3 Clique no ícone Adicionar origem de dados na barra de ferramentas de ações.

4 Forneça as informações solicitadas selecionando Origem de arquivo CIFS ou Origem de arquivo NFS nocampo Recuperação de dados.

5 No campo Método de coleta, selecione Coletar arquivo de cauda e preencha estes campos:

• Eventos delimitados por várias linhas — selecione para especificar se os eventos possuem comprimentodinâmico.

• Delimitador de evento – Insira uma cadeia de caracteres que sinalize o fim de um evento e o início deoutro. Esses delimitadores variam bastante e dependem do tipo de arquivo de log.

• Delimitador é regex – Selecione se o valor do campo Delimitador de evento será analisado como umaexpressão regular e não um valor estático.

• Modo de coleta de arquivo de cauda – Selecione Início para analisar completamente os arquivos que sãoencontrados na primeira execução, ou Fim, para observar o tamanho do arquivo e coletar somentenovos eventos.

• Repetir subdiretórios – Selecione para ler a coleção dos diretórios filho (subdiretórios), procurandocorrespondências com o campo expressão curinga. Se a opção não for selecionada, ele pesquisarásomente os arquivos do diretório pai.

6 Preencha os campos restantes e clique em OK.

Como funcionam as origens de dados de correlaçãoUma origem de dados de correlação analisa dados do McAfee ESM, detecta padrões suspeitos e gera alertas decorrelação, que são inseridos no banco de dados de alerta do receptor. Somente uma origem de dados decorrelação pode ser configurada por receptor, de modo similar à configuração de syslog ou OPSEC.

Os dados interpretados pelas regras de política de correlação, que você pode criar e alterar, representam umpadrão suspeito.

Depois de configurar uma origem de dados de correlação, você pode:

• Distribuir a política padrão de correlação

• Editar as regras de base na política padrão dessa correlação

• Adicionar regras e componentes personalizados

• Distribuir a política

• Ativar ou desativar cada regra

• Definir o valor dos parâmetros definidos pelo usuário de cada regra



Ao adicionar uma origem de dados de correlação, selecione McAfee como fornecedor e Mecanismo de correlaçãocomo modelo.

A ativação da correlação de origem de dados permite que o McAfee ESM envie alertas para o mecanismo decorrelação do receptor.

Set up data storage

Conteúdo Como funciona o armazenamento de dados Configurar o armazenamento de dados Configurar o armazenamento de dados da VM Aumentar índices de acumulador Configurar limites de retenção de dados Definir limites de alocação de dados Gerenciar a indexação do acumulador Exibir a utilização de memória do banco de dados

Como funciona o armazenamento de dadosArmazene e mantenha grandes quantidades de dados em longo prazo usando o McAfee

®

Enterprise LogManager e pesquise rapidamente dados de log armazenados usando o McAfee Enterprise Log Search.

Retenção de dados em longo prazoO McAfee

®

Enterprise Log Manager permite armazenar, gerenciar, acessar e relatar grandes quantidades dedados de log durante longos períodos de tempo.

Organize dados do McAfee®

Enterprise Log Manager em pools de armazenamento, cada qual composto pordispositivos de armazenamento. Associe tempos de retenção a cada pool de armazenamento para manter osdados do pool por um período específico. As normas governamentais, corporativas e do setor requeremarmazenamento de logs por diferentes períodos.

É possível configurar uma pesquisa e trabalhos de verificação de integridade no McAfee®

Enterprise LogManager. Cada um desses trabalhos acessa os logs armazenados e recupera ou verifica os dados definidos notrabalho. Depois, você pode exibir os resultados e exportar as informações.

Para configurar o McAfee®

Enterprise Log Manager, é preciso conhecer:

• Origens de dados para associar a cada dispositivo do McAfee® Enterprise Log Manager.

É possível associar uma origem de dados a um Enterprise Log Search ou um McAfee®

Enterprise LogManager, mas não a ambos.

• As listas de armazenamento necessárias e os tempos de retenção de dados

• Os dispositivos de armazenamento necessários para armazenar os dados

Os pools de armazenamento requerem 10% do espaço alocado para espelhar a sobrecarga.

Pesquisa rápida de dadosO McAfee Enterprise Log Search retém dados de log não compactados durante períodos específicos,acelerando a capacidade de pesquisa dos dados armazenados do dashboard do McAfee ESM.

Para configurar o McAfee Enterprise Log Search, você precisa saber:

6 Complete your installationSet up data storage


• Dispositivos de armazenamento adicionais - Trabalhe com sua equipe para determinar os requisitos dearmazenamento apropriados para o ambiente, como discos rígidos adicionais ou armazenamento de rede.

• Políticas de retenção para determinar por quanto tempo você deseja reter dados não compactadosespecíficos. Você pode adicionar até seis políticas de retenção com durações em anos (365 dias), trimestres(90 dias) ou meses (30 dias).

• Origens de dados a serem associadas a cada dispositivo do Enterprise Log Search.

É possível associar uma origem de dados a um Enterprise Log Search ou um McAfee®

Enterprise LogManager, mas não a ambos.

Configuração do armazenamento de dados

O diagrama a seguir mostra as etapas para configurar os dispositivos de armazenamento de dados.

1 Para permitir uma comunicação criptografada e segura com o McAfee ESM, codifique os dispositivos dearmazenamento.

2 Para conectar dispositivos físicos e virtuais ao McAfee ESM, configure os dispositivos de armazenamento.

3 a Configure políticas de retenção de dados que identificam por quanto tempo os dados de log serãoarmazenados no dispositivo do McAfee Enterprise Log Search.

b Configure pools de armazenamento no dispositivo do McAfee®

Enterprise Log Manager.

4 a Atribua receptores a políticas de retenção específicas.

b Atribua receptores a pools de armazenamento específicos.

5 a Pesquise rapidamente dados de log armazenados usando o dispositivo do McAfee Enterprise LogSearch.

b Armazene grandes quantidades de dados de log no dispositivo do McAfee®

Enterprise Log Manager.

Complete your installationSet up data storage 6


Tipos de dispositivos de armazenamento

Tipo dedispositivo

Detalhes

NFS Para editar o ponto de montagem remoto do dispositivo de armazenamento que contém oBanco de dados de gerenciamento do ELM, use a opção Migrar BD para mover o banco dedados para um dispositivo de armazenamento diferente. Em seguida, você pode alterar comsegurança o campo do ponto de montagem remoto e mover o banco de dados novamentepara o dispositivo de armazenamento atualizado.

CIFS • O uso do tipo de compartilhamento CIFS com versões de servidor Samba posteriores a 3.2pode resultar na perda de dados.

• Ao conectar-se a um compartilhamento CIFS, não use vírgulas na senha.

iSCSI • Ao conectar-se a um compartilhamento iSCSI, não use vírgulas na senha.

• A tentativa de conectar vários dispositivos a um IQN pode causar a perda de dados eoutros problemas de configuração.

SAN A opção SAN só estará disponível se houver uma placa SAN instalada no McAfee® EnterpriseLog Manager e volumes de SAN disponíveis.

Local virtual Essa opção fica disponível apenas quando um dispositivo local virtual é adicionado aoMcAfee® Enterprise Log Manager virtual. Você precisa formatar o dispositivo antes de usá-lono armazenamento.

Configurar o armazenamento de dadosSe houver um dispositivo iSCSI (Internet Small Computer System Interface), SAN (Storage Area Network) ou DAS(Direct-Attached Storage) conectado ao McAfee ESM, você poderá configurá-lo para armazenamento de dados.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |

Arquivamento.

2 Clique nas guias de dispositivo de armazenamento de dados, selecione uma ação e preencha o endereço IPdo dispositivo, o nome e a porta.

As guias disponíveis dependem dos tipos de armazenamento conectados ao McAfee ESM.

3 Clique em Cancelar para fechar a página.

Configurar o armazenamento de dados da VMSe a sua VM do McAfee ESM tem mais de 4 CPUs, você pode usar armazenamento adicional para oarmazenamento do sistema, armazenamento de dados e armazenamento de alto desempenho da máquinavirtual.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Dados de

VM.

2 Em cada campo, selecione a unidade na qual deseja que os dados sejam armazenados. Você podeselecionar cada unidade somente uma vez.

3 Clique em OK.

6 Complete your installationSet up data storage


Aumentar índices de acumuladorEm função do número de índices padrão ativados no McAfee ESM, somente é possível adicionar cinco índices aum campo de acumulador. Se forem necessários mais de cinco, desative até 42 índices padrão não usados, porexemplo, sessionid, src/dst mac, src/dst port, src/dst zone, src/dst geolocation.

Tarefa

O McAfee ESM usa índices padrão para gerar consultas, relatórios, alarmes e exibições. Se você desativar umíndice, o McAfee ESM o notificará quando ele não conseguir gerar uma consulta, relatório, alarme ou exibiçãodevido a um índice desativado, mas não identificará qual índice está desativado. Devido a essa limitação, nãodesative índices padrão a menos que seja necessário.


2 Clique em Banco de dados.

3 Clique em Configurações e clique na guia Indexação do acumulador.

4 Na lista Disponíveis, clique em Índices padrão e selecione Mostrar índices padrão.

5 Clique nos índices padrão a serem desativados e clique na seta para movê-los para a área Disponível.

O número que consta na instrução restantes no canto superior direito da página aumenta a cada índicepadrão desativado.

Agora, você pode ativar mais de cinco índices de acumulador para o campo de acumulador selecionado.

Configurar limites de retenção de dadosSe sua configuração envia dados históricos para o sistema, selecione quanto tempo os eventos e fluxos vãoficar retidos e se os dados históricos serão restritos.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Retenção

de dados.

2 Selecione o número máximo de eventos e fluxos de retenção e se deseja restringir os dados históricos.

3 Clique em OK.

Definir limites de alocação de dadosO número máximo de registros de eventos e fluxos mantidos pelo sistema é um valor fixo. A alocação de dadospermite que você defina a quantidade de espaço a ser alocado para cada um e quantos registros sãopesquisados para otimizar a consulta.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Alocação

de dados.

2 Clique nos marcadores nas linhas numeradas e os arraste até os números desejados ou clique nas setasnos campos Eventos e Fluxos.

3 Clique em OK.

Complete your installationSet up data storage 6


Gerenciar a indexação do acumuladorSe existirem campos personalizados que efetuam pull de dados numéricos de uma origem, você poderáacumular vários eventos juntos e calcular a média do valor ou gerar um valor de tendência.

Antes de iniciarVerifique se existem tipos personalizados.


2 Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

3 Clique em Banco de dados e em Configurações.

4 Selecione um campo de acumulador na lista suspensa Disponíveis.

5 Selecione os campos e mova-os para Ativado.

6 Selecione se deseja acumular a partir do momento presente ou reconstruir dados passados a partir de umadata que você especificar.

Exibir a utilização de memória do banco de dadosExiba e imprima tabelas que detalham como o sistema usa a memória de banco de dados.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Utilização

da memória.

As tabelas Eventos e Fluxos exibem o uso da memória do banco de dados.

2 Para imprimir os relatórios, clique no ícone Imprimir .

McAfee Enterprise Log Manager (ELM)O McAfee Enterprise Log Manager (ELM) oferece suporte a armazenamento, gerenciamento, acesso e geraçãode relatórios de dados de log.

Os dados recebidos pelo ELM são organizados em listas de armazenamento, cada qual composta pordispositivos de armazenamento. Um tempo de retenção é associado a cada lista de armazenamento, e osdados são mantidos na lista durante o período especificado. As normas governamentais, corporativas e dosetor requerem armazenamento de logs por diferentes períodos.

É possível configurar uma pesquisa e trabalhos de verificação de integridade no ELM. Cada um dessestrabalhos acessa os logs armazenados e recupera ou verifica os dados definidos no trabalho. Depois, você podeexibir os resultados e exportar as informações.

Para configurar um ELM, é preciso saber:

6 Complete your installationMcAfee Enterprise Log Manager (ELM)


• As origens que armazenam os logs no ELM

• As listas de armazenamento necessárias e os tempos de retenção de dados

• Os dispositivos de armazenamento necessários para armazenar os dados

Em geral, você conhece as origens que armazenam logs no ELM e as listas de armazenamento necessárias. Noentanto, não se sabe quais são os dispositivos de armazenamento necessários para armazenar os dados. Amelhor abordagem para lidar com essa incerteza é:

1 Fazer uma estimativa conservadora dos requisitos de armazenamento.

As listas de armazenamento do ELM requerem 10% do espaço alocado para espelhar a sobrecarga. Aocalcular o espaço necessário, leve em conta os 10%.

2 Configurar dispositivos de armazenamento do ELM para que atendam aos requisitos estimados.

3 Revisar logs sobre o ELM durante um período curto.

4 Usar informações estatísticas sobre o armazenamento ELM para alterar as configurações do dispositivo afim de acomodar os requisitos de armazenamento de dados reais.

Configurar o log do McAfee ESMSe você tiver um dispositivo Enterprise Log Manager (ELM) no sistema, configure a lista de log padrão paraenviar dados de eventos internos que o McAfee ESM gera para o dispositivo ELM.

Antes de iniciarAdicione um dispositivo ELM ao sistema.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.

2 Na guia Configuração, clique em Registro.

3 Selecione as opções de log padrão e a lista de armazenamento para armazenar os dados de eventosinternos e clique em OK.

• Se você tiver mais de um dispositivo do ELM no sistema, selecione o ELM em que deseja armazenar osdados. Esse dispositivo McAfee ESM sempre entrará no ELM que você selecionar.

• Selecione o endereço IP a ser usado na comunicação do McAfee ESM com o ELM. O sistema o notificaráquando o ELM selecionado for associado ao dispositivo com êxito.

• Se nenhuma lista de armazenamento tiver sido configurada no ELM, o sistema notificará você paraadicionar listas de armazenamento ao ELM antes de ativar o registro em log.

Gerenciar listas de armazenamentoAs listas de armazenamento incluem uma ou mais alocações de armazenamento e um tempo de retenção dedados. Para definir onde os logs do Enterprise Log Manager (ELM) serão armazenados e por quanto tempodeverão ser retidos, adicione-os ao ELM.


2 Na árvore de navegação do sistema, selecione o ELM e clique no ícone Propriedades .

Complete your installationMcAfee Enterprise Log Manager (ELM) 6


3 Clique em Listas de armazenamento.

4 Na tabela inferior, clique em Adicionar ou selecione uma lista de armazenamento, clique em Editar econfigure-a.

5 Clique em OK.

As alocações espelhadas que usam protocolos de rede (CIFS, NFS e iSCSI) requerem configurações específicaspara funcionar de forma confiável, como se estivessem no mesmo switch e com uma latência baixa. Asespecificações de rede recomendadas são:

• Latência total (servidor mais rede) - 10 ms

• Taxa de transferência total (servidor mais rede) - 20 Mb/s

• O espelhamento presume disponibilidade de 100% do compartilhamento

• As alocações do dispositivo de lista de armazenamento são limitadas a 1 terabyte poralocação. Para criar uma lista com mais de 1 terabyte, é necessário adicionar váriosdispositivos de 1 terabyte.

• Você pode excluir uma lista de armazenamento desde que ela e os dispositivos alocados nãoarmazenem dados.

Mover listas de armazenamentoÉ possível mover listas de armazenamento de um dispositivo para outro.

Antes de iniciarConfigure os dispositivos de armazenamento para os quais você deseja mover a lista dearmazenamento como um espelho do dispositivo que detém a lista no momento.

Tarefa1 Na árvore de navegação de sistemas, selecione o dispositivo ELM que detém a lista de armazenamento e

clique no ícone Propriedades .


3 Clique nos dispositivos espelhados que estão na lista a ser movida.

4 Clique em Editar e, na lista suspensa Dispositivos de armazenamento de dados, selecione o dispositivo queespelha a lista de armazenamento a ser movida.

Agora, ele passa a ser o dispositivo de armazenamento de dados principal.

5 Para espelhar o novo dispositivo de armazenamento de dados, selecione um dispositivo na lista suspensaDispositivo de armazenamento de dados espelhados e clique em OK.

Reduzir o tamanho da alocação de armazenamentoSe um dispositivo de armazenamento está cheio em virtude do espaço alocado para listas de armazenamento,você pode reduzir o espaço definido para cada alocação, para alocar espaço nesse dispositivo para mais listasde armazenamento.

Caso a redução do tamanho da alocação afete os dados, o sistema moverá os dados para outras alocações nalista, se houver espaço disponível. Se não houver espaço disponível, o sistema excluirá os dados mais antigos.






4 Na tabela inferior, selecione a lista que será reduzida e clique em Reduzir tamanho.

5 Insira o valor desejado de redução do armazenamento e clique em OK.

Espelhamento do armazenamento de dados do ELMConfigure um segundo dispositivo de armazenamento do ELM para espelhar os dados coletados no dispositivoprincipal.

Se o dispositivo principal ficar inoperante por alguma razão, o dispositivo de backup continuará armazenandoos dados que chegarem. Quando o dispositivo principal voltar a ficar on-line novamente, será automaticamentesincronizado com o de backup e retomará o armazenamento dos dados que chegam. Se o dispositivo principalficar permanentemente inoperante, você poderá reatribuir o backup para torná-lo principal no McAfee ESM edesignar um outro dispositivo para espelhá-lo.

Quando ambos os dispositivos ficam inoperantes, é exibido um sinalizador de status de integridade ao ladodo dispositivo ELM, na árvore de navegação do sistema.

Uma lista de armazenamento espelhada pode perder conexão com seu dispositivo de armazenamento. Omotivo da perda pode ser:

• Falha no servidor de arquivos ou na rede entre o ELM e o servidor de arquivos.

• O servidor de arquivos ou a rede foram desligados para manutenção.

• Um arquivo de alocação foi acidentalmente excluída.

Quando há um problema no espelho, os dispositivos de armazenamento mostram um ícone de aviso natabela Listas de armazenamento. Use a função Reconstruir para repará-lo.

Adicionar armazenamento de dados espelhados do ELMVocê pode usar qualquer dispositivo de armazenamento para espelhar dados salvos em um dispositivo dearmazenamento do ELM (Enterprise Log Manager).

Antes de iniciarAdicione os dois dispositivos que você deseja usar para espelhar um ao outro no McAfee ESM.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.

2 Clique em Adicionar.

3 Insira as informações solicitadas e clique em Adicionar para selecionar o dispositivo de armazenamento e ode espelhamento.

Você pode atribuir um dispositivo a mais de uma lista por vez.

4 Clique em OK duas vezes.



Reconstruir listas de armazenamento espelhadasSe uma lista de armazenamento espelhada perder conexão com seus dispositivos de armazenamento, use afunção Reconstruir para reparar.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento.

2 Passe o mouse sobre os dispositivos espelhados que exibem um ícone de aviso.

Uma dica de ferramenta informa que a alocação de ELM está sendo reconstruída ou que o dispositivoespelhado precisa ser reconstruído.

3 Clique nos dispositivos e em Reconstruir.

Desativar dispositivos de espelhamentoPara deixar de usar um dispositivo como dispositivo de espelhamento da lista de armazenamento, selecioneoutro dispositivo para substituí-lo ou selecione Nenhum.

Tarefa1 Na árvore de navegação do sistema, selecione o ELM (Enterprise Log Manager) que contém a lista de

armazenamento de espelhamento e clique no ícone Propriedades .

2 Clique em Listas de armazenamento, selecione os dispositivos espelhados na tabela Lista de armazenamento eclique em Editar.


• Se o dispositivo selecionado em Dispositivo de armazenamento de dados espelhados for o que você desejadesativar, clique na seta suspensa do campo e selecione outro dispositivo para espelhar o dispositivo dearmazenamento de dados ou selecione Nenhum.

• Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados for o que você desejadesativar, clique na seta suspensa do campo e selecione outro dispositivo que atue como o dispositivode armazenamento de dados.

4 Clique em OK.

Se o dispositivo não for mais de espelhamento, ele continuará aparecendo na tabela Dispositivo dearmazenamento.

Substituir um banco de dados de gerenciamento espelhado do ELMSe um dispositivo de armazenamento de banco de dados de gerenciamento espelhado estiver com algumproblema, convém substituí-lo.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo ELM com o dispositivo de armazenamento de

banco de dados de gerenciamento que está com problema e clique no ícone Propriedades .

2 Clique em Configuração do ELM e selecione Migrar BD.



3 Em Dispositivos de armazenamento de dados, selecione o dispositivo que aparece na lista suspensa Dispositivode armazenamento de dados espelhados.

4 Selecione um novo dispositivo em Dispositivo de armazenamento de dados espelhados ou selecione Nenhumpara interromper o espelhamento.

Se o dispositivo não estiver na lista suspensa, adicione-o primeiro à tabela Dispositivo de armazenamento.

Redundância de ELMVocê pode fornecer redundância para o log, adicionando um ELM em espera ao ELM independente atual noseu sistema.

Para ativar a redundância, defina os endereços IP e outras informações de rede em dois ELMs. O ELM emespera deve ter dispositivos de armazenamento com espaço combinado suficiente para corresponder aoarmazenamento no ELM ativo. Após a instalação, a configuração nos dois ELMs é sincronizada, e o ELM emespera mantém a sincronização de dados entre os dois dispositivos.

Há várias ações que você pode realizar ao trabalhar com redundância de ELM: alternar, retomar serviço,suspender, remover e exibir status. Todas as ações estão disponíveis em Propriedades do ELM | Redundância doELM.

Alternar

Se o ELM principal deixar de funcionar ou precisar ser substituído, selecione Alternar ELM. O ELM em espera éativado, e o sistema associa todos os dispositivos de log a ele. As ações de log e configuração ficam bloqueadasdurante o processo de alternância.

Retomar serviço

Se o ELM em espera deixar de funcionar, você deverá retomar seu serviço quando ele retornar. Se não fordetectada nenhuma alteração nos arquivos de configuração, a redundância continuará como antes. Se osistema detectar diferenças, a redundância continuará nas listas de armazenamento que não tiveremproblemas, mas será exibido um status de erro, informando que uma ou mais listas não foram configuradas.Você deve corrigir essas listas manualmente.

Se o ELM em espera tiver sido substituído ou reconfigurado, ele será detectado pelo sistema, que solicitará quevocê o recodifique. O ELM ativo sincronizará todos os arquivos de configuração com o ELM em espera, e aredundância continuará como antes.

Suspender

Você poderá suspender a comunicação com o ELM em espera se ele tiver deixado de funcionar ou isso estiverprestes a acontecer por algum motivo. Todas as interrupções na comunicação e notificações de erro daredundância são mascaradas. Quando o ELM em espera for retomado, siga o processo de retomada do serviço.

Desativar redundância no ELM

Você pode desativar a redundância do ELM selecionando Remover. O ELM ativo salva uma cópia dos arquivosde configuração de redundância. Se esse arquivo de backup for localizado na ativação da redundância de ELM,você será solicitado a responder se deseja restaurar os arquivos de configuração salvos.

Exibir status

Você pode exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo e o ELM em esperaselecionando Status.



Gerenciamento da compactação do ELMPara economizar espaço em disco ou processar mais logs por segundo, compacte os dados que chegam aoEnterprise Log Manager (ELM).

As três opções são Baixa (padrão), Média e Alta. Esta tabela mostra detalhes sobre cada nível.

Nível Taxa de compactação Percentual de compactaçãomáxima

Percentual do máximo de registrosprocessados por segundo

Baixa 14:1 72% 100%

Média 17:1 87% 75%

Alta 20:1 100% 50%

As taxas reais de compactação variam de acordo com o conteúdo dos registros.

• Para economizar espaço em disco, escolha a compactação máxima.

• Para processar mais logs por segundo, escolha a compactação mínima.

Restaurar dados do ELMPara substituir um Enterprise Log Manager (ELM), restaure os dados de log e do banco de dados degerenciamento no novo ELM.

Antes de iniciarOs dados de log e do banco de dados do ELM precisam ser espelhados.

Para restaurar os dados de um antigo ELM em um novo ELM, não crie um ELM usando o assistente Adicionardispositivo.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ELM para o ELM que deve ser substituído.

Uma página de aviso informa que o sistema não consegue localizar o ELM.

2 Feche a página de aviso e clique em Conexão.

3 Insira o endereço IP do novo ELM e clique em Gerenciamento de chaves | Codificar dispositivo.

4 Insira a senha a ser associada a esse dispositivo e clique em Avançar.

5 Clique em Informações do ELM | Backup e restauração | Restaurar ELM.

6 Sincronize novamente cada dispositivo acessando o ELM, clicando em Sincronizar ELM em Propriedades |Configuração para cada dispositivo.

A restauração do armazenamento de dados e do banco de dados de gerenciamento do ELM para um novo ELMpode levar várias horas.



Definir um local de armazenamento alternativoPara armazenar logs de banco de dados de gerenciamento do ELM (Enterprise Log Manager) fora do ELM,defina o local de armazenamento alternativo. Também é possível selecionar um segundo dispositivo paraespelhar o que está armazenado.

Tarefa

1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |Migrar BD.

2 Selecione o local para armazenar o banco de dados de gerenciamento e um segundo local dearmazenamento para espelhar o dispositivo de armazenamento de dados.

Na primeira vez que você seleciona espelhar qualquer dispositivo existente, o processo pode levar um poucomais de tempo.

3 Clique em OK.

Exibir uso do armazenamento do ELMExiba o uso de armazenamento de Enterprise Log Manager (ELM) para ajudar a determinar a alocação deespaço no dispositivo.

Tarefa



3 Clique em Gerenciamento do ELM.

4 Clique em Exibir estatísticas e selecione a guia Uso do ELM.

Migração do banco de dados do ELMO banco de dados de gerenciamento do Enterprise Log Manager (ELM) armazena os registros que os logs derastreamento enviaram ao ELM. O espaço em disco disponível no dispositivo ELM para armazenar o banco dedados de gerenciamento depende do modelo.

Quando você adiciona o dispositivo pela primeira vez, o sistema verifica se há espaço em disco suficiente paraarmazenar os registros. O sistema poderá solicitar que você defina um local alternativo para o armazenamentodo banco de dados de gerenciamento. Se o dispositivo tem espaço em disco suficiente, mas você prefere salvaro banco de dados em outro local, você pode usar Migrar BD, na página Propriedades do ELM, para configuraresse local.

A opção Migrar BD pode ser usada a qualquer momento. Entretanto, se você migrar o banco de dados degerenciamento quando ele contiver registros, a sessão do ELM ficará suspensa por várias horas até a conclusãoda migração, que depende do número de registros existentes. É recomendável definir esse local alternativoquando você configurar o dispositivo ELM pela primeira vez.

Configure ELM Storage

Conteúdo Desativar compartilhamento de arquivo HomeGroup Configurar o armazenamento de dados externos Adicionar dispositivos iSCSI

Complete your installationConfigure ELM Storage 6


Vincular dispositivos de armazenamento a listas de armazenamento Dispositivos de armazenamento de SAN de formato Configurar um DAS para armazenar dados de um ESM completo Configure a unidade do local virtual para armazenar dados

Desativar compartilhamento de arquivo HomeGroupO Windows 7 requer o uso do compartilhamento de arquivo HomeGroup, que funciona com outroscomputadores com Windows 7 instalado, mas não com Samba. Para usar um computador com Windows 7como um compartilhamento CIFS, é necessário desativar o compartilhamento de arquivo HomeGroup.

Tarefa

1 Abra o Painel de Controle do Windows 7 e selecione Central de Rede e Compartilhamento.

2 Clique em Alterar as configurações de compartilhamento avançadas.

3 Clique no perfil Residência ou Trabalho e certifique-se de que ele esteja rotulado de acordo com o seu perfilatual.

4 Ative a descoberta de rede, o compartilhamento de arquivo e de impressora e a pasta pública.

5 Vá para a pasta que deseja compartilhar usando o CIFS (tente primeiro a pasta pública) e clique nela com obotão direito do mouse.

6 Selecione Propriedades e clique na guia Compartilhamento.

7 Clique em Compartilhamento avançado e selecione Compartilhar esta pasta.

8 (Opcional) Altere o nome do compartilhamento e clique em Permissões.

Certifique-se de que as permissões estejam definidas como você deseja (uma marca de seleção em Alterar =gravável). Se você ativar compartilhamentos protegidos por senha, atualize as configurações para garantirque o usuário do Ubuntu seja incluído para permissão.

Configurar o armazenamento de dados externosVocê pode configurar um armazenamento externo (iSCSI, SAN, DAS e local virtual) para armazenar dados doELM. Quando você conectar os tipos de armazenamento externo ao Enterprise Log Manager (ELM),configure-os para que armazenem dados do ELM.

Tarefa

1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.

O sistema retorna todos os dispositivos de armazenamento disponíveis nas guias apropriadas.

2 Clique na guia iSCSI, SAN, DAS ou Local virtual e siga as etapas necessárias.

3 Clique em Aplicar ou OK.

Adicionar dispositivos iSCSIPara adicionar um dispositivo iSCSI para armazenamento no ELM, é preciso configurar conexões com odispositivo.

Tarefa


2 Clique em Armazenamento de dados.

6 Complete your installationConfigure ELM Storage


3 Na guia iSCSI, clique em Adicionar.

4 Insira as informações solicitadas e clique em OK.

Se a conexão for bem-sucedida, o sistema adicionará o dispositivo e seus IQNs à lista Configuração do iSCSI,bem como à lista Tipo de dispositivo em Adicionar dispositivo de armazenamento.

Quando um IQN começar a adicionar logs do ELM, você não poderá excluir o destino do iSCSI. Devido a essalimitação, configure o destino do iSCSI com espaço suficiente para o armazenamento no ELM.

5 Antes de usar um IQN para o armazenamento no ELM, selecione-o na lista e clique em Formato.

6 Para verificar seu status durante a formatação, clique em Verificar status.

7 Para descobrir ou redescobrir os IQNs, clique no dispositivo iSCSI e em Descobrir.

Tentativas de atribuir mais de um dispositivo a um IQN podem resultar em perda de dados.

Vincular dispositivos de armazenamento a listas de armazenamentoAdicione dispositivos de armazenamento, que você pode vincular a listas de armazenamento.

Antes de iniciarConfigure os dispositivos de armazenamento.

Na edição de um dispositivo de armazenamento, você pode aumentar o tamanho, mas não pode reduzi-lo. Nãoé possível excluir um dispositivo que esteja armazenando dados.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.

2 Clique em Adicionar.

3 Preencha as informações solicitadas em Adicionar dispositivo de armazenamento e clique em OK.

Opção Definição

Tipo de dispositivo Selecione o tipo de dispositivo de armazenamento. A migração do banco dedados do ELM requer pelo menos 506 GB de espaço livre em disco.

Nome Digite um nome para o dispositivo de armazenamento.

Tamanho máximo Selecione o espaço máximo de armazenamento que você deseja alocar nodispositivo.• Ao adicionar um dispositivo de armazenamento remoto ao ELM, Tamanho

máximo é padronizado como 4 GB. Um por cento do espaço dearmazenamento é reservado para o gerenciamento do armazenamentoremoto.

• Ao adicionar um dispositivo de armazenamento do local virtual, Tamanhomáximo é padronizado como a capacidade total de armazenamento dodispositivo. 6 GB de espaço de armazenamento é reservado para ogerenciamento do armazenamento virtual. Não é possível ajustar essecampo.

Endereço IP, Ponto demontagem remoto, Caminhoremoto

Digite essas informações para o dispositivo NFS.



Opção Definição

Endereço IP, Nome docompartilhamento remoto,Caminho, Nome de usuário,Senha

Digite essas informações para o dispositivo CIFS.

Dispositivo iSCSI Selecione o dispositivo que você adicionou.

IQN do iSCSI Selecione o IQN.

SAN Selecione o volume de SAN que você adicionou.

Volume local virtual Selecione o dispositivo de armazenamento do local virtual. Esta opção ficadisponível apenas quando o tipo de dispositivo é Local virtual.

4 Defina os parâmetros de conexão de um dispositivo de armazenamento usado em uma lista dearmazenamento para retenção de dados.

Opção Definição

Dispositivos de armazenamentode dados

Selecione o dispositivo que deseja adicionar.

Você pode atribuir um dispositivo a mais de uma lista por vez.

Espaço de armazenamento Selecione o espaço máximo nesse dispositivo para armazenar dados.

O sistema usa 10% do espaço de armazenamento para sobrecarga. Porexemplo, se você selecionar 4 GB no campo de espaço dearmazenamento, 3,6 GB estarão disponíveis para armazenar dados.

Dispositivo de armazenamentode dados espelhados

Para espelhar dados nesse dispositivo de armazenamento com outrodispositivo, selecione o segundo dispositivo de armazenamento.

Dispositivos de armazenamento de SAN de formatoSe você tem uma placa SAN no sistema, pode usá-la para armazenar dados do ELM.

Antes de iniciarVerifique a existência de um cartão SAN em seu sistema.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.

2 Clique na guia SAN e verifique o status dos volumes de SAN detectados.

• Formato necessário: o volume precisa ser formatado e não aparece na lista dos volumes disponíveis napágina Adicionar dispositivo de armazenamento.

• Formatação: o volume está no processo de ser formatado e não aparece na lista de volumes disponíveis.

• Pronto: o volume está formatado e tem um sistema de arquivos reconhecível. Esses volumes podem serusados para armazenar dados do ELM.

3 Se houver algum volume que não esteja formatado e você desejar armazenar dados, clique nele e emFormatar.

A formatação de um volume exclui todos os dados armazenados.

6 Complete your installationConfigure ELM Storage


4 Para verificar se a formatação está concluída, clique em Atualizar.

Quando a formatação for concluída, o sistema alterará o status para Pronto.

5 Para exibir os detalhes de um volume na parte inferior da página, clique no volume.

Configurar um DAS para armazenar dados de um ESM completo

Antes de iniciarConfigure dispositivos do DAS.

Tarefa1 Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

2 Clique em Banco de dados e, em seguida, clique em Armazenamento de dados.

3 Na tabela, clique em um dos dispositivos que não foram atribuídos para armazenar dados do McAfee ESM.

4 Clique em Atribuir e em Sim.

Depois que você atribuir um dispositivo, não poderá mudá-lo.

Configure a unidade do local virtual para armazenar dadosDetecte e formate dispositivos de armazenamento virtual no Enterprise Log Manager (ELM) virtual. Ele pode serusado para migração do banco de dados e listas de armazenamento.

Antes de iniciarAdicione dispositivos de armazenamento local virtual ao ELM virtual a partir de seu ambientevirtual. Para adicionar o armazenamento, consulte a documentação do ambiente da máquinavirtual.

Ambientes virtuais compatíveis

• VMWare

• KVM

• Amazon Web Service

Formatos de unidades compatíveis

• SCSI

• SATA

O IDE não é compatível.

Tarefa1 Na árvore de navegação do sistema, selecione o ELM virtual, clique no ícone Propriedades e clique em

Armazenamento de dados.

As partições de raiz e inicialização não estão disponíveis como opções viáveis de armazenamento.



2 Clique na guia Local virtual, depois selecione um dispositivo na lista de dispositivos virtuais disponíveis.

A guia Local virtual fica disponível apenas quando o sistema detecta um armazenamento virtual.

3 Se a coluna Status informar Formatação obrigatória, clique em Formatar para formatar o dispositivo com oformato de arquivo ext4.

O status mudará para Pronto.

Work in FIPS mode

Conteúdo Verificar integridade de FIPS Solução de problemas do modo FIPS

6 Complete your installationWork in FIPS mode


Verificar integridade de FIPSSe você estiver operando no modo FIPS, a norma FIPS 140-2 exigirá que o teste de integridade do software sejaexecutado regularmente. Você deve testar o sistema e cada dispositivo.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações do

sistema está selecionada.


Nocampo...

Faça isto...

Status deFIPS

Exiba os resultados dos autotestes de FIPS mais recentes executados no McAfee ESM.

Teste ouAutotestede FIPS

Execute os autotestes de FIPS, que testam a integridade dos algoritmos usados no cripto-executável. Osresultados podem ser exibidos no Log de mensagens.

Se o autoteste de FIPS falhar, a FIPS está comprometida ou está ocorrendo falha no dispositivo. Entrar emcontato com o Suporte da McAfee.

Exibir ouIdentidadeFIPS

Abra a página Token de identidade de FIPS para executar o teste de integridade do software deinicialização. Compare esse valor com a chave pública que aparece nesta página:

Se esse valor não corresponder ao da chave pública, a FIPS está comprometida. Entrar em contato com oSuporte da McAfee.

Complete your installationWork in FIPS mode 6


Solução de problemas do modo FIPSPodem surgir problemas durante a operação do McAfee ESM no modo FIPS.

Problema Descrição e resolução

Não é possível secomunicar com oMcAfee ESM

• Verifique o LCD na parte frontal do dispositivo. Se ele informar Falha de FIPS, entreem contato com o Suporte da McAfee.

• Verifique se há uma condição de erro na interface HTTP exibindo a página da Webde autoteste de FIPS do McAfee ESM em um navegador.- Se um único dígito 0 for exibido, indicando que o dispositivo falhou em umautoteste de FIPS, reinicialize o dispositivo do McAfee ESM e tente corrigir oproblema. Se a condição de falha persistir, entre em contato com o Suporte paraobter mais instruções.

- Se um único dígito 1 for exibido, o problema de comunicação não está relacionadoà falha de FIPS. Entre em contato com o suporte para obter mais etapas de soluçãode problemas.

Não é possívelcomunicar-se com odispositivo

• Se houver um sinalizador de status ao lado do nó do dispositivo na árvore denavegação do sistema, coloque o cursor sobre ele. Se ele informar Falha de FIPS,entre em contato com o Suporte da McAfee no portal de suporte.

• Siga a descrição sob o problema Não é possível comunicar-se com o ESM.

Erro O arquivo éinválido ao adicionarum dispositivo

Não é possível exportar uma chave de um dispositivo não FIPS e importá-la para umdispositivo que estiver operando no modo FIPS. Além disso, não é possível exportaruma chave de um dispositivo FIPS e importá-la para um dispositivo não FIPS. Esse erroaparece na tentativa dos dois cenários.

6 Complete your installationWork in FIPS mode


7 Troubleshooting

Conceder acesso ao sistema para a McAfeeQuando você faz uma chamada de suporte para a McAfee, pode ser necessário permitir o acesso doengenheiro do suporte técnico ao seu sistema.


2 Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

3 Clique em Gerenciamento do ESM e, em seguida, selecione a guia Manutenção.

4 Clique em Conectar.

O botão muda para Desconectar e o sistema exibe o endereço IP.

5 Informe seu endereço IP ao engenheiro de suporte técnico.

O suporte poderá solicitar informações adicionais, como a senha.

6 Clique em Desconectar para encerrar a conexão.

7


7 TroubleshootingConceder acesso ao sistema para a McAfee


Guia de instalação do McAfee Enterprise Security Manager 11.0 · Ele permite que os usuários...

Documents

Transcript of Guia de instalação do McAfee Enterprise Security Manager 11.0 · Ele permite que os usuários...