Guia de produto
McAfee Enterprise Security Manager 9.5.0
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
ATRIBUIÇÕES DE MARCAS COMERCIAIS
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active
Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,
McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee
Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros
países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA
Contrato de licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO
DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ
ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE
OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O
PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO
INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO
TOTAL.
2
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Conteúdo
Prefácio
9
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . .
10
1
Introdução
11
Como o McAfee Enterprise Security Manager funciona . . . . . . . . . . . . . . . . . . . 11
Dispositivos e o que eles fazem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2
Guia de introdução
13
Sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informações sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . .
Selecione o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar integridade FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar um dispositivo codificado ao modo FIPS . . . . . . . . . . . . . . . . .
Solução de problemas do modo FIPS . . . . . . . . . . . . . . . . . . . . . . .
Configuração avaliada por critérios comuns . . . . . . . . . . . . . . . . . . . . . . .
Efetuar logon e logoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personalizar a página de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . .
Atualizar software do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obter e adicionar credenciais de atualização de regra . . . . . . . . . . . . . . . . . . .
Verificar atualizações de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar o idioma dos registros de eventos . . . . . . . . . . . . . . . . . . . . . . . .
Conexão de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . .
Selecione um tipo de exibição . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar tipos de exibição personalizadas . . . . . . . . . . . . . . . . . . . .
Gerenciar um grupo em um tipo de exibição personalizada . . . . . . . . . . . . . .
Excluir um grupo ou um dispositivo . . . . . . . . . . . . . . . . . . . . . . .
Excluir dispositivos duplicados na árvore de navegação do sistema . . . . . . . . . . .
Preferências do console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
O console do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com o tema de cores do console . . . . . . . . . . . . . . . . . . . .
Selecione as configurações de exibição do console . . . . . . . . . . . . . . . . .
Defina o valor de tempo limite do console . . . . . . . . . . . . . . . . . . . . .
Selecione configurações do usuário . . . . . . . . . . . . . . . . . . . . . . .
Configurar credenciais de usuário para o McAfee ePO . . . . . . . . . . . . . . . .
3
Configuração do ESM
31
Gerenciamento de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir estatísticas de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . .
Sobre chaves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . .
Atualizar o software em um dispositivo . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.5.0
13
14
14
15
16
19
19
20
21
22
22
23
23
24
24
25
25
26
26
26
27
27
28
28
28
29
29
31
33
34
34
37
Guia de produto
3
Conteúdo
Organização de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Gerenciar vários dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Gerenciar links de URL para todos os dispositivos . . . . . . . . . . . . . . . . . . 53
Exibir relatórios de resumo do dispositivo . . . . . . . . . . . . . . . . . . . . . 53
Exibir um registro do sistema ou dispositivo . . . . . . . . . . . . . . . . . . . . 53
Relatórios de status de integridade do dispositivo . . . . . . . . . . . . . . . . . . 54
Excluir um grupo ou um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 56
Atualizar dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuração de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Dispositivos e o que eles fazem . . . . . . . . . . . . . . . . . . . . . . . . . 57
Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configurações do Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 110
Configurações do Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . .
126
Configurações do Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 129
Configurações do Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 144
Configurações do DESM (ESM distribuído) . . . . . . . . . . . . . . . . . . . . 151
Configurações do ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 152
Configurações do Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . .
158
Configurações do McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 162
Configurações do McAfee Network Security Manager . . . . . . . . . . . . . . . . 163
Configuração de serviços auxiliares . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Informações gerais do sistema . . . . . . . . . . . . . . . . . . . . . . . . . 164
Definir configurações do servidor Remedy . . . . . . . . . . . . . . . . . . . . 165
Definição de configurações de mensagem . . . . . . . . . . . . . . . . . . . . 165
Configurar NTP em um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 166
Definir configurações de rede . . . . . . . . . . . . . . . . . . . . . . . . . 167
Sincronização da hora do sistema . . . . . . . . . . . . . . . . . . . . . . .
173
Instalar um novo certificado . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Configurar perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Configuração de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Gerenciamento do banco de dados . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Configurar o armazenamento de dados do ESM . . . . . . . . . . . . . . . . . . 182
Configurar o armazenamento de dados da VM do ESM . . . . . . . . . . . . . . . 182
Aumentar o número de índices de acumulador disponíveis . . . . . . . . . . . . . . 182
Configurar o arquivo de partições inativas . . . . . . . . . . . . . . . . . . . . 183
Configurar limites de retenção de dados . . . . . . . . . . . . . . . . . . . . . 183
Definir limites de alocação de dados . . . . . . . . . . . . . . . . . . . . . .
183
Gerenciar configurações de indexação de banco de dados . . . . . . . . . . . . . . 184
Gerenciar a indexação do acumulador . . . . . . . . . . . . . . . . . . . . . . 184
Exibir utilização de memória do banco de dados . . . . . . . . . . . . . . . . . . 185
Trabalhar com usuários e grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Adicionar um usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . .
186
Selecione configurações do usuário . . . . . . . . . . . . . . . . . . . . . . . 186
Configuração de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Configurar credenciais de usuário para o McAfee ePO . . . . . . . . . . . . . . . . 189
Desativar ou reativar um usuário . . . . . . . . . . . . . . . . . . . . . . . . 190
Autenticar usuários para um servidor LDAP . . . . . . . . . . . . . . . . . . . . 190
Configurar grupos de usuários . . . . . . . . . . . . . . . . . . . . . . . . . 190
Adicionar um grupo com acesso limitado . . . . . . . . . . . . . . . . . . . . . 191
Backup e restauração das configurações do sistema . . . . . . . . . . . . . . . . . . . 191
Fazer backup das configurações do ESM e dos dados do sistema . . . . . . . . . . . 192
Restaurar configurações do ESM . . . . . . . . . . . . . . . . . . . . . . . . 192
Restaurar arquivos de configuração com backup . . . . . . . . . . . . . . . . . . 193
Trabalhar com arquivos de backup no ESM . . . . . . . . . . . . . . . . . . . . 193
Gerenciar a manutenção do arquivo . . . . . . . . . . . . . . . . . . . . . . . 193
ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
194
4
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Conteúdo
Gerenciamento do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mascarar endereços IP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar o registro do ESM . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar o idioma dos registros de eventos . . . . . . . . . . . . . . . . . . . .
Exportar e restaurar chaves de comunicação . . . . . . . . . . . . . . . . . . .
Gerar chave SSH novamente . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciador de tarefas de consulta . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar consultas em execução no ESM . . . . . . . . . . . . . . . . . . . .
Atualizar ESM primário ou redundante . . . . . . . . . . . . . . . . . . . . . .
Acessar um dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . .
Usar comandos do Linux . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comandos do Linux disponíveis . . . . . . . . . . . . . . . . . . . . . . . .
Uso de uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . .
O que é enriquecimento de dados . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar origens de enriquecimento de dados . . . . . . . . . . . . . . . . . .
Configurar enriquecimento de dados no McAfee Real Time for McAfee ePO . . . . . . .
Adicione uma origem de enriquecimento de dados Hadoop HBase . . . . . . . . . . .
Adicionar origem de enriquecimento de dados Hadoop Pig . . . . . . . . . . . . . .
Adicionar enriquecimento de dados do Active Directory para nomes do usuário . . . . .
™
4
Gerenciamento de "ciberameaças"
195
196
197
198
198
198
198
199
199
200
200
201
201
202
203
203
203
204
204
205
206
209
Configurar gerenciamento de “ciberameaça” . . . . . . . . . . . . . . . . . . . . . . 209
Exibir resultados de feeds de ciberameaças . . . . . . . . . . . . . . . . . . . . . . . 210
5
Trabalho com pacotes de conteúdo
213
Importar pacotes de conteúdo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
6
Trabalho com alarmes
215
Como os alarmes do ESM funcionam . . . . . . . . . . . . . . . . . . . . . . . . .
Criar um alarme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alarmes UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure um alarme de correlação para incluir eventos de origem . . . . . . . . . .
Adicionar um alarme de Correspondência de campos . . . . . . . . . . . . . . . .
Adicionar um alarme às regras . . . . . . . . . . . . . . . . . . . . . . . . .
Criar uma interceptação SNMP como ação em um alarme . . . . . . . . . . . . . .
Adicionar um alarme de notificação de queda de energia . . . . . . . . . . . . . .
Adicionar um alarme de evento do monitor de integridade . . . . . . . . . . . . . .
Copiar um alarme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativar ou desativar o monitoramento de alarmes . . . . . . . . . . . . . . . . . . . .
Resumo personalizado para casos e alarmes disparados . . . . . . . . . . . . . . . . . .
Gerenciar modelos de mensagem de alarme . . . . . . . . . . . . . . . . . . . . . .
Gerenciar arquivos de áudio de alarme . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar destinatários de alarme . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir fila de relatórios de alarme . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar arquivos de relatório de alarme . . . . . . . . . . . . . . . . . . . .
7
Trabalho com eventos
237
Eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar downloads de eventos, fluxos e registros . . . . . . . . . . . . . . . .
Limitar horário da coleta de dados . . . . . . . . . . . . . . . . . . . . . . .
Definir as configurações de limite de inatividade . . . . . . . . . . . . . . . . . .
Obter eventos e fluxos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.5.0
215
216
217
219
219
220
220
221
222
231
232
232
232
233
233
233
234
235
237
237
238
238
239
239
Guia de produto
5
Conteúdo
Definir configurações de localização geográfica e ASN . . . . . . . . . . . . . . .
Obter eventos e fluxos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Agregação de eventos ou fluxos . . . . . . . . . . . . . . . . . . . . . . . .
Configuração do encaminhamento de evento . . . . . . . . . . . . . . . . . . .
Gerenciamento de relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir o mês inicial para os relatórios trimestrais . . . . . . . . . . . . . . . . .
Adicionar relatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar layout de relatório . . . . . . . . . . . . . . . . . . . . . . . . .
Incluir uma imagem em PDFs e relatórios . . . . . . . . . . . . . . . . . . . .
Adicionar uma condição de relatório . . . . . . . . . . . . . . . . . . . . . . .
Exibir nomes de host em um relatório . . . . . . . . . . . . . . . . . . . . . .
Descrição dos filtros contains e regex . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com exibições do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de exibições do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir detalhes da sessão . . . . . . . . . . . . . . . . . . . . . . . . . . .
Barra de ferramentas de exibição . . . . . . . . . . . . . . . . . . . . . . . .
Exibições predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma exibição personalizada . . . . . . . . . . . . . . . . . . . . . .
Exibir componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com o Assistente de consulta . . . . . . . . . . . . . . . . . . . . .
Gerenciar exibições . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar um evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir os detalhes do endereço IP de um evento . . . . . . . . . . . . . . . . . .
Alterar a exibição padrão . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtragem de exibições . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de observação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalização de cadeia . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipo de filtros personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tabela de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . .
Adicionar tipos personalizados de tempo . . . . . . . . . . . . . . . . . . . . .
Tipos personalizados de nome/valor . . . . . . . . . . . . . . . . . . . . . .
Adicionar tipo personalizado de grupo de nomes/valores . . . . . . . . . . . . . .
8
Gerenciamento de casos
291
Adicionar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar um caso a partir de um evento . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar eventos a um caso existente . . . . . . . . . . . . . . . . . . . . . . . .
Editar ou fechar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir detalhes do caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar níveis de status de caso . . . . . . . . . . . . . . . . . . . . . . . . . .
Casos de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir todos os casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerar relatórios de gerenciamento de casos . . . . . . . . . . . . . . . . . . . . . .
9
Trabalhar com o Asset Manager
McAfee Enterprise Security Manager 9.5.0
291
292
292
292
293
293
294
294
295
297
Gerenciar ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir ativos antigos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar o gerenciamento de configurações . . . . . . . . . . . . . . . . . . . . . .
Gerenciar arquivos de configuração recuperados . . . . . . . . . . . . . . . . .
Descoberta de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descobrir a rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar a lista de exclusão de IP . . . . . . . . . . . . . . . . . . . . . . .
Descobrir terminais . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir um mapa da rede . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar o comportamento de Descoberta de rede . . . . . . . . . . . . . . . . .
6
239
240
240
242
246
247
247
247
248
248
249
249
252
253
253
254
255
259
260
271
274
274
275
275
276
279
281
282
284
284
288
288
289
298
298
298
299
299
299
300
300
300
301
Guia de produto
Conteúdo
Origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar origens de avaliação de vulnerabilidade . . . . . . . . . . . . . . . . . . . .
Gerenciamento de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportar configurações de zona . . . . . . . . . . . . . . . . . . . . . . . .
Importar configurações de zona . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativo, ameaça e avaliação de risco . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar ameaças conhecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
Gerenciamento de políticas e regras
307
Compreensão do Editor de políticas . . . . . . . . . . . . . . . . . . . . . . . . . .
A Árvore de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar políticas na Árvore de políticas . . . . . . . . . . . . . . . . . . . .
Tipos de regras e suas propriedades . . . . . . . . . . . . . . . . . . . . . . . . .
Variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de pré-processador . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de inspeção de pacote detalhadas . . . . . . . . . . . . . . . . . . . .
Regras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de ASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de origem de dados . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de eventos do Windows . . . . . . . . . . . . . . . . . . . . . . . .
Regras de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras do DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de correlação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir detalhes de correlação de regras . . . . . . . . . . . . . . . . . . . . .
Adicionar regras personalizadas de ADM, banco de dados ou correlação . . . . . . . .
Regras do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativar Copiar pacote . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurações padrão de políticas . . . . . . . . . . . . . . . . . . . . . . . . . .
Modo somente alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar Modo de excesso de assinaturas . . . . . . . . . . . . . . . . . . . .
Exibir status de atualização de política de dispositivos . . . . . . . . . . . . . . .
Operações de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importar variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de exportação . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir regras para inclusão automática na lista negra . . . . . . . . . . . . . . .
Filtrar regras existentes . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir a assinatura de uma regra . . . . . . . . . . . . . . . . . . . . . . . .
Recuperar atualizações de regra . . . . . . . . . . . . . . . . . . . . . . . .
Limpar status de regra atualizada . . . . . . . . . . . . . . . . . . . . . . .
Comparar arquivos de regra . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir o histórico de alterações de regra . . . . . . . . . . . . . . . . . . . . .
Criar uma nova lista de observação de regras . . . . . . . . . . . . . . . . . . .
Adicionar regras a uma lista de observação . . . . . . . . . . . . . . . . . . . .
Atribuir marcas a regras ou ativos . . . . . . . . . . . . . . . . . . . . . . . . . .
Modificar configurações de agregação . . . . . . . . . . . . . . . . . . . . . . . . .
Ação de substituição em regras obtidas por download . . . . . . . . . . . . . . . . . .
Níveis de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Enterprise Security Manager 9.5.0
301
301
302
302
302
303
303
303
304
305
306
307
308
309
311
312
314
315
317
318
318
319
321
322
322
324
330
330
331
337
337
338
338
338
339
339
340
340
340
341
342
342
343
344
345
345
346
346
346
347
347
348
349
349
Guia de produto
7
Conteúdo
Defina os níveis de gravidade .
Exibir histórico de alteração de política
Aplicar alterações de política . . . .
Gerenciar tráfego de prioridade . . .
Índice
8
McAfee Enterprise Security Manager 9.5.0
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 350
.
350
. . 351
.
351
353
Guia de produto
Prefácio
Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produto
McAfee.
Conteúdo
Sobre este guia
Localizar a documentação do produto
Sobre este guia
Estas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usados
neste guia, além de como o guia é organizado.
Público-alvo
McAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo.
A informação contida neste guia destina-se principalmente a:
•
Administradores: Pessoas responsáveis pela implementação e imposição do programa de
segurança da empresa.
•
Usuários: Pessoas que utilizam o computador onde o software está instalado e que têm acesso a
todos ou alguns dos seus recursos.
Convenções
Este guia usa as seguintes convenções tipográficas e ícones.
Título do livro, termo,
ênfase
Título de um livro, capítulo ou tópico; um novo termo; ênfase.
Negrito
Texto bastante enfatizado.
Digitação do usuário,
código, mensagem
Comandos e outros textos digitados pelo usuário; um fragmento de
código; uma mensagem exibida.
Texto da interface
Palavras da interface do produto, como opções, menus, botões e caixas
de diálogo.
Azul de hipertexto
Um link para um tópico ou para um site externo.
Observação: Informações adicionais, como um método alternativo de
acessar uma opção.
Dica: Sugestões e recomendações.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
9
Prefácio
Localizar a documentação do produto
Importante/cuidado: Informações importantes para proteger o
sistema do seu computador, sua instalação de software, rede, negócios
ou seus dados.
Aviso: Informações críticas para prevenir lesões corporais durante a
utilização de um produto de hardware.
Localizar a documentação do produto
Após o lançamento de um produto, as informações adicionais sobre ele são introduzidas no Centro de
conhecimento online da McAfee.
Tarefa
10
1
Acesse a guia Knowledge Center do ServicePortal da McAfee em http://support.mcafee.com.
2
No painel Base de conhecimento, clique em uma fonte de conteúdos:
•
Documentação do produto para encontrar a documentação do usuário
•
Artigos técnicos para encontrar artigos da Base de conhecimento
3
Selecione Não limpar meus filtros.
4
Insira um produto, selecione uma versão, e clique em Pesquisar para exibir uma lista de
documentos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
1
Introdução
®
O McAfee Enterprise Security Manager (McAfee ESM) permite que profissionais de segurança e
conformidade coletem, armazenem, analisem e tomem providências em relação a riscos e ameaças de
um único local.
Conteúdo
Como o McAfee Enterprise Security Manager funciona
Dispositivos e o que eles fazem
Como o McAfee Enterprise Security Manager funciona
O McAfee ESM coleta e agrega dados e eventos de dispositivos de segurança, infraestruturas de rede,
sistemas e aplicativos. Em seguida, ele aplica inteligência a esses dados, combinando-os com
informações contextuais sobre usuários, ativos, vulnerabilidades e ameaças. Ele correlaciona essas
informações para localizar incidentes que sejam relevantes. Usando dashboards interativos e
personalizáveis, você poderá fazer busca detalhada em eventos específicos para investigar incidentes.
O ESM é composto por três camadas:
•
Interface – Um programa de navegador que fornece a interface com o usuário para o sistema
(conhecido como Console do ESM).
•
Armazenamento, gerenciamento e análise de dados – Dispositivos que fornecem todos os
serviços necessários de manipulação de dados, incluindo configuração, geração de relatórios,
visualização e pesquisa. O ESM (obrigatório), o Advanced Correlation Engine (ACE), o ESM
distribuído (DESM) e o Enterprise Log Manager (ELM) desempenham essas funções.
•
Aquisição de dados – Dispositivos que fornecem as interfaces e serviços que adquirem dados do
ambiente de rede do usuário. O Nitro Intrusion Prevention System (IPS), o Event Receiver
(Receiver), o ADM (Application Data Monitor) e o DEM (Database Event Monitor) desempenham
essas funções.
Todas as funções de comando, controle e comunicação entre os componentes são coordenadas por
meio de canais seguros de comunicação.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
11
1
Introdução
Dispositivos e o que eles fazem
Dispositivos e o que eles fazem
O ESM permite que você administre, gerencie e interaja com todos os dispositivos físicos e virtuais do
seu ambiente de segurança.
Consulte também
Event Receiver na página 58
Configurações do Enterprise Log Manager (ELM) na página 110
Configurações do Application Data Monitor (ADM) na página 129
Configurações do Database Event Monitor (DEM) na página 144
Configurações do Advanced Correlation Engine (ACE) na página 126
Configurações do DESM (ESM distribuído) na página 151
Configurações do ePolicy Orchestrator na página 152
Configurações do Nitro Intrusion Prevention System (Nitro IPS) na página 158
12
McAfee Enterprise Security Manager 9.5.0
Guia de produto
2
Guia de introdução
Verifique se o ambiente do ESM é atual e está pronto para uso.
Conteúdo
Sobre o modo FIPS
Configuração avaliada por critérios comuns
Efetuar logon e logoff
Personalizar a página de entrada
Atualizar software do ESM
Obter e adicionar credenciais de atualização de regra
Verificar atualizações de regras
Alterar o idioma dos registros de eventos
Conexão de dispositivos
Preferências do console
Sobre o modo FIPS
O FIPS (Federal Information Processing Standard) consiste em padrões públicos desenvolvidos pelo
governo federal dos Estados Unidos. Caso seja necessário atender a essas normas, você deverá operar
o sistema no modo FIPS.
O modo FIPS deve ser selecionado na primeira vez que você efetuar logon no sistema e não poderá ser
alterado posteriormente.
Consulte também
Informações sobre o modo FIPS na página 14
Conteúdo
Informações sobre o modo FIPS
Selecione o modo FIPS
Verificar integridade FIPS
Adicionar um dispositivo codificado ao modo FIPS
Solução de problemas do modo FIPS
McAfee Enterprise Security Manager 9.5.0
Guia de produto
13
2
Guia de introdução
Sobre o modo FIPS
Informações sobre o modo FIPS
Em virtude das normas FIPS, alguns recursos do ESM não estão disponíveis, alguns recursos
disponíveis estão fora de conformidade e outros estão disponíveis somente durante o modo FIPS.
Esses recursos são observados em todo o documento e estão listados aqui.
Status do
recurso
Descrição
Recursos
removidos
• Receivers de alta disponibilidade.
• Terminal GUI.
• Capacidade de se comunicar com o dispositivo usando o protocolo SSH.
• No console do dispositivo, o shell principal é substituído por um menu de
gerenciamento de dispositivo.
Recursos
disponíveis
somente no
modo FIPS
• Há quatro funções de usuário que não se sobrepõem: Usuário, Usuário avançado, Auditoria
de admin e Admin de chave e certificado.
• Todas as páginas de Propriedades têm uma opção de Autoteste que permite verificar se
o sistema está funcionando corretamente no modo FIPS.
• Se houver falha de FIPS, será adicionado um sinalizador de status à árvore de
navegação de sistemas para refletir a falha.
• Todas as páginas de Propriedades têm a opção Exibir que, quando é clicada, abre a
página Token de identidade FIPS. Ela exibe um valor que precisa ser comparado ao valor
mostrado naquelas seções do documento, para garantir que o FIPS não foi
comprometido.
• Em Propriedades do sistema | Usuários e Grupos | Privilégios | Editar grupo, a página inclui o
privilégio Autoteste de criptografia do FIPS que concede aos membros do grupo a
autorização para executar autotestes do FIPS.
• Quando você clica em Importar chave ou Exportar chave em Propriedades de IPS | Gerenciamento
de chaves, é exibido um prompt para selecionar o tipo de chave que você deseja
importar ou exportar.
• Em Assistente para Adicionar dispositivo, o protocolo TCP é sempre definido como Porta 22.
A porta SSH pode ser alterada.
Selecione o modo FIPS
Ao efetuar logon pela primeira vez no sistema, você precisa indicar se deseja que o sistema opere no
modo FIPS. Depois que essa seleção for feita, não será possível alterá-la.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
A primeira vez que você entra no ESM:
a
No campo Nome do usuário, digite NGCP.
b
No campo Senha, digite security.4u.
Você será solicitado a alterar sua senha.
2
14
Insira e confirme a nova senha.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Guia de introdução
Sobre o modo FIPS
3
2
Na página Ativar FIPS, clique em Sim.
O aviso Ativar FIPS exibe informações de solicitação de confirmação se você deseja que o sistema
opere no modo FIPS permanentemente.
4
Clique em Sim para confirmar sua seleção.
Verificar integridade FIPS
Se você estiver operando no modo FIPS, o FIPS 140-2 exige que o teste de integridade do software
seja executado regularmente. Esse teste deve ser executado no sistema e em cada dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações
do sistema está selecionada.
2
Execute uma das ações a seguir.
No
campo...
Faça isto...
Status do
FIPS
Exiba os resultados dos autotestes de FIPS mais recentes executados no ESM.
Teste ou
Autoteste de
FIPS
Execute os autotestes de FIPS, que testam a integridade dos algoritmos usados no cripto-executável. Os
resultados podem ser exibidos no Registro de mensagens.
Se o autoteste de FIPS falhar, o FIPS for comprometido ou ocorrer falha no dispositivo. Entre em contato
com o Suporte da McAfee.
Exibir ou
Identidade
FIPS
Abra a página Token de identidade FIPS para executar o teste de integridade do software de inicialização.
Compare o valor abaixo com a chave pública que aparece nesta página:
Se este valor não corresponder ao da chave pública, o FIPS está comprometido. Entre em contato com o
Suporte da McAfee.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
15
2
Guia de introdução
Sobre o modo FIPS
Adicionar um dispositivo codificado ao modo FIPS
Há dois métodos no modo FIPS para adicionar um dispositivo que já tenha sido codificado a um ESM.
Essa terminologia e as extensões de arquivo são úteis durante esses processos.
Terminologia
•
Chave de dispositivo — Contém os direitos de gerenciamento que um ESM tem para um dispositivo e
não é usada para criptografia.
•
Chave pública — A chave de comunicação SSH pública do ESM, que é armazenada na tabela de
chaves autorizadas de um dispositivo.
•
Chave privada — A chave de comunicação SSH privada do ESM, que é usada pelo executável de SSH
em um ESM para estabelecer a conexão SSH com um dispositivo.
•
ESM primário — O ESM que foi originalmente usado para registrar o dispositivo.
•
ESM secundário — O ESM adicional que se comunica com o dispositivo.
Extensões de arquivo para arquivos de exportação diferentes
•
.exk — Contém a chave do dispositivo.
•
.puk — Contém a chave pública.
•
.prk — Contém a chave privada e a chave do dispositivo.
Backup e restauração das informações de um dispositivo no modo FIPS
Esse método é usado para fazer backup e restaurar informações de comunicação de um dispositivo no
ESM.
Seu uso principal é em caso de falha que exija a substituição do ESM. Se as informações de
comunicação não forem exportadas antes da falha, a comunicação com o dispositivo não poderá ser
restabelecida. Esse método exporta e importa o arquivo .prk.
A chave privada do ESM primário é usada pelo ESM secundário para estabelecer comunicação com o
dispositivo inicialmente. Quando a comunicação é estabelecida, o ESM secundário copia sua chave
pública para a tabela de chaves autorizadas do dispositivo. Em seguida, o ESM apaga a chave privada
do ESM primário e inicia a comunicação com seu próprio par de chaves públicas ou privadas.
16
McAfee Enterprise Security Manager 9.5.0
Guia de produto
2
Guia de introdução
Sobre o modo FIPS
Ação
Etapas
Exportar o
arquivo .prk do
ESM primário
1 Na árvore de navegação do ESM primário, selecione o dispositivo com as
informações de comunicação que deseja fazer backup e clique no ícone de
Propriedades.
2 Selecione Gerenciamento de chaves e clique em Exportar chave.
3 Selecione Backup da chave SSH privada e clique em Avançar.
4 Digite e confirme uma senha e defina a data de expiração.
Após a data de expiração, a pessoa que importa a chave não conseguirá
comunicar-se com o dispositivo até que outra chave seja exportada com uma
data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará
se for importada para outro ESM.
5 Clique em OK, selecione o local onde deseja salvar o arquivo .prk criado pelo ESM
e saia do ESM primário.
Adicionar um
dispositivo ao
ESM secundário
e importar o
arquivo .prk
1 Na árvore de navegação do sistema do dispositivo secundário, selecione o nó de
nível do sistema ou grupo ao qual deseja adicionar o dispositivo.
2 Na barra de ferramentas de ações, clique em Adicionar dispositivo.
3 Selecione o tipo de dispositivo que você deseja adicionar e clique em Avançar.
4 Insira um nome para o dispositivo que seja exclusivo no grupo e clique em
Avançar.
5 Insira o endereço IP de destino do dispositivo, insira a porta de comunicação do
FIPS e clique em Avançar.
6 Clique em Importar chave, navegue até o arquivo .prk exportado anteriormente e
clique em Fazer upload.
Digite a senha especificada quando essa senha foi exportada inicialmente.
7 Faça logoff do ESM secundário.
Ativar a comunicação com vários dispositivos ESM no modo FIPS
Você pode permitir que vários ESMs se comuniquem com o mesmo dispositivo exportando e
importando arquivos .puk e .exk.
Esse método usa dois processos de exportação e importação. Primeiro, o ESM primário é usado para
importar o arquivo .puk exportado do dispositivo ESM secundário e enviar a chave pública contida no
ESM secundário para o dispositivo, permitindo que os dois dispositivos ESM se comuniquem com o
dispositivo. Segundo, o arquivo .exk do dispositivo é exportado do ESM primário e importado para o
ESM secundário, concedendo ao ESM secundário a capacidade de se comunicar com o dispositivo.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
17
2
Guia de introdução
Sobre o modo FIPS
Ação
Etapas
Exportar o
arquivo .puk do
ESM secundário
1 Na página Propriedades do sistema do ESM secundário, selecione Gerenciamento de ESM.
2 Clique em Exportar SSH e selecione o local onde o arquivo .puk deverá ser salvo.
3 Clique em Salvar e saia.
Importar o
arquivo .puk para
o ESM primário
1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo
que deseja configurar.
2 Clique no ícone Propriedades e selecione Gerenciamento de chaves.
3 Clique em Gerenciar chaves SSH.
4 Clique em Importar, selecione o arquivo .puk e clique em Fazer upload.
5 Clique em OK e faça logoff do ESM primário.
Exportar o
arquivo .exk do
dispositivo do
ESM primário
1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo
que deseja configurar.
2 Clique no ícone Propriedades e selecione Gerenciamento de chaves.
3 Clique em Exportar chave, selecione a chave do dispositivo de backup e clique em
Avançar.
4 Digite e confirme uma senha e defina a data de expiração.
Após a data de expiração, a pessoa que importa a chave não conseguirá
comunicar-se com o dispositivo até que outra chave seja exportada com uma
data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará
se for importada para outro ESM.
5 Selecione os privilégios do arquivo .exk e clique em OK.
6 Selecione o local onde esse arquivo deverá ser salvo e faça logoff do ESM
primário.
Importar o
arquivo .exk para
o ESM secundário
1 Na árvore de navegação de sistemas do dispositivo secundário, selecione o nó
no nível de sistema ou de grupo ao qual você deseja adicionar o dispositivo.
2 Na barra de ferramentas de ações, clique em Adicionar dispositivo.
3 Selecione o tipo de dispositivo que deseja adicionar e clique em Avançar.
4 Insira um nome para o dispositivo que seja exclusivo a esse grupo e clique em
Avançar.
5 Clique em Importar chave e procure o arquivo .exk.
6 Clique em Fazer upload e insira a senha que foi especificada quando essa chave
foi inicialmente exportada.
7 Faça logoff do ESM secundário.
18
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Guia de introdução
Configuração avaliada por critérios comuns
2
Solução de problemas do modo FIPS
Podem surgir problemas durante a operação do ESM no modo FIPS.
Problema
Descrição e resolução
Não é possível
• Verifique o LCD na parte frontal do dispositivo. Se ele informar Falha de FIPS,
comunicar-se com o
entre em contato com o Suporte da McAfee.
ESM
• Verifique se há uma condição de erro na interface HTTP exibindo a página da
Web de autoteste de FIPS do ESM em um navegador.
Se um único dígito 0 for exibido, indicando que o dispositivo falhou em um
autoteste de FIPS, reinicialize o dispositivo ESM e tente corrigir o problema.
Se a condição de falha persistir, entre em contato com o Suporte para obter
mais instruções.
- Se um único dígito 1 for exibido, o problema de comunicação não está
relacionado à falha de FIPS. Entre em contato com o suporte para obter mais
etapas de solução de problemas.
Não é possível
• Se houver um sinalizador de status ao lado do nó do dispositivo na árvore de
comunicar-se com o
navegação do sistema, coloque o cursor sobre ele. Se ele informar Falha de
dispositivo
FIPS, entre em contato com o Suporte da McAfee no portal de suporte.
• Siga a descrição sob o problema Não é possível comunicar-se com o ESM.
Erro O arquivo é inválido Não é possível exportar uma chave de um dispositivo não FIPS e importá-la
ao adicionar um
para um dispositivo que estiver operando no modo FIPS. Além disso, não é
dispositivo
possível exportar uma chave de um dispositivo FIPS e importá-la para um
dispositivo não FIPS. Esse erro aparece na tentativa dos dois cenários.
Configuração avaliada por critérios comuns
O appliance McAfee deve ser instalado, configurado e operado de uma maneira específica para estar
em conformidade com as configurações avaliadas por critérios comuns. Mantenha esses requisitos em
mente ao configurar seu sistema.
Tipo
Requisitos
Físico
O appliance McAfee deve ser:
• Protegido contra modificações físicas não autorizadas.
• Localizado em instalações com acesso controlado, o que evita o acesso físico não
autorizado.
Uso
pretendido
O appliance McAfee deve:
• Ter acesso a todo o tráfego da rede para executar suas funções.
• Ser gerenciado para permitir alterações de endereço no tráfego da rede monitorado
pelo Destino de Avaliação (TOE).
• Ser dimensionado de acordo com o tráfego de rede monitorado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
19
2
Guia de introdução
Efetuar logon e logoff
Tipo
Requisitos
Funcionários
• Um ou mais indivíduos competentes devem gerenciar o appliance McAfee e a
segurança das informações nele contidas. Os engenheiros da McAfee fornecem
treinamento no local sobre a instalação, a configuração e sobre a operação do
appliance para todos os clientes da McAfee.
• Os administradores autorizados não devem ser descuidados, propositalmente
negligentes ou hostis, devendo seguir e cumprir as instruções fornecidas pela
documentação do appliance McAfee.
• O appliance McAfee só deve ser acessado por usuários autorizados.
• Os responsáveis pelo appliance McAfee devem garantir que todas as credenciais de
acesso sejam protegidas pelos usuários de maneira consistente com a segurança de
TI.
Outros
• Não aplique atualizações de software ao appliance McAfee, pois isso resultará em
uma configuração diferente da avaliada por critérios comuns. Entre em contato com
o Suporte da McAfee para obter uma atualização certificada.
• Em um dispositivo Nitro IPS, a ativação das configurações Temporizador de observação e
Forçar desvio na página Configurações da interface de rede resulta em uma configuração
diferente da avaliada por Critérios comuns.
• Em um dispositivo Nitro IPS, o uso de uma configuração de modo de excesso de
assinaturas diferente de descartar resultará em uma configuração diferente da
avaliada por Critérios comuns.
• Ativar o recurso Segurança de login com um servidor RADIUS resultará em uma
comunicação segura. O ambiente de TI oferece uma transmissão segura de dados
entre o TOE e entidades e origens externas. O servidor RADIUS pode fornecer
serviços de autenticação externa.
• O uso do recurso Smart Dashboard do console de firewall Check Point não faz parte do
TOE.
• O uso do Snort Barnyard não faz parte do TOE.
• O uso do cliente MEF não faz parte do TOE.
• O uso do sistema de tíquete do Remedy não faz parte do TOE.
Efetuar logon e logoff
Depois de instalar e configurar os dispositivos, você pode efetuar logon no console do ESM pela
primeira vez.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Abra um navegador da Web no computador cliente e vá para o endereço IP que você definiu ao
configurar a interface de rede.
2
Clique em Entrar, selecione o idioma para o console e digite a senha e o nome do usuário padrão.
3
20
•
Nome do usuário padrão: NGCP
•
Senha padrão: security.4u
Clique em Login, leia o Contrato de licença do usuário final e clique em Aceitar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
2
Guia de introdução
Personalizar a página de entrada
4
Altere o nome do usuário e a senha e clique em OK.
5
Selecione se deseja ativar o modo FIPS.
Se você precisar trabalhar no modo FIPS, será necessário ativá-lo na primeira vez que você entrar
no sistema para que todas as futuras operações com dispositivos da McAfee sejam feitas no modo
FIPS. Recomendamos que você não ative o modo FIPS se isso não for exigido. Para obter mais
informações, consulte Sobre o modo FIPS.
6
Siga as instruções para obter o nome do usuário e a senha, que são necessários para o acesso às
atualizações de regras.
7
Defina a configuração inicial do ESM:
a
Selecione o idioma que será usado para os registros do sistema.
b
Selecione o fuso horário no qual o ESM está e o formato de data a serem usados nesta conta, e
clique em Avançar.
c
Defina as configurações nas páginas do assistente de Configuração de ESM inicial. Clique no ícone
Mostrar ajuda
em cada página para obter instruções.
8
Clique em OK e nos links para obter ajuda sobre como começar ou para ver os novos recursos
disponíveis nesta versão do ESM.
9
Ao concluir a sessão de trabalho, saia usando um destes métodos:
•
Se nenhuma página estiver aberta, clique em logout na barra de navegação do sistema, no canto
superior direito do console.
•
Se houver páginas abertas, feche o navegador.
Consulte também
Sobre o modo FIPS na página 13
Personalizar a página de entrada
Você pode personalizar a página de entrada para adicionar texto, como políticas de segurança da
empresa ou um logotipo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Configurações personalizadas.
2
Siga um destes procedimentos:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
21
2
Guia de introdução
Atualizar software do ESM
Para...
Faça isto...
Adicionar texto
personalizado
1 Clique na caixa de texto na parte superior da página.
2 Digite o texto que deseja adicionar à página Login.
3 Selecione Incluir texto na tela de login.
Adicionar uma
1 Clique em Selecionar imagem.
imagem personalizada
2 Faça upload da imagem que deseja usar.
3 Selecione Incluir imagem na tela de login.
Caso ainda veja o logotipo antigo na página Login depois de fazer upload
de um novo logotipo personalizado, limpe o cache de seu navegador.
Excluir uma imagem
personalizada
Clique em Excluir imagem. O logotipo padrão é exibido.
Atualizar software do ESM
Acesse as atualizações de software a partir do servidor de atualizações ou de um engenheiro e faça
upload delas no ESM.
Para atualizar um ESM primário ou redundante, consulte Atualizar um ESM primário ou redundante.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Manutenção, clique em Atualizar ESM.
3
Selecione o arquivo que deseja usar para atualizar o ESM e clique em OK.
O ESM é reinicializado e todas as sessões atuais são desconectadas enquanto a atualização é
instalada.
Consulte também
Atualizar ESM primário ou redundante na página 200
Obter e adicionar credenciais de atualização de regra
O ESM fornece atualizações de políticas, analisadores e regras como parte do seu contrato de
manutenção. Você tem 30 dias de acesso antes de solicitar suas credenciais permanentes.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
22
Obtenha suas credenciais enviando uma mensagem de e-mail para Licensing@McAfee.com
incluindo as seguintes informações:
•
Número de concessão da McAfee
•
Nome da conta
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Guia de introdução
Verificar atualizações de regras
•
Endereço
•
Nome de contato
•
Endereço de e-mail de contato
2
2
Ao receber seu ID de cliente e senha da McAfee, selecione Propriedades do sistema | Informações do sistema
| Atualização de regras na árvore de navegação do sistema.
3
Clique em Credenciais e digite a ID de cliente e senha.
4
Clique em Validar.
Verificar atualizações de regras
As assinaturas de regra usadas pelo IPS do Nitro para examinar o tráfego de rede são continuamente
atualizadas pela Equipe de assinatura da McAfee e estão disponíveis para download no servidor central
da McAfee. As atualizações de regras podem ser recuperadas automática ou manualmente.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema
está selecionado.
2
No campo Atualizações de regras, verifique se a sua licença não expirou.
Se a sua licença tiver expirado, consulte Obter e adicionar credenciais de atualização de regra.
3
Se sua licença for válida, clique em Atualização de regras.
4
Selecione uma destas opções:
5
•
Intervalo de verificação automática para configurar o sistema para que verifique atualizações
automaticamente com a frequência que você selecionar
•
Verificar agora para verificar atualizações agora
•
Atualização manual para atualizar as regras de um arquivo local
Clique em OK.
Consulte também
Obter e adicionar credenciais de atualização de regra na página 22
Alterar o idioma dos registros de eventos
Quando você efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registros
de eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos.
Você pode alterar essa configuração de idioma.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Gerenciamento de ESM.
2
Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
23
2
Guia de introdução
Conexão de dispositivos
Conexão de dispositivos
Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real,
monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos
e geração de relatórios de conformidade.
À medida que aumentar o número de dispositivos no sistema, organize-os de forma lógica. Por
exemplo, se você tiver escritórios em vários locais, exiba os dispositivos de acordo com a zona em que
se encontram. Você pode usar as exibições pré-definidas e também criar exibições personalizadas.
Para melhor organizar os dispositivos, agrupe-os em cada exibição personalizada.
Conteúdo
Adicionar dispositivos ao console do ESM
Selecione um tipo de exibição
Gerenciar tipos de exibição personalizadas
Gerenciar um grupo em um tipo de exibição personalizada
Excluir um grupo ou um dispositivo
Excluir dispositivos duplicados na árvore de navegação do sistema
Adicionar dispositivos ao console do ESM
Após configurar e instalar dispositivos físicos e virtuais, você deve adicioná-los ao console do ESM.
Antes de iniciar
Configure e instale os dispositivos (consulte o Guia de Instalação do McAfee Enterprise
Security Manager.
Tarefa
1
2
Na árvore do sistema de navegação, clique em ESM local ou em um grupo.
Na barra de ferramentas de ações, clique no ícone Adicionar dispositivo
.
3
Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.
4
No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar.
5
Forneça as informações solicitadas:
•
Para dispositivos do McAfee ePO — Selecione um Receiver, digite as credenciais necessárias para
entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas para
comunicação com o banco de dados.
Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome do
usuário e senha para o dispositivo.
•
6
24
Para todos os outros dispositivos — Digite o URL ou o endereço IP de destino do dispositivo e
um número de porta SSH de destino que seja válido para ser usado com o endereço IP.
Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em
Avançar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
2
Guia de introdução
Conexão de dispositivos
7
Se você tiver uma chave que deseja importar, selecione Importar chave (não disponível no dispositivo
ELM ou Receiver/Log Manager Combo). Caso contrário, clique em Codificar dispositivo.
As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x não reconhecem o
modelo de comunicação do 8.4.0. Ao fazer upgrade, você foi solicitado a recodificar o dispositivo.
Para ter acesso a dispositivos em versões 9.0.0 ou posteriores, é necessário exportar novamente a
chave desse dispositivo de um ESM de versão 8.5.0 ou posterior. Certifique-se de definir todos os
privilégios necessários para o dispositivo, como o privilégio Configurar dispositivos virtuais.
8
Digite uma senha para esse dispositivo e clique em Avançar.
O ESM testa a comunicação do dispositivo e informa o status da conexão.
Selecione um tipo de exibição
Selecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema.
Antes de iniciar
Para selecionar uma exibição personalizada, você deve primeiro adicioná-la ao sistema
(consulte Gerenciar tipos de exibição personalizadas).
Tarefa
1
No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição.
2
Selecione um dos tipos de exibição.
A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado
para a sessão atual de trabalho.
Gerenciar tipos de exibição personalizadas
É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam
organizados ao adicionar, editar ou excluir tipos de exibições personalizadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de navegação do sistema, clique na seta suspensa de tipo de exibição.
2
Siga um destes procedimentos:
Para...
Faça isto...
Adicionar um tipo de exibição
personalizado
1 Clique em Adicionar exibição.
Editar tipo de exibição
personalizado
1
2 Preencha os campos e clique em OK.
Clique no ícone Editar
editar.
ao lado do tipo de exibição que deseja
2 Altere as configurações e clique em OK.
Excluir um tipo de exibição
personalizado
McAfee Enterprise Security Manager 9.5.0
Clique no ícone Excluir
excluir.
ao lado do tipo de exibição que deseja
Guia de produto
25
2
Guia de introdução
Conexão de dispositivos
Gerenciar um grupo em um tipo de exibição personalizada
É possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em
agrupamentos lógicos.
Antes de iniciar
Adicione um tipo de exibição personalizada (consulte Gerenciar tipos de exibição
personalizada).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione a exibição personalizada e siga um destes procedimentos:
Para...
Faça isto...
Adicionar um
novo grupo
1
Clique em um sistema ou nó de grupo e clique no ícone Adicionar grupo
barra de ferramentas de ações.
na
2 Preencha os campos e clique em OK.
3 Arraste e solte os dispositivos na exibição para adicioná-los ao grupo.
Se o dispositivo fizer parte de uma árvore na exibição, um nó duplicado de
dispositivo será criado. Em seguida, você pode excluir a duplicação na árvore de
sistemas.
Editar grupo
Excluir grupo
Selecione o grupo, clique no ícone Propriedades
Propriedades do grupo.
e faça alterações na página
Selecione o grupo e clique no ícone Excluir grupo
. O grupo e os dispositivos
contidos nele são excluídos da exibição personalizada. Os dispositivos não são
excluídos do sistema.
Consulte também
Gerenciar tipos de exibição personalizadas na página 25
Excluir um grupo ou um dispositivo
Quando um dispositivo não fizer mais parte do sistema ou um grupo não for mais usado, os exclua da
árvore de navegação do sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, destaque o dispositivo ou grupo que deseja excluir e clique no
ícone Excluir na barra de ferramentas ações.
2
Quando for solicitado a confirmar, clique em OK.
Excluir dispositivos duplicados na árvore de navegação do
sistema
Nós de dispositivo duplicados podem aparecer na árvore de navegação do sistema quando você
arrasta e solta dispositivos de uma árvore de sistemas para um grupo ou quando você tem grupos
26
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Guia de introdução
Preferências do console
2
configurados e faz upgrade do software do ESM. Recomendamos que você o exclua para evitar
confusão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione o ícone Editar
3
Desmarque os dispositivos duplicados e clique em OK.
ao lado da exibição que inclui os dispositivos duplicados.
Os dispositivos que estavam duplicados agora estão listados somente em seus grupos atribuídos.
Preferências do console
Você pode personalizar diversos recursos no console do ESM alterando o tema de cores, o formato de
data e hora, o valor do tempo limite e várias configurações padrão. Também é possível configurar as
credenciais do McAfee ePolicy Orchestrator (McAfee ePO ) .
®
®
™
O console do ESM
O console do ESM permite visibilidade em tempo real para a atividade nos seus dispositivos, bem
como acesso rápido a notificações de alarme e casos atribuídos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
27
2
Guia de introdução
Preferências do console
1
Barra de navegação do sistema para funções de configuração geral.
2
Ícones para acessar páginas usadas com frequência.
3
Barra de ferramentas de ações para selecionar as funções necessárias à configuração de cada
dispositivo.
4
Painel de navegação do sistema para exibir os dispositivos do sistema.
5
Painel de casos e alarmes para exibir as notificações de alarme e casos abertos atribuídos.
6
Painel de exibições para consultar dados de eventos, fluxos e registros.
7
Barra de ferramentas de exibição para criar, editar e gerenciar exibições.
8
Painel de filtros para aplicar filtros a exibições de dados com base em eventos ou fluxos.
Trabalhar com o tema de cores do console
Personalize o console do ESM selecionando um tema de cores existente ou criando o seu próprio tema.
Você também pode editar ou excluir temas de cores personalizados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do sistema do console do ESM, clique em opções.
2
Selecione um tema de cores existente ou adicione, edite ou remova um tema personalizado.
3
Se você clicar em Adicionar ou Editar, selecione as cores do tema personalizado e clique em OK.
Se você adicionou um novo tema, uma amostra das cores será adicionada à seção Selecionar um tema.
4
Clique em OK para salvar suas configurações.
Selecione as configurações de exibição do console
Defina as configurações padrão para as exibições no console do ESM.
Nessa página, você pode definir o sistema para fazer isto:
•
Atualizar os dados automaticamente em um modo de exibição aberto
•
Alterar as exibições que são abertas automaticamente quando o sistema é iniciado
•
Alterar as exibições que são abertas quando você seleciona Resumir em um evento ou exibição de
fluxo
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do sistema do console do ESM, clique em opções.
2
Na página Exibições, selecione as preferências e clique em OK.
Defina o valor de tempo limite do console
A sessão atual do console do ESM permanecerá aberta enquanto estiver em atividade. Defina por
quanto tempo pode não haver atividade antes que a sessão seja encerrada.
28
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Guia de introdução
Preferências do console
2
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Segurança de login.
2
Em Valor de tempo limite da interface do usuário, selecione quantos minutos devem passar sem atividades e
clique em OK.
Se você selecionar zero (0), o console permanecerá aberto indefinidamente.
Selecione configurações do usuário
A página Configurações do usuário possibilita a alteração de várias configurações padrão. Você pode alterar
o fuso horário, o formato de data, a senha, a exibição padrão e o idioma do console. Você também
pode escolher se deseja ou não mostrar origens de dados desativadas, a guia Alarmes e a guia Casos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do sistema do console ESM, clique em opções.
2
Verifique se a opção Configurações do usuário foi selecionada.
3
Altere as configurações conforme o necessário e clique em OK.
A aparência do console é alterada com base nas suas configurações.
Configurar credenciais de usuário para o McAfee ePO
É possível limitar o acesso a um dispositivo McAfee ePO configurando credenciais de usuário.
Antes de iniciar
O dispositivo McAfee ePO não deve ser configurado para requerer autenticação de usuário
global (consulte Configurar autenticação de usuário global).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação de sistemas do console do ESM, clique em opções e selecione Credenciais do
ePO.
2
Clique no dispositivo e em Editar.
Se na coluna de status do dispositivo constar Não obrigatório, o dispositivo será definido para
autenticação de usuário global. É possível alterar o status do dispositivo na página Conexão (consulte
Alterar a conexão com o ESM).
3
Digite o nome do usuário e a senha, teste a conexão e clique em OK.
Para acessar o dispositivo, os usuários precisam do nome do usuário e da senha que foram
adicionados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
29
2
Guia de introdução
Preferências do console
30
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
O ESM administra dados, definições, atualizações e configurações. Ele se comunica com vários
dispositivos simultaneamente. Ao criar o ambiente do ESM, considere cuidadosamente as
necessidades da sua organização e os objetivos de conformidade para dar suporte ao ciclo de vida do
gerenciamento de segurança da sua organização.
Conteúdo
Gerenciamento de dispositivos
Configuração de dispositivos
Configuração de serviços auxiliares
Gerenciamento do banco de dados
Trabalhar com usuários e grupos
Backup e restauração das configurações do sistema
Gerenciamento do ESM
Uso de uma lista negra global
O que é enriquecimento de dados
Gerenciamento de dispositivos
O painel de navegação do sistema lista os dispositivos adicionados ao sistema. É possível executar
funções em um ou mais dispositivos e organizá-los conforme o necessário. Você também pode exibir
McAfee Enterprise Security Manager 9.5.0
Guia de produto
31
3
Configuração do ESM
Gerenciamento de dispositivos
relatórios de status de integridade quando os sistemas forem sinalizados, a fim de resolver problemas
existentes.
Tabela 3-1 Definições de recursos
Esse recurso...
Permite...
1 Barra de ferramentas de
ações
Selecione uma ação a ser executada nos dispositivos da árvore de
navegação do sistema.
Ícone de propriedades
Definir configurações do sistema ou dispositivo selecionado na árvore
de navegação do sistema.
Adicionar ícone dos
Adicionar dispositivos à árvore de navegação do sistema.
dispositivos
Sinalizadores de status de
Exibir alertas de status do dispositivo.
integridade
Gerenciamento de vários
dispositivos
Obter eventos e fluxos
Excluir um dispositivo
Atualizar
32
Iniciar, interromper, reiniciar e atualizar vários dispositivos
individualmente.
Recuperar eventos e fluxos para dispositivos selecionados.
Excluir o dispositivo selecionado.
Atualizar os dados de todos os dispositivos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Gerenciamento de dispositivos
3
Tabela 3-1 Definições de recursos (continuação)
Esse recurso...
Permite...
2 Tipo de exibição
Selecione o modo como deseja organizar os dispositivos na árvore. O
ESM vem com três tipos predefinidos:
• Exibição física — Lista dispositivos por hierarquia. O primeiro
nível é formado pelos nós do sistema (Exibição física, ESM local e
dispositivo base do ESM local). O segundo nível é formado por
dispositivos individuais, e todos os outros níveis são formados pelas
origens que você adicionou aos dispositivos (origem de dados,
dispositivo virtual, entre outros). Os dispositivos base são
adicionados automaticamente no ESM local, origem de dados,
dispositivo virtual e nós do servidor do banco de dados. Eles têm
ícones esmaecidos e ficam entre parênteses.
• Exibição do tipo de dispositivo — Agrupa os dispositivos por tipo
de dispositivo (Nitro IPS, ADM, DEM).
• Exibição de zona — Organiza os dispositivos por zona, definidos
usando o recurso Gerenciamento de zonas.
Também é possível adicionar tipos de exibição personalizados
(consulte Organização de dispositivos).
3 Pesquisa rápida
Faça uma pesquisa rápida por um dispositivo na árvore de navegação
do sistema.
4 Árvore de navegação do
sistema
Exibir os dispositivos do sistema.
Consulte também
Organização de dispositivos na página 37
Relatórios de status de integridade do dispositivo na página 54
Gerenciar vários dispositivos na página 52
Exibir estatísticas de dispositivo
Exiba a CPU específica de um dispositivo, memória, fila ou outros detalhes específicos dele.
Antes de iniciar
Verifique se você tem a permissão de Gerenciamento de dispositivos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo relevante e clique no ícone
Propriedades
.
2
Navegue nas opções e guias até encontrar Exibir estatísticas.
3
Clique em Exibir estatísticas.
Um gráfico que é atualizado a cada 10 minutos exibe estatísticas desse dispositivo. O tipo de
métrica. A exibição de dados requer no mínimo 30 minutos de dados. Cada tipo de métrica contém
várias métricas, algumas delas são ativadas por padrão. Clique em Exibido para ativar as métricas. A
quarta coluna indica a escala da métrica correspondente.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
33
3
Configuração do ESM
Gerenciamento de dispositivos
Adicionar dispositivos ao console do ESM
Após configurar e instalar dispositivos físicos e virtuais, você deve adicioná-los ao console do ESM.
Antes de iniciar
Configure e instale os dispositivos (consulte o Guia de Instalação do McAfee Enterprise
Security Manager.
Tarefa
1
2
Na árvore do sistema de navegação, clique em ESM local ou em um grupo.
Na barra de ferramentas de ações, clique no ícone Adicionar dispositivo
.
3
Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.
4
No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar.
5
Forneça as informações solicitadas:
•
Para dispositivos do McAfee ePO — Selecione um Receiver, digite as credenciais necessárias para
entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas para
comunicação com o banco de dados.
Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome do
usuário e senha para o dispositivo.
•
Para todos os outros dispositivos — Digite o URL ou o endereço IP de destino do dispositivo e
um número de porta SSH de destino que seja válido para ser usado com o endereço IP.
6
Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em
Avançar.
7
Se você tiver uma chave que deseja importar, selecione Importar chave (não disponível no dispositivo
ELM ou Receiver/Log Manager Combo). Caso contrário, clique em Codificar dispositivo.
As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x não reconhecem o
modelo de comunicação do 8.4.0. Ao fazer upgrade, você foi solicitado a recodificar o dispositivo.
Para ter acesso a dispositivos em versões 9.0.0 ou posteriores, é necessário exportar novamente a
chave desse dispositivo de um ESM de versão 8.5.0 ou posterior. Certifique-se de definir todos os
privilégios necessários para o dispositivo, como o privilégio Configurar dispositivos virtuais.
8
Digite uma senha para esse dispositivo e clique em Avançar.
O ESM testa a comunicação do dispositivo e informa o status da conexão.
Sobre chaves de dispositivo
Para que o ESM se comunique com um dispositivo, ele precisa criptografar todas as comunicações
usando a chave criada quando o dispositivo é codificado.
É recomendável exportar todas as chaves para um arquivo alternativo e criptografado por senha. Em
seguida, elas podem ser importadas para restaurar a comunicação com o dispositivo no caso de uma
emergência ou para exportar a chave para outro dispositivo.
Todas as configurações são armazenadas no ESM, o que significa que o console do ESM tem
conhecimento das chaves mantidas no ESM e não precisa importar a chave de um dispositivo se o
ESM já estiver se comunicando bem com o dispositivo.
34
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Por exemplo, você pode fazer backup das configurações (o que inclui as chaves do dispositivo) na
segunda-feira, e recodificar um dos dispositivos na terça-feira. Se, na quarta-feira, você perceber que
precisava ter restaurado as configurações de segunda-feira, importe a chave criada na terça-feira
depois que a restauração das configurações estiver concluída. Embora a restauração reverta a chave
do dispositivo ao estado de segunda-feira, o dispositivo ainda escuta somente o tráfego codificado
com a chave de terça-feira. Essa chave precisa ser importada antes que a comunicação com o
dispositivo seja possível.
Recomendamos não importar uma chave de dispositivo para um ESM separado. Para as funções de
direito de gerenciamento do dispositivo, a chave de exportação é usada para reinstalar um dispositivo
no ESM que o gerencia. Se você importar um dispositivo para um segundo ESM, vários recursos do
dispositivo não poderão ser utilizados, inclusive o gerenciamento de políticas, o registro e
gerenciamento do ELM e as configurações de dispositivo virtual e origem de dados. Os
administradores de dispositivos podem sobrescrever as configurações nos dispositivos usando outro
ESM. É recomendável utilizar um único ESM para gerenciar os dispositivos conectados a ele. Um DESM
pode lidar com a coleta de dados dos dispositivos conectados a outro ESM.
Codificar um dispositivo
Depois de adicionar um dispositivo ao ESM, é preciso codificá-lo para possibilitar a comunicação. A
codificação protege o dispositivo, pois ignora todas as fontes externas de comunicação.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Clique em Gerenciamento de chaves | Codificar dispositivo.
Se o dispositivo tiver uma conexão estabelecida e puder se comunicar com o ESM, o Assistente de
atribuição de chave será aberto.
3
Digite uma nova senha para o dispositivo e clique em Avançar.
4
Clique em Exportar chave e preencha a página Exportar chave ou clique em Finalizar se não pretende
exportar nesse momento.
Exportar uma chave
Depois de codificar um dispositivo, exporte a chave para um arquivo.
Se o sistema estiver operando no modo FIPS, não siga este procedimento. Consulte Adicionar um
dispositivo codificado ao modo FIPS para ver o processo correto.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Clique em Gerenciamento de chaves | Exportar chave.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
35
3
Configuração do ESM
Gerenciamento de dispositivos
3
Defina as configurações na página Exportar chave e clique em OK.
O ESM cria o arquivo da chave de exportação e pergunta se deseja exportá-lo.
4
Clique em Sim e selecione onde deseja salvar o arquivo.
É recomendável exportar uma cópia de backup pessoal da chave do dispositivo que esteja definida
como Nunca expira e inclua todos os privilégios.
Importar uma chave
Importe uma chave para restaurar as configurações anteriores do ESM ou para usá-la em outro
console do ESM ou console de legado.
Se a versão deste dispositivo for 9.0 ou posterior, você somente poderá importar uma chave de um ESM
que seja da versão 8.5 ou posterior.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Gerenciamento de chaves | Importar chave.
3
Localize e selecione o arquivo de chave salvo.
4
Clique em Fazer upload e digite a senha que foi definida quando a chave foi exportada.
.
Quando a chave é importada corretamente, uma página exibe o status.
Gerenciar chaves SSH
Os dispositivos podem ter chaves de comunicação SSH para os sistemas com os quais precisam se
comunicar com segurança. É possível interromper a comunicação com esses sistemas excluindo a
chave.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
Clique em Gerenciamento de chaves e em Gerenciar chaves SSH.
A página Gerenciar chaves SSH contém os IDs do ESM com o qual o dispositivo se comunica.
36
3
Realce o ID e clique em Excluir para interromper a comunicação com um dos sistemas da lista.
4
Confirme a exclusão e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
3
Configuração do ESM
Gerenciamento de dispositivos
Atualizar o software em um dispositivo
Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a
partir de um arquivo no ESM ou no computador local.
Antes de iniciar
Se você já tiver o sistema há mais de 30 dias, deverá obter e instalar suas credenciais
permanentes para ter acesso às atualizações (consulte Obter e adicionar credenciais de
atualização de regra).
Se for necessário cumprir com os Critérios Comuns e normas FIPS, não atualize o ESM
dessa forma. Ligue para o suporte da McAfee para obter uma atualização certificada.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Gerenciamento do dispositivo Atualizar dispositivo.
3
Selecione uma atualização na tabela ou clique em Procurar para localizá-la no sistema local.
.
O dispositivo é reiniciado com a versão de software atualizada.
Organização de dispositivos
A árvore de navegação de sistemas lista os dispositivos do sistema. Você pode selecionar o modo
como eles devem ser exibidos usando o recurso de tipo de exibição.
À medida que aumenta o número de dispositivos no sistema, é útil organizá-los de maneira lógica,
para que você possa encontrar aqueles de que necessita para trabalhar. Por exemplo, se você tiver
escritórios em vários locais, será melhor exibi-los de acordo com a zona onde se encontram.
Use as três exibições predefinidas para criar exibições personalizadas. Adicione grupos a cada exibição
personalizada para organizar melhor os dispositivos.
Configurar controle de tráfego de rede em um dispositivo
Defina um valor de saída de dados máximo para dispositivos DEM, Receiver, ACE, ELM, Nitro IPS e
ADM.
Esse recursos é útil quando há restrições de banda larga e você precisa controlar a quantidade de
dados que pode ser enviada por cada um desses dispositivos. As opções são Kb (quilobits), Mb
(megabits) e Gb (gigabits) por segundo.
Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de
dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades
.
Clique na opção Configuração do dispositivo, em Interfaces e na guia Tráfego.
A tabela listará os controles existentes.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
37
3
Configuração do ESM
Gerenciamento de dispositivos
3
Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e
máscara, defina a taxa e clique em OK.
Se você definir a máscara como zero (0), todos os dados enviados serão controlados.
4
Clique em Aplicar.
A velocidade do tráfego de saída do endereço de rede especificado é controlada.
Configuração do dispositivo
A página Configuração para cada dispositivo fornece opções para a definição de configurações do
dispositivo, como interface de rede, notificações de SNMP, configurações de NTP e registro do ELM.
Configurar interfaces de rede
Configurações de interface determinam como o ESM se conecta com o dispositivo. Você deve defini-las
para cada dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique na opção Configuração do dispositivo e depois em Interfaces.
3
Insira os dados conforme solicitado e clique em Aplicar.
.
Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que
as alterações são aplicadas, o dispositivo é reinicializado, o que causa a perda de todas as sessões.
Gerenciamento de interfaces de rede
A comunicação com um dispositivo pode ocorrer utilizando-se interfaces públicas e privadas dos
caminhos de tráfego. Isso significa que o dispositivo estará invisível na rede, já que não requer um
endereço IP.
Interface de gerenciamento
Alternadamente, administradores de rede podem configurar uma interface de gerenciamento com um
endereço IP para comunicação entre o ESM e o dispositivo. Estes recursos de dispositivo requerem o
uso de uma interface de gerenciamento:
•
Controle total de cartões de rede de desvio
•
Uso de sincronização de hora NTP
•
Syslog gerado pelo dispositivo
•
Notificações SNMP
Os dispositivos são equipados com pelo menos uma interface de gerenciamento, o que fornece ao
dispositivo um endereço IP. Com um endereço IP, o dispositivo pode ser acessado diretamente pelo
ESM sem o direcionamento da comunicação para outro nome do host ou endereço IP de destino.
Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a
rede pública e sua segurança pode ser comprometida.
38
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Para um dispositivo em execução no modo Nitro IPS, deve haver duas interfaces para cada caminho
de tráfego de rede. Para o modo de detecção de intrusão, deve haver um mínimo de duas interfaces
de rede no dispositivo. Você pode configurar mais de uma interface de rede de gerenciamento no
dispositivo.
Placa de rede de desvio
Um dispositivo no modo de desvio permite a passagem de todo o tráfego, inclusive tráfego malicioso.
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, duas no Nitro IPS e em outro dispositivo) com as mesmas configurações; do contrário,
você poderá ter um problema de negociação no modo de desvio (consulte Configurar placas de rede
de desvio).
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
Adicionar rotas estáticas
Uma rota estática é um conjunto de instruções sobre como acessar um host ou uma rede que não
esteja disponível pelo gateway padrão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | Interfaces.
3
Ao lado da tabela Rotas estáticas, clique em Adicionar.
4
Insira as informações e clique em OK.
.
Placa de rede de desvio
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, no IPS Nitro e outro dispositivo) para as mesmas configurações; do contrário, você
pode ter um problema de negociação no modo de desvio.
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
39
3
Configuração do ESM
Gerenciamento de dispositivos
Configurar placas de rede de desvio
Nos dispositivos IPS, é possível definir as configurações de placa de rede de desvio para permitir a
passagem de todo o tráfego.
Os dispositivos ADM e DEM estão sempre no modo IDS. É possível exibir o tipo e o status da placa de
rede de desvio, mas não é possível alterar suas configurações.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
2
Clique em Configuração | Interfaces.
3
Na página Configurações da interface de rede, vá para a seção Configuração de placa de rede de desvio, na parte
inferior.
4
Exiba o tipo e o status ou, em um IPS, altere as configurações.
5
Clique em OK.
Adicionar VLANs e aliases
Adicione redes locais virtuais (VLANs) e aliases (pares atribuídos de endereço IP e máscara de rede
que são adicionados se houver um dispositivo de rede com mais de um endereço IP) a uma interface
ACE ou ELM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração do dispositivo, clique em Interfaces e em Avançada.
3
Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK.
4
Selecione a VLAN para a qual deseja adicionar o alias e clique em Adicionar alias.
5
Insira as informações solicitadas e clique em OK.
.
Configurar notificações SNMP
Para configurar notificações de SNMP geradas pelo dispositivo, é necessário definir quais
interceptações de SNMP deverão ser enviadas e seus destinos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | SNMP.
3
Defina as configurações e clique em OK.
Configurar NTP em um dispositivo
Sincronize a hora do dispositivo com o ESM usando um servidor NTP (Network Time Protocol).
40
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
3
Configuração do ESM
Gerenciamento de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | NTP.
3
Preencha as informações solicitadas e clique em OK.
.
Tarefas
•
Exibir o status dos servidores NTP na página 166
Exiba o status de todos os servidores NTP no ESM.
Sincronizar dispositivo com o ESM
Se você precisar substituir o seu ESM, importe a chave para cada dispositivo para restaurar as
configurações. Se você não tiver um backup do banco de dados atual, deve também sincronizar as
configurações da origem de dados, do dispositivo virtual e do servidor de banco de dados com o ESM
para que eles possam retomar o pull de eventos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | Sincronizar dispositivo.
3
Quando a sincronização for concluída, clique em OK.
.
Configurar a comunicação com o ELM
Se você estiver enviando os dados deste dispositivo para o ELM, IP do ELM e Sincronizar ELM aparecerão na
página Configuração do dispositivo, permitindo que você atualize o endereço IP e sincronize o ELM com o
dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Clique em Configuração e execute uma das seguintes ações:
Clique em... Para fazer isto...
IP do ELM
Atualizar o endereço IP para o ELM com o qual o dispositivo está vinculado. Você
deve fazer isto caso altere o endereço IP para o ELM ou a interface de
gerenciamento do ELM pela qual o dispositivo se comunica com o ELM.
Sincronizar ELM Sincronize o ELM com o dispositivo caso um deles tenha sido substituído. Quando
você usa este recurso, a comunicação SSH entre os dois dispositivos é
restabelecida usando a chave para o novo dispositivo com as configurações
anteriores.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
41
3
Configuração do ESM
Gerenciamento de dispositivos
Definir linha de registro padrão
Se você possui um dispositivo ELM em seu sistema, é possível configurar um dispositivo para que os
dados de evento que ele receber sejam enviados para o dispositivo ELM. Para fazer isso, você deve
configurar a lista de registro padrão.
O dispositivo não envia um evento ao ELM até que seu período de agregação tenha expirado.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | Log.
3
Faça as seleções apropriadas nas páginas que serão abertas.
.
Você será informado quando o registro de dados do dispositivo para o ELM estiver ativado.
Configurações e informações gerais sobre dispositivo
Cada dispositivo tem uma página com informações gerais sobre o dispositivo, como o número de série
e a versão do software. Também é possível definir configurações para o dispositivo, como a seleção da
zona e a sincronização do relógio.
Exibir os registros de mensagens e as estatísticas do dispositivo
Você pode exibir as mensagens geradas pelo sistema, exibir estatísticas sobre o desempenho do
dispositivo ou fazer download de um arquivo .tgz que contenha informações sobre o status do
dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Clique em Gerenciamento de dispositivos e selecione uma das seguintes opções:
Opção
Descrição
Exibir registro
Clique para exibir mensagens que foram registradas pelo sistema. Clique em
Fazer download de todo o arquivo para fazer download dos dados em um arquivo.
Exibir estatísticas
Clique para exibir estatísticas sobre o desempenho do dispositivo, como
interface da ethernet, ifconfig e filtro iptables.
Dados do dispositivo Clique para fazer download de um arquivo .tgz que contém dados sobre o status
do dispositivo. Você pode usar quando estiver trabalhando com o suporte da
McAfee para resolver um problema do sistema.
42
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Atualizar o software em um dispositivo
Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a
partir de um arquivo no ESM ou no computador local.
Antes de iniciar
Se você já tiver o sistema há mais de 30 dias, deverá obter e instalar suas credenciais
permanentes para ter acesso às atualizações (consulte Obter e adicionar credenciais de
atualização de regra).
Se for necessário cumprir com os Critérios Comuns e normas FIPS, não atualize o ESM
dessa forma. Ligue para o suporte da McAfee para obter uma atualização certificada.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Gerenciamento do dispositivo Atualizar dispositivo.
3
Selecione uma atualização na tabela ou clique em Procurar para localizá-la no sistema local.
.
O dispositivo é reiniciado com a versão de software atualizada.
Inserir comandos do Linux em um dispositivo
Use a opção Terminal para inserir comandos do Linux em um dispositivo. Este recurso é recomendável
para usuários avançados e deve ser usado seguindo as orientações da equipe de suporte da McAfee
em situações de emergência.
Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Gerenciamento do dispositivo Terminal.
3
Insira a senha do sistema e clique em OK.
4
Insira os comandos do Linux, exporte o arquivo ou transfira os arquivos.
5
Clique em Fechar.
.
Conceder acesso ao sistema
Quando você faz uma chamada de suporte para a McAfee, pode ser necessário permitir o acesso do
engenheiro do suporte técnico ao seu sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Clique em Gerenciamento do dispositivo Conectar.
O botão muda para Desconectar e seu endereço IP é fornecido.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
43
3
Configuração do ESM
Gerenciamento de dispositivos
3
Informe o endereço IP ao engenheiro de suporte técnico.
Você talvez tenha que fornecer informações adicionais, como a senha.
4
Clique em Desconectar para encerrar a conexão.
Monitorar tráfego
Se precisar monitorar o tráfego que flui em um dispositivo DEM, ADM ou IPS, você poderá usar a
Descarga do TCP para fazer download de uma instância do programa Linux em execução no dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Gerenciamento do dispositivo.
3
Na seção Descarga do TCP da página, siga os procedimentos para fazer download da instância.
.
Exibir informações do dispositivo
Exibir informações gerais sobre um dispositivo. Abra a página Informações do dispositivo para ver ID do
sistema, número de série, modelo, versão, compilação, e mais informações.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Exiba as informações disponíveis e clique em OK.
Iniciar, interromper, reinicializar ou atualizar um dispositivo
Iniciar, interromper, reinicializar ou atualizar um dispositivo na página Informações.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
Verifique se a opção Informações do dispositivo está marcada e clique em Iniciar, Interromper, Reinicializar
ou Atualizar.
Alterar o nome do dispositivo
Ao adicionar um dispositivo à árvore de sistemas, nomeie-o e esse nome será exibido na árvore. Esse
nome, o nome do sistema, o URL e a descrição podem ser alterados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
44
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Nome e descrição, altere o nome, o nome do sistema, o URL e a descrição ou exiba o
número de ID de dispositivo.
3
Clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
3
Configuração do ESM
Gerenciamento de dispositivos
Adicionar link de URL
Para exibir informações do dispositivo em um URL, é possível configurar o link na página Nome e
descrição de cada dispositivo. Quando adicionado, o link pode ser acessado nas exibições Análise de evento
e Análise de fluxo de cada dispositivo clicando no ícone Abrir URL do dispositivo,
inferior dos componentes da exibição.
localizado na parte
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Nome e descrição e digite o URL.
3
Clique em OK para salvar as alterações.
.
Alterar a conexão com o ESM
Ao adicionar um dispositivo ao ESM, configure a conexão do dispositivo com o ESM. É possível alterar
o endereço IP e a porta, desativar a comunicação SSH e verificar o status da conexão.
A alteração dessas configurações não afeta o dispositivo. Ela afeta somente a maneira como o ESM se
comunica com o dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Conexão e faça as alterações.
3
Clique em Aplicar.
.
Eventos, fluxos e registros
Os dispositivos de IPS, ADM e Receptores coletam eventos, fluxos e logs. Os dispositivos de ACE e
DEM coletam eventos e logs. Os dispositivos de ELM coletam logs. Defina cada dispositivo para
verificá-lo manual ou automaticamente. Além disso, é possível agregar os eventos ou fluxos gerados
por um dispositivo.
Configurar downloads de eventos, fluxos e registros
Verifique eventos, fluxos e registros manualmente ou defina o dispositivo para verificá-los
automaticamente.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Eventos, fluxos e logs, Eventos e logs ou Logs.
3
Configure os downloads e clique em Aplicar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
45
3
Configuração do ESM
Gerenciamento de dispositivos
Definir configurações de localização geográfica e ASN
A Localização geográfica informa a localização física dos computadores conectados à Internet. ASN
(Autonomous System Number - Número de sistema autônomo) é um número atribuído a um sistema
autônomo, que identifica cada rede exclusivamente na Internet.
Os dois tipos de dados podem ajudar a identificar a localização física de uma ameaça. Os dados da
localização geográfica de origem e de destino podem ser coletados para os eventos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Eventos, fluxos e registros ou Eventos e registros em Localização geográfica.
3
Faça as seleções para gerar as informações necessárias e clique em OK.
.
Você pode filtrar dados do evento usando essas informações.
Agregação de eventos ou fluxos
Um evento ou fluxo pode ser gerado milhares de vezes. Em vez de ser forçado a verificar milhares de
eventos idênticos, com a agregação você pode exibi-los como um evento ou fluxo único, junto com a
contagem que indica o número de vezes que ele ocorreu.
O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no ESM, de forma
mais eficiente, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente
a regras para as quais a agregação está ativada no Editor de políticas.
Endereço IP de destino e IP de origem
Os valores "não definidos" ou agregados de endereço IP de destino e IP de origem são exibidos como
"::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo:
•
::ffff:10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7).
•
::0000:10.0.12.7 seria 10.0.12.7.
Eventos e fluxos agregados
Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração
e o volume de agregação. Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10
minutos após o meio-dia, o campo Primeira vez contém a hora 12:00 (a hora da primeira instância do
evento), o campo Última vez contém a hora 12:10 (a hora da última instância do evento) e o campo Total
contém o valor 30.
É possível alterar as configurações de agregação de evento ou de fluxo padrão do dispositivo com um
todo e, no caso dos eventos, é possível adicionar exceções às configurações do dispositivo para regras
individuais (consulte Gerenciar exceções de agregação de evento).
A agregação dinâmica também é ativada por padrão. Quando selecionada, ela substitui as
configurações da agregação de Nível 1 e aumenta as configurações do Nível 2 e Nível 3. Ela recupera
registros com base na configuração de eventos, fluxos e registros. Se configurado para recuperação
automática, o dispositivo compacta um registro somente até a primeira vez que ele for obtido pelo
ESM. Se estiver configurado para recuperação manual, o registro compacta até 24 horas ou até que
um novo registro seja obtido manualmente, o que ocorrer primeiro. Se o tempo de compactação
alcançar o limite de 24 horas, um novo registro é obtido e a compactação começará no novo registro.
46
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Alterar as configurações de agregação de eventos e fluxos
A agregação de eventos e fluxos é ativada por padrão e definida como Alta. Você pode alterar as
configurações conforme o necessário. O desempenho de cada configuração está descrito na página
Agregação.
Antes de iniciar
Você deve ter privilégios de Administrador de políticas e Gerenciamento de dispositivos ou Administrador
de políticas e Regras personalizadas para alterar essas configurações.
A agregação de eventos está disponível somente para dispositivos ADM, IPS e Receiver. E a agregação
de fluxo para dispositivos IPS e Receivers.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Agregação do evento ou Agregação do fluxo.
3
Defina as configurações e clique em OK.
.
Gerenciar exceções de agregação de evento
Você pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É
possível também editar ou remover uma exceção.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Agregação do evento e em Exibir na parte inferior da tela.
3
Efetue as alterações necessárias e clique em Fechar.
.
Adicionar exceções às configurações de agregação de evento
Configurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode
criar exceções para regras individuais se as configurações gerais não se aplicarem aos eventos
gerados pela regra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma
exceção.
Clique no ícone Menu
e selecione Modificar configurações de agregação.
Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3.
Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário,
um erro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação
mudará para refletir as seleções feitas. Os limites de tempo para cada nível dependem da
configuração de agregação do evento definida para o dispositivo.
4
Clique em OK para salvar as configurações e clique em Sim para continuar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
47
3
Configuração do ESM
Gerenciamento de dispositivos
5
Desmarque os dispositivos para os quais não quiser distribuir as alterações.
6
Clique em OK para distribuir as alterações para os dispositivos selecionados.
A coluna Status exibe o status da atualização quando as alterações foram distribuídas.
Dispositivos virtuais
É possível adicionar dispositivos virtuais a certos modelos de dispositivos IPS do Nitro e ADM para
monitorar o tráfego, comparar padrões de tráfego e gerar relatórios.
Objetivo e benefícios
Os dispositivos virtuais podem ser usados com vários objetivos:
•
Comparar padrões de tráfego com conjuntos de regras. Por exemplo, para comparar o tráfego da
Web com regras da Web, é possível configurar um dispositivo virtual que verifique somente portas
de tráfego da Web e definir uma política na qual seja possível permitir ou desativar diferentes
regras.
•
Gerar relatórios. Usar um dispositivo virtual desta maneira é como ter uma configuração
automática de filtro.
•
Monitorar vários caminhos de tráfego de uma vez. Usando um dispositivo virtual, é possível ter
políticas separadas para cada caminho de tráfego e classificar tráfegos diferentes em diferentes
políticas.
Número máximo de dispositivos por modelo
O número de dispositivos virtuais que podem ser adicionados a um ADM ou IPS do Nitro é baseado no
modelo:
Máximo para o dispositivo
Modelo
2
APM-1225
NTP-1225
APM-1250
NTP-1250
4
APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8
NTP-2250
NTP-4245
NTP-5400
0
APM-VM
NTP-VM
Como as regras de seleção são usadas
As regras de seleção são usadas como filtros para determinar os pacotes que serão processados por
um dispositivo virtual.
48
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Para que um pacote corresponda a uma regra de seleção, todos os critérios do filtro definidos pela
regra devem ser correspondentes. Se as informações do pacote corresponderem a todos os critérios
do filtro para uma única regra de seleção, ele será processado pelo dispositivo virtual que contém a
regra de seleção correspondente. Caso contrário, ele será repassado ao dispositivo virtual seguinte na
ordem e depois processado pelo próprio ADM ou IPS do Nitro, por padrão, se não houver nenhuma
regra de seleção correspondente em nenhum dispositivo virtual.
Notas sobre dispositivos virtuais IPv4:
•
Todos os pacotes para uma única conexão são classificados com base somente no primeiro pacote
da conexão. Se o primeiro pacote em uma conexão corresponder a uma regra de seleção para o
terceiro dispositivo virtual na lista, todos os pacotes subsequentes na conexão irão para o terceiro
dispositivo virtual, mesmo se os pacotes corresponderem a um dispositivo virtual mais adiante na
lista.
•
Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão
estabelecida) são classificados no dispositivo base. Por exemplo, você tem um dispositivo virtual
que procura pacotes com uma porta de origem ou de destino igual a 80. Quando um pacote
inválido entra por uma porta de origem ou de destino igual a 80, ele é classificado no dispositivo
base, e não no dispositivo virtual que procura o tráfego da porta 80. Portanto, é possível ver
eventos no dispositivo base que aparentemente deveriam ter ido para um dispositivo virtual.
A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde
a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para
processamento. Por exemplo, você adiciona quatro regras de seleção e a quarta na ordem é o filtro
que dispara com maior frequência. Isso significa que os outros filtros desse dispositivo virtual deverão
ser repassados por cada pacote antes de chegarem à regra de seleção disparada com maior
frequência. Para aumentar a eficiência do processamento, mantenha o filtro disparado com maior
frequência em primeiro lugar na ordem, e não em último.
Ordem dos dispositivos virtuais
A ordem na qual os dispositivos virtuais são verificados é importante, já que os pacotes que chegam
ao dispositivo do ADM ou IPS do Nitro são comparados às regras de seleção para cada dispositivo
virtual para que os dispositivos virtuais sejam configurados. O pacote só chega às regras de seleção
para o segundo dispositivo virtual se ele não corresponder a nenhuma regra de seleção no primeiro
dispositivo.
•
Para alterar a ordem em um dispositivo ADM, vá para a página Editar dispositivo virtual (Propriedades do
ADM | Dispositivos virtuais | Editar) e use as setas para colocá-los na ordem correta.
•
Para alterar a ordem em um dispositivo IPS do Nitro, use as setas na página Dispositivos virtuais
(Propriedades do IPS | Dispositivos virtuais).
Dispositivos virtuais do ADM
Os dispositivos virtuais do ADM monitoram o tráfego em uma interface. Pode haver até quatro filtros
de interface do ADM no sistema. Cada filtro pode ser aplicado a somente um dispositivo virtual ADM
por vez. Se um filtro estiver atribuído a um dispositivo virtual do ADM, ele não aparecerá na lista de
filtros disponíveis até que seja removido do dispositivo.
Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão estabelecida)
são classificados no dispositivo base. Por exemplo, se um dispositivo virtual do ADM procurar pacotes
com uma porta de origem ou de destino igual a 80 e um pacote inválido entrar por uma porta de
origem ou de destino igual a 80, ele será classificado no dispositivo base, e não no dispositivo virtual
do ADM que procura o tráfego da porta de 80. Então, é possível ver eventos no dispositivo base que
aparentemente deveriam ter ido para um dispositivo virtual do ADM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
49
3
Configuração do ESM
Gerenciamento de dispositivos
Gerenciar regras de seleção
As regras de seleção são usadas como filtros para determinar quais pacotes serão processados por um
dispositivo virtual. É possível adicionar, editar e excluir regras de seleção.
A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde
a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para
processamento.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Selecione um nó de dispositivo IPS ou ADM e clique no ícone Propriedades
.
Clique em Dispositivos virtuais e em Adicionar.
A janela Adicionar dispositivo virtual é aberta.
3
Adicione, edite, remova ou altere a ordem das regras de seleção na tabela.
Adicionar um dispositivo virtual
Você pode adicionar um dispositivo virtual a alguns dispositivos do ADM e IPS, configurando as regras
de seleção que determinam quais pacotes serão processados por cada dispositivo.
Antes de iniciar
Verifique se é possível adicionar dispositivos virtuais ao dispositivo que você selecionou
(consulte Sobre dispositivos virtuais).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo ADM ou IPS e clique no ícone
Propriedades
.
2
Clique em Dispositivos virtuais | Adicionar.
3
Insira as informações solicitadas e clique em OK.
4
Clique em Gravar para adicionar as configurações ao dispositivo.
Gerenciar tipos de exibição personalizadas
É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam
organizados ao adicionar, editar ou excluir tipos de exibições personalizadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
50
1
No painel de navegação do sistema, clique na seta suspensa de tipo de exibição.
2
Siga um destes procedimentos:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Para...
Faça isto...
Adicionar um tipo de exibição
personalizado
1 Clique em Adicionar exibição.
Editar tipo de exibição
personalizado
1
2 Preencha os campos e clique em OK.
Clique no ícone Editar
editar.
ao lado do tipo de exibição que deseja
2 Altere as configurações e clique em OK.
Excluir um tipo de exibição
personalizado
Clique no ícone Excluir
excluir.
ao lado do tipo de exibição que deseja
Selecione um tipo de exibição
Selecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema.
Antes de iniciar
Para selecionar uma exibição personalizada, você deve primeiro adicioná-la ao sistema
(consulte Gerenciar tipos de exibição personalizadas).
Tarefa
1
No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição.
2
Selecione um dos tipos de exibição.
A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado
para a sessão atual de trabalho.
Gerenciar um grupo em um tipo de exibição personalizada
É possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em
agrupamentos lógicos.
Antes de iniciar
Adicione um tipo de exibição personalizada (consulte Gerenciar tipos de exibição
personalizada).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione a exibição personalizada e siga um destes procedimentos:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
51
3
Configuração do ESM
Gerenciamento de dispositivos
Para...
Faça isto...
Adicionar um
novo grupo
1
Clique em um sistema ou nó de grupo e clique no ícone Adicionar grupo
barra de ferramentas de ações.
na
2 Preencha os campos e clique em OK.
3 Arraste e solte os dispositivos na exibição para adicioná-los ao grupo.
Se o dispositivo fizer parte de uma árvore na exibição, um nó duplicado de
dispositivo será criado. Em seguida, você pode excluir a duplicação na árvore de
sistemas.
Editar grupo
Excluir grupo
Selecione o grupo, clique no ícone Propriedades
Propriedades do grupo.
e faça alterações na página
Selecione o grupo e clique no ícone Excluir grupo
. O grupo e os dispositivos
contidos nele são excluídos da exibição personalizada. Os dispositivos não são
excluídos do sistema.
Consulte também
Gerenciar tipos de exibição personalizadas na página 25
Excluir dispositivos duplicados na árvore de navegação do sistema
Nós de dispositivo duplicados podem aparecer na árvore de navegação do sistema quando você
arrasta e solta dispositivos de uma árvore de sistemas para um grupo ou quando você tem grupos
configurados e faz upgrade do software do ESM. Recomendamos que você o exclua para evitar
confusão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione o ícone Editar
3
Desmarque os dispositivos duplicados e clique em OK.
ao lado da exibição que inclui os dispositivos duplicados.
Os dispositivos que estavam duplicados agora estão listados somente em seus grupos atribuídos.
Gerenciar vários dispositivos
A opção Gerenciamento de vários dispositivos permite que você inicie, interrompa e reinicialize ou atualize o
software em vários dispositivos de uma vez só.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
52
Na árvore de navegação do sistema, selecione os dispositivos que deseja gerenciar.
Clique no ícone Gerenciamento de vários dispositivos
na barra de ferramentas de ações.
Selecione a operação que deseja executar e os dispositivos nos quais ela será executada e clique
em Iniciar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Gerenciar links de URL para todos os dispositivos
Você pode configurar um link para cada dispositivo, de modo a exibir as informações do dispositivo em
uma URL.
Antes de iniciar
Configuração do site do URL para o dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações
personalizadas | Links do dispositivo.
2
Para adicionar ou editar um URL, destaque o dispositivo, clique em Editar e insira o URL.
O campo URL tem um limite de 512 caracteres.
3
Clique em OK.
Você pode acessar o URL clicando no ícone Abrir URL do dispositivo
Análise de evento e Análise de fluxo de cada dispositivo.
na parte inferior das exibições
Exibir relatórios de resumo do dispositivo
Os relatórios de resumo do dispositivo mostram os tipos e o número de dispositivos no ESM e a última
vez que um evento foi recebido por cada um deles. Esses relatórios podem ser exportados no formato
de valores separados por vírgula (CSV).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema |
Exibir relatórios.
2
Exiba ou exporte a Contagem de tipos de dispositivo ou o relatório de Hora do evento.
3
Clique em OK.
Exibir um registro do sistema ou dispositivo
Registros do sistema e do dispositivo mostram eventos que ocorreram nos dispositivos. Você pode
exibir a página de resumo, que mostra a contagem de eventos e a hora do primeiro e do último
evento no ESM ou no dispositivo ou exibir uma lista detalhada de eventos na página Registro do sistema
ou Registro do dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Exibir um resumo dos dados de evento:
•
Dados do sistema – Em Propriedades do sistema, clique em Registro do sistema.
•
Dados do dispositivo – Na página Propriedades do evento, clique em Registro do dispositivo.
Para exibir o registro de eventos, insira um intervalo de tempo e clique em Exibir.
A página Registro do sistema ou Registro do dispositivo lista todos os eventos gerados durante o intervalo de
tempo especificado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
53
3
Configuração do ESM
Gerenciamento de dispositivos
Relatórios de status de integridade do dispositivo
Sinalizadores de status de integridade nas cores branco (informativo), amarelo (inatividade ou status
do dispositivo) ou vermelho (crítico)
aparecerão ao lado dos nós do sistema, grupo ou dispositivo
na árvore de navegação do sistema quando um relatório de status de integridade estiver disponível.
Ao clicar no sinalizador, a página Alertas de status do dispositivo fornecerá diferentes opções para exibir as
informações e resolver qualquer problema.
Um
sinalizador
neste tipo de
nó...
Abre...
Sistema ou
grupo
A página Resumo de alertas de status do dispositivo, que é um resumo dos alertas de status
para os dispositivos associados ao sistema ou grupo. Ela pode exibir os seguintes
alertas de status:
• Partição excluída — Uma tabela de banco de dados contendo os dados do evento,
fluxo ou registro atingiu o seu tamanho máximo e teve uma partição excluída para
adicionar espaço para novos registros. Dados de evento, fluxo e registro podem
ser exportados para evitar perdas permanentes.
• Espaço da unidade — Uma unidade de disco rígido está cheia ou com pouco espaço.
Isso pode incluir o disco rígido no ESM, ESM redundante ou ponto de montagem
remoto.
• Crítico — O dispositivo não está funcionando corretamente e deve ser corrigido.
• Aviso — Algo no dispositivo não está funcionando como deveria.
• Informativo — O dispositivo está funcionando corretamente, mas o nível de status do
dispositivo foi alterado.
• Fora de sincronização — As configurações do dispositivo virtual, origem de dados ou
servidor de banco de dados no ESM estão fora de sincronização em relação ao que
está no dispositivo.
• Renovado — A tabela de registros para este dispositivo ficou sem espaço e foi
renovada. Isso significa que os novos registros estão sobrescrevendo os antigos.
• Inativo — O dispositivo não gerou eventos ou fluxos durante o período limite de
inatividade.
• Desconhecido — O ESM não pôde se conectar ao dispositivo.
Você pode limpar os sinalizadores Partição excluída, Espaço da unidade, Renovado e Informativo
marcando as caixas junto aos sinalizadores e clicando em Limpar selecionados ou Limpar
tudo.
Dispositivo
A página Alertas de status do dispositivo, que contém botões para locais onde é possível
resolver o problema. Ela pode incluir os seguintes botões:
• Registro — A página Registro do sistema (para o ESM local) ou Registro do dispositivo exibe
um resumo de todas as ações que ocorreram no sistema ou dispositivo.
• Dispositivos virtuais, Origens de dados, Origens VA ou Servidores de banco de dados — Lista os
dispositivos desse tipo no sistema, permitindo que você verifique se há problemas.
• Inativo — A página Limite de inatividade exibe as configurações de limite para todos os
dispositivos. Esse sinalizador indica que o dispositivo não gerou um evento no
intervalo de tempo especificado.
Um sinalizador informativo aparece sempre que um subsistema recupera-se de um status de aviso ou
crítico. Segue uma descrição de cada tipo de sinalizador informativo.
54
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento de dispositivos
Status
Descrição e instruções
Modo de desvio
A Placa de rede (NIC) está no modo de desvio. Possíveis motivos
incluem a falha de um processo crítico do sistema, a configuração
manual do dispositivo para o modo de desvio ou outra falha. Para
retirar o dispositivo do modo de desvio, vá para Propriedades |
Configuração | Interfaces.
A inspeção de pacote
detalhada não está em
execução
A Inspeção detalhada de pacote (DPI) funcionou incorretamente. É
possível que isso se recupere sem intervenção. Caso contrário, reinicie
o dispositivo.
O programa de alertas do
firewall (ngulogd) não está
em execução
O Agregador de alerta do firewall (FAA) funcionou incorretamente. É
possível que isso se recupere sem intervenção. Caso contrário, reinicie
o dispositivo.
O banco de dados não está
em execução
O servidor McAfee Extreme Database (EDB) funcionou incorretamente.
Reiniciar o dispositivo pode resolver o problema, mas o banco de
dados pode precisar ser reconstruído.
Modo de excesso de
assinaturas
Se a rede monitorada estiver ocupada além da capacidade do IPS do
Nitro, os pacotes de rede podem não ser inspecionados. O monitor de
integridade gera um alerta indicando que o IPS do Nitro está com
excesso de assinaturas. Por padrão, o valor do modo de excesso de
assinaturas está definido para descarte. Para alterar o valor, navegue
até o Editor de políticas, clique em Variável no painel Tipos de regras, expanda
a variável packet_inspection e selecione Herdar para a variável
OVERSUBSCRIPTION _MODE. Aprovação e Descarte são permitidos para essa
variável.
O canal de controle não está O processo que oferece suporte ao canal de comunicação com o ESM
em execução
falhou. A reinicialização do dispositivo pode reparar o problema.
Os programas RDEP ou
Syslog não estão em
execução
Se houver um mau funcionamento no sistema que lida com as origens
de dados de terceiros (como syslog ou SNMP), um alerta crítico será
gerado. Um alerta de nível de aviso será gerado se o coletor não
receber dados da origem de dados de terceiros em determinado
período. Isso indica que a origem de dados pode estar desativada ou
não estar enviando dados para o Receptor conforme esperado.
O Monitor de integridade
não pôde se comunicar com
o programa controlador da
Inspeção de pacote
detalhada
O Monitor de integridade não pôde se comunicar com a Inspeção de
pacote detalhada para recuperar seu status. Isso pode significar que o
programa de controle não está em execução, e o tráfego de rede pode
não estar passando pelo IPS do Nitro. Reaplicar a política pode resolver
o problema.
O registrador do sistema
não está em execução
O registrador do sistema não está respondendo. A reinicialização do
dispositivo pode reparar o problema.
Pouco espaço livre na
partição do disco rígido
A quantidade de espaço livre em disco está criticamente baixa.
Alerta de velocidade do
ventilador
Os ventiladores estão girando muito devagar ou não estão
funcionando. Até que o ventilador possa ser substituído, mantenha o
dispositivo em um cômodo com ar condicionado para evitar danos.
Alerta de temperatura
A temperatura de componentes críticos está acima do limite. Mantenha
o dispositivo em um cômodo com ar condicionado para evitar danos
permanentes. Verifique se há algo bloqueando o fluxo de ar pelo
dispositivo.
Erros de rede
Existem erros de rede ou um excesso de colisões na rede. A causa
pode ser um grande domínio de colisão ou cabos de rede defeituosos.
Problema em um ponto de
montagem remoto
Há um problema em um ponto de montagem remoto.
Pouco espaço livre em disco
no ponto de montagem
remoto
Há pouco espaço livre em disco no ponto de montagem remoto.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
55
3
Configuração do ESM
Configuração de dispositivos
Status
Descrição e instruções
Todos os coletores da
origem de dados que não
receberam comunicação de
uma origem de dados por
pelo menos 10 minutos
O Receptor não recebeu comunicação de uma origem de dados por
pelo menos 10 minutos.
O coletor da origem de
dados não está em
execução
Existe um mau funcionamento no subsistema que lida com as origens
de dados de terceiros específicas (como syslog ou SNMP). O coletor
não recebeu dados da origem de dados de terceiros em determinado
período. A origem de dados pode estar desativada ou não estar
enviando dados para o Receptor conforme esperado.
O Monitor de integridade
não pôde obter um status
válido de um subsistema
O Monitor de integridade não obteve um status válido de um
subsistema.
Recuperação de um status
de aviso ou crítico de um
subsistema
Quando o monitor de integridade é iniciado e interrompido, um alerta
de informações é gerado. Se o monitor de integridade tiver problemas
na comunicação com outros subsistemas nos dispositivos, um alerta
também será gerado. A exibição do registro de eventos pode fornecer
detalhes sobre as causas dos alertas de aviso e críticos.
Excluir um grupo ou um dispositivo
Quando um dispositivo não fizer mais parte do sistema ou um grupo não for mais usado, os exclua da
árvore de navegação do sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, destaque o dispositivo ou grupo que deseja excluir e clique no
ícone Excluir na barra de ferramentas ações.
2
Quando for solicitado a confirmar, clique em OK.
Atualizar dispositivos
É possível atualizar os dispositivos no sistema manualmente para que as informações que eles contêm
correspondam às existentes no ESM.
•
Na barra de ferramentas de ações, clique no ícone Atualizar dispositivos
.
Configuração de dispositivos
Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real,
monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos
e geração de relatórios de conformidade.
Conteúdo
Dispositivos e o que eles fazem
Event Receiver
Configurações do Enterprise Log Manager (ELM)
Configurações do Advanced Correlation Engine (ACE)
Configurações do Application Data Monitor (ADM)
Configurações do Database Event Monitor (DEM)
Configurações do DESM (ESM distribuído)
56
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
Configurações
Configurações
Configurações
Configurações
do
do
do
do
3
ePolicy Orchestrator
Nitro Intrusion Prevention System (Nitro IPS)
McAfee Vulnerability Manager
McAfee Network Security Manager
Dispositivos e o que eles fazem
O ESM permite que você administre, gerencie e interaja com todos os dispositivos físicos e virtuais do
seu ambiente de segurança.
Consulte também
Event Receiver na página 58
Configurações do Enterprise Log Manager (ELM) na página 110
Configurações do Application Data Monitor (ADM) na página 129
Configurações do Database Event Monitor (DEM) na página 144
Configurações do Advanced Correlation Engine (ACE) na página 126
Configurações do DESM (ESM distribuído) na página 151
Configurações do ePolicy Orchestrator na página 152
Configurações do Nitro Intrusion Prevention System (Nitro IPS) na página 158
McAfee Enterprise Security Manager 9.5.0
Guia de produto
57
3
Configuração do ESM
Configuração de dispositivos
Event Receiver
O Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens de
vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/detecção de
intrusão do Nitro, NetFlow, sFlow e outros.
O Event Receiver possibilita a coleta de dados e os normaliza em uma solução única e gerenciável. Dessa
forma, você tem uma exibição única dos dispositivos de vários fornecedores, como Cisco, Check Point,
Juniper. Além disso, é possível coletar dados de fluxo e eventos em dispositivos IPS do Nitro e
roteadores que enviam feeds de dados ao Receiver.
Os Receivers de alta disponibilidade (Receiver de HA) podem ser usados em modo primário e
secundário, atuando como backups um do outro. O Receiver secundário (B) monitora o Receiver
primário (A) de forma contínua, e novas configurações ou informações sobre a política são enviadas
aos dois dispositivos. Quando o Receiver B determina que houve uma falha no Receiver A, o primeiro
desconecta a placa de rede da origem de dados do Receiver A da rede e assume o posto de novo
primário. Ele permanece como primário até que haja intervenção manual para restaurar o Receiver A
como primário.
Exibir eventos de streaming
O Visualizador de streaming exibe uma lista de eventos à medida que eles são gerados pelo McAfee ePO,
McAfee Network Security Manager, Receptor, origem de dados, origem de dados filho ou cliente
selecionado. É possível filtrar a lista e selecionar um evento para uma exibição.
®
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo que você precisa exibir e clique no
ícone Exibir eventos de streaming
na barra de ferramentas de ações.
2
Clique em Iniciar para começar o streaming e em Interromper para interrompê-lo.
3
Selecione uma das ações disponíveis no visualizador.
4
Clique em Fechar.
Receivers de alta disponibilidade
Os Receivers de alta disponibilidade são usados no modo primário e secundário para que o secundário
possa assumir o controle rapidamente quando o primário falhar. Isso permite uma continuidade na
coleta de dados melhor do que a fornecida por um único Receiver.
O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for necessária a
conformidade com as normas FIPS, não use esse recurso.
Essa configuração consiste em dois Receivers, um agindo como o primário ou primário de preferência
e o outro como secundário. O Receiver secundário monitora o primário continuamente. Quando o
secundário observa que o primário falhou, ele interrompe as operações do primário e assume sua
função.
Quando o primário é reparado, ele se torna secundário ou volta a ser o primário. Isso é determinado
pela opção selecionada no campo Dispositivo primário de preferência na guia Receiver de HA (consulte Instalar
dispositivos Receiver de HA.
58
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Os seguintes modelos de Receiver podem ser comprados com a função de alta disponibilidade:
•
ERC-1225-HA
•
ERC-1250-HA
•
ERC-2230-HA
•
ERC-1260-HA
•
ERC-2250-HA
•
ERC-2600-HA
•
ERC-4245-HA
•
ERC-4600-HA
•
ERC-4500-HA
Esses modelos incluem uma porta IPMI (Intelligent Platform Management Interface) e pelo menos
quatro NICs, que são necessários para a funcionalidade de HA (consulte Portas de rede no
Receptor-HA).
Os cartões IPMI encerram o receptor que falhou, o que elimina a possibilidade de ambos os NICs DS
usarem o MAC e o IP compartilhado simultaneamente. Os cartões IPMI conectam-se por um cabo
cruzado ou direto ao outro Receptor. Os Receptores conectam-se por um cabo cruzado ou direto ao
NIC de pulsação. Existe um NIC de gerenciamento para comunicação com o ESM, e um NIC da origem
de dados para coleta de dados.
Quando o Receptor primário é executado corretamente e o Receptor secundário está no modo
secundário, ocorre o seguinte:
•
Os Receptores se comunicam constantemente por meio do NIC de pulsação dedicado e do NIC de
gerenciamento.
•
Todos os certificados recebidos, como OPSEC ou Estreamer, são passados para o outro Receptor.
•
Todas as origens de dados usam o NIC da origem de dados.
•
Cada Receptor monitora e relata sua própria integridade. Isso inclui itens de integridade interna,
como erros de disco, congelamentos de banco de dados e links perdidos nos NICs.
•
O ESM se comunica com os receptores periodicamente para determinar seu status e integridade.
•
Toda informação nova sobre configuração é enviada aos Receptores primário e secundário.
•
O ESM envia a política aos Receptores primário e secundário.
•
Interromper/Reinicializar/Terminal/Call Home aplicam-se a cada receptor de forma independente.
As seções a seguir descrevem o que ocorre quando o Receptor-HA está com problemas.
Falha do Receptor primário
A determinação da falha do Receptor primário é responsabilidade do Receptor secundário. Ele precisa
determinar essa falha com rapidez e precisão a fim de minimizar a perda de dados. Durante a
recuperação de falhas, todos os últimos dados enviados pelo primário ao ESM e ao ELM se perdem. O
volume de dados perdidos depende da taxa de transferência de dados do Receptor e da taxa do ESM
para efetuar pull dos dados no Receptor. Esses processos concorrentes devem ser cuidadosamente
balanceados para otimizar a disponibilidade dos dados.
Quando o Receptor primário falha completamente (perda de energia, falha de CPU), não ocorre
comunicação de pulsação com o Receptor primário. O corosync reconhece a perda de comunicação e
marca a falha do Receptor primário. O pacemaker no Receptor secundário solicita que o cartão IPMI
no Receptor primário encerre o Receptor primário. O Receptor secundário deduz, então, o endereço
MAC e IP compartilhado e inicia todos os coletores.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
59
3
Configuração do ESM
Configuração de dispositivos
Falha do Receptor secundário
O processo de falha do secundário ocorre quando o Receptor secundário deixa de responder à
comunicação de pulsação. Isso significa que o sistema não conseguiu se comunicar com o Receptor
secundário depois de tentar fazê-lo durante um tempo usando as interfaces de gerenciamento e
pulsação.
Se o primário não conseguir obter sinais de pulsação e integridade, o corosync marca a falha do
secundário e o pacemaker utiliza o cartão IPMI secundário para encerrá-lo.
Problema de integridade do primário
A integridade do Receptor primário pode ser gravemente prejudicada. Integridade gravemente
prejudicada inclui um banco de dados que não responde, a interface de uma origem de dados que
para de responder e erros de disco excessivos.
Quando o Receptor primário detecta um alerta de healthmon dessas condições, ele termina os
processos do corosync e do pacemaker e configura um alerta de healthmon. O término desses
processos provoca a transferência das tarefas de coleta de dados para o Receptor secundário.
Problema de integridade do secundário
Quando a integridade do Receptor secundário fica gravemente prejudicada, ocorre o seguinte:
•
O Receptor secundário relata problemas de integridade ao ESM quando consultado e termina os
processos do corosync e pacemaker.
•
Se o Receiver secundário ainda integrar o cluster, ele se retirará do cluster e ficará indisponível em
caso de falha do Receiver primário.
•
O problema de integridade será analisado e haverá tentativa de reparo.
•
Se o problema de integridade for solucionado, o Receptor voltará a funcionar normalmente usando
o procedimento Retomar serviço.
•
Se o problema de integridade não for solucionado, o processo Substituir Receiver com falha será
iniciado.
Retomada de serviço
Quando um Receiver volta a funcionar após uma falha (por exemplo, reinicia após uma queda de
energia, reparo de hardware ou reparo de rede), ocorre o seguinte:
•
Os Receivers em modo de alta disponibilidade não começam a coletar dados no momento da
inicialização. Eles ficam no modo secundário até que sejam definidos como primários.
•
O dispositivo primário de preferência assume a função de primário e começa a usar o IP
compartilhado da origem de dados para coletar dados. Se não houver dispositivo primário de
preferência, o dispositivo que estiver como primário no momento começará a usar a origem de
dados compartilhada e a coletar dados.
Para obter detalhes referentes a esse processo, consulte Substituir Receiver com falha.
60
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Upgrade do Receptor-HA
O processo de upgrade do Receptor-HA faz upgrade dos dois receptores em sequência, começando
pelo receptor secundário. Isso ocorre da seguinte forma:
1
O arquivo tarball resultante ao fazer upgrade é carregado no ESM e aplicado ao receptor
secundário.
2
Para alternar a função dos Receptores primário e secundário, use o processo Alternar funções do
Receptor-HA. Assim, o Receptor que passou por upgrade se torna o Receptor primário e o que não
passou por upgrade se torna secundário.
3
O tarball resultante após fazer upgrade é aplicado ao novo receptor secundário.
4
É possível alternar novamente a função dos Receptores primário e secundário usando o processo
Alternar funções do Receptor-HA, de modo que as funções do Receptor original são adotadas
novamente.
Ao fazer upgrade, é melhor não ter um Receiver primário de preferência. Consulte
Se o seu Receiver de HA for configurado com um primário de preferência, é melhor alterar a
configuração antes de fazer o upgrade. Na guia Receiver de HA (consulte Instalar dispositivos Receiver de
HA), selecione Nenhum no campo Dispositivo primário de preferência. Isso permite que você use a opção
Recuperação de falhas, que não fica disponível com uma configuração primária de preferência. Após o
upgrade dos dois Receivers, você poderá aplicar a configuração primária de preferência novamente.
Portas de rede em Receptores-HA
Estes diagramas mostram como conectar as portas de rede a um Receptor-HA.
ERC-1250-HA/1260-HA
1
IPMI
6
Mgmt 2
2
Mgmt 2
7
Mgmt 3
3
Mgmt 1
8
Feed de dados
4
IPMI NIC
9
Gerenc. 1 IP
5
Heart beat (HB)
McAfee Enterprise Security Manager 9.5.0
Guia de produto
61
3
Configuração do ESM
Configuração de dispositivos
ERC-2600-HA e ERC-4600-HA
1
IPMI NIC
6
Dados
2
HB
7
IPMI
3
Mgmt 2
8
Gerenc.1
4
Mgmt 3
9
Feed de dados
5
Mgmt
Instalar dispositivos Receptor-HA
Defina as configurações dos dispositivos Receptor-HA.
Antes de iniciar
Adicione o Receptor que atua como o dispositivo primário (consulte Adicionar dispositivos
ao console do ESM). Deve haver três ou mais NICS.
O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for
necessária a conformidade com as normas FIPS, não use esse recurso.
62
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o Receptor que será o dispositivo primário e clique
no ícone Propriedades
.
2
Clique em Configuração do receptor e em Interface.
3
Clique na guia Receptor HA e selecione Instalar alta disponibilidade.
4
Preencha as informações solicitadas e clique em OK.
É iniciado o processo que codifica o segundo Receptor, atualiza o banco de dados, aplica
globals.conf e sincroniza os dois Receptores.
Reinicializar o dispositivo secundário
Se, por algum motivo, o Receptor secundário sair de serviço, reinstale-o e reinicialize-o em seguida.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor primário e
clique em Configuração do receptor | Interface | Receptor HA.
2
Confira se o endereço IP correto está no campo IP de gerenciamento secundário.
3
Clique em Reinicializar secundário.
O ESM executa os procedimentos necessários para reinicializar o Receptor.
Redefinir dispositivos HA
Se você precisar redefinir os Receptores HA para que retornem ao estado antes de terem sido
configurados como dispositivos HÁ, poderá fazê-lo no console ESM ou, se a comunicação com o
Receptor falhar, no menu LCD.
•
Siga um destes procedimentos:
Para...
Faça isto...
Redefinir um
Receptor no
console do ESM
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique
em Configuração do receptor | Interface.
2 Desmarque a opção Instalar alta disponibilidade e clique em OK.
3 Clique em Sim na página de aviso e em Fechar.
Ambos os Receptores reiniciam após um tempo limite de cerca de cinco
minutos, retornando os endereços MAC para seus valores originais.
Redefinir o
Receptor primário
ou secundário no
menu LCD
1 No menu LDC do Receptor, pressione X.
2 Pressione a seta até a opção Desativar HA ser exibida.
3 Pressione a seta da direita uma vez para exibir Desativar primário na tela LCD.
4 Para redefinir o Receptor primário, pressione a marca de seleção.
5 Para redefinir o Receptor secundário, pressione a seta para baixo uma vez e
depois a marca de seleção.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
63
3
Configuração do ESM
Configuração de dispositivos
Alternar as funções do Receptor-HA
O processo de alternância iniciado pelo usuário permite alternar as funções dos Receptores primário e
secundário.
Talvez você precise fazer isso ao fazer upgrade de um Receptor, preparar um Receptor para ser
devolvido ao fabricante ou mover os cabos de um Receptor. Essa alternância minimiza o volume de
dados perdidos.
Se um coletor (incluindo o dispositivo McAfee ePO) estiver associado a um Receptor-HA e o
Receptor-HA falhar, o coletor não poderá se comunicar com o Receptor-HA até que as alternâncias entre
os dois associe o novo endereço MAC do Receptor com falha ao endereço IP compartilhado. Isso pode
levar de alguns minutos a alguns dias, dependendo da configuração de rede atual.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone
Propriedades
2
.
Selecione Alta disponibilidade | Recuperação de falhas. Ocorre o seguinte:
•
O ESM instrui o Receptor secundário a começar a usar o IP da origem de dados compartilhado e
a coletar dados.
•
O Receptor secundário emite um comando CRM (Cluster Resource Manager) para alternar o IP
compartilhado e o MAC, e inicia os coletores.
•
O ESM faz pull de todos os dados de fluxo e alerta no Receptor primário.
•
O ESM marca o Receptor secundário como o primário e o primário como o secundário.
Fazer upgrade de Receptores HA
O processo de upgrade do Receptor-HA faz o upgrade dos dois receptores em sequência, começando
pelo Receptor secundário.
Antes de iniciar o upgrade, execute o processo de Verificar o status de alta disponibilidade do Receptor
para se certificar de que os dispositivos dos Receptores-HA estejam prontos para o upgrade. Se esse
procedimento não for seguido, poderão ocorrer problemas de inatividade e de upgrade com o
dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone
Propriedades
2
.
Faça upgrade do Receptor secundário:
a
Clique em Gerenciamento do receptor e em Secundário.
b
Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.
O Receptor é reiniciado, e a versão do software é atualizada.
64
c
Em Propriedades do Receptor, clique em Alta disponibilidade | Retomar serviço.
d
Selecione o Receptor secundário e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Altere o Receptor secundário para primário clicando em Alta disponibilidade | Recuperação de falhas.
4
Repita a etapa 2 para fazer upgrade do novo Receptor secundário.
3
Verificar o status do Receptor HA
Determine o status de um par de Receptores HA antes de fazer upgrade.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo Receptor-HA primário e clique no ícone
.
Propriedades
2
Nos campos Status e Status secundário, verifique se o status é OK; Status HA: on-line.
3
Garanta Shell ou SSH para cada Receptor HA e execute o comando ha_status na interface de linha
de comando nos dois Receptores. As informações resultantes mostram o status deste Receptor e
como ele interpreta o status do outro Receptor. Assemelha-se ao seguinte:
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
4
Verifique o seguinte nas informações acima:
•
A primeira linha da resposta é OK.
•
Hostname corresponde ao nome do host na linha de comando menos o número do modelo do
Receptor.
•
Mode será primary (primário) se o valor de sharedIP for o nome do host deste Receptor. Se não
for, trata-se do modo secundário.
•
As próximas duas linhas mostram os nomes do host dos Receptores no par de HA e o status em
execução de cada Receptor. O status de ambos é online.
•
corosync= mostra o status da execução de corosync, que deve ser running (em execução).
•
hi_bit é no (não) em um Receptor e yes (sim) no outro. Não importa qual seja qual.
Certifique-se de que somente um dos Receptores HA esteja definido com o valor hi_bit. Se os
dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o Suporte da
McAfee antes de fazer upgrade para corrigir esse erro de configuração.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
65
3
Configuração do ESM
Configuração de dispositivos
5
Garanta Shell ou SSH para cada Receptor HA e execute o comando ifconfig na interface de linha
de comando nos dois Receptores.
6
Verifique o seguinte nos dados gerados:
•
Os endereços MAC em eth0 e eth1 são únicos nos dois Receptores.
•
O Receptor primário tem o endereço IP compartilhado em eth1 e o Receptor secundário não tem
qualquer endereço IP em eth1.
Se os dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o
suporte da McAfee antes de fazer upgrade para corrigir esse erro de configuração.
Essa verificação garante a funcionalidade do sistema e que não existam endereços IP duplicados, o
que significa que pode ser feito o upgrade dos dispositivos.
Substituir Receptor com falha
Se um Receptor secundário tiver algum problema de integridade que não possa ser solucionado, talvez
seja necessário substituir o Receptor. Quando você receber o novo Receptor, instale-o seguindo os
procedimentos no Guia de configuração e instalação do McAfee ESM . Depois que os endereços IP
forem definidos e os cabos conectados, você poderá retornar o Receptor ao cluster de HA.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor HA e clique em
Configuração do receptor | Interface.
2
Clique na guia Receptor HA e verifique se a opção Instalar alta disponibilidade está marcada.
3
Verifique se os endereços IP estão corretos e clique em Reinicializar secundário.
O novo Receptor é colocado no cluster e o modo HA é ativado.
Solução de problemas em um Receptor com falha
Se um Receptor em uma instalação de HA é desativado por algum motivo, a gravação das origens de
dados, configurações globais, configurações de agregação e outras, parecem falhar e uma mensagem
de erro de SSH é exibida.
Na verdade, as configurações são distribuídas no Receptor que ainda está funcionando. Porém, uma
mensagem de erro é exibida porque ele não consegue sincronizar com o Receptor que está inativo. A
política, entretanto, não é distribuída. Nessa situação, você tem as seguintes opções:
•
Aguardar para distribuir a política até um Receptor secundário estar disponível e sincronizado.
•
Remover o Receptor do modo HA, o que gera dois a cinco minutos de inatividade do cluster de HA,
o que impede a coleta de eventos.
Arquivamento de dados brutos do Receptor
Configure o Receptor para encaminhar um backup dos dados brutos para seu dispositivo de
armazenamento para um armazenamento de longa duração.
Os três tipos de armazenamento aceitos pelo ESM são SMB/CIFS (Server Message Block/Common
Internet File System), NFS (Network File System) e Encaminhamento syslog. SMB/CIFS e NFS
armazenam, na forma de arquivos de dados, um backup de todos os dados brutos enviados ao
Receiver por origens de dados que utilizam os protocolos de e-mail, estream, http, SNMP, SQL, syslog
e agentes remotos. Os arquivos de dados são enviados para o arquivo a cada cinco minutos. O
Encaminhamento syslog envia os dados brutos para os protocolos syslog como um fluxo contínuo de
66
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
syslogs combinados para o dispositivo configurado na seção Encaminhamento syslog da página Configurações
de arquivamento de dados. O Receiver pode encaminhar para somente um tipo de armazenamento por vez.
Você pode configurar os três tipos, mas somente um poderá ser ativado para arquivar dados.
Esse recurso não é compatível com os tipos de origem de dados de Netflow, sflow e IPFIX.
Definir configurações de arquivo
Para armazenar dados brutos de mensagens syslog, é necessário definir as configurações usadas pelo
Receptor para arquivamento.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Configuração do
receptor | Arquivamento de dados.
2
Selecione o tipo de compartilhamento e insira as informações solicitadas.
A porta 445 precisa ser aberta no sistema com o compartilhamento CIFS para possibilitar uma
conexão do compartilhamento CIFS. Da mesma forma, a porta 135 precisa ser aberta no sistema
com o compartilhamento SMB para que uma conexão SMB seja estabelecida.
3
Quando estiver pronto para aplicar as alterações ao dispositivo Receptor, clique em OK.
Exibir eventos de origem para evento de correlação
É possível exibir os eventos de origem para um evento de correlação na exibição Análise de evento.
Antes de iniciar
Uma origem de dados de correlação já deve existir no ESM (consulte Origem de dados de
correlação e Adicionar uma origem de dados).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, expanda o Receptor e clique em Mecanismo de correlação.
2
Na lista de exibição, clique em Exibições de eventos e selecione Análise de evento.
3
Na exibição Análise de evento, clique no sinal de mais (+) na primeira coluna ao lado do evento de
correlação.
Aparecerá um sinal de mais somente se o evento de correlação tiver eventos de origem.
Os eventos de origem são listados no evento de correlação.
Exibir estatísticas de taxa de transferência do Receiver
Exiba as estatísticas de uso do Receiver, que incluem as taxas de origem de dados (análise) de saída
dos últimos 10 minutos, da última hora e das últimas 24 horas.
Antes de iniciar
Verifique se você tem o privilégio de Gerenciamento de dispositivos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
67
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um Receiver e clique no ícone Propriedades
2
Clique em Gerenciamento do Receiver | Exibir estatísticas | Taxa de transferência.
3
Exiba as estatísticas do Receiver.
.
Se as taxas de entrada ultrapassarem a taxa de saída em 15 por cento, o sistema sinalizará essa
linha como crítico (nas últimas 24 horas) ou como aviso (na última hora).
4
Filtre a origem de dados selecionando as opções Tudo, Crítico ou Aviso.
5
Selecione a unidade de medição para exibir a métrica em número de kilobytes (KBs) ou número de
registros.
6
Para atualizar os dados automaticamente a cada 10 segundos, marque a caixa de seleção Atualização
automática .
7
Classifique os dados clicando no título da coluna relevante.
Origens de dados do Receptor
O McAfee Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de
origens de vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/
detecção de intrusão do Nitro, NetFlow, sFlow e outros. As origens de dados são usadas para controlar
como os dados de registro e eventos são coletados pelo Receptor. É preciso adicionar origens de dados
e definir suas configurações para que possam coletar os dados necessários.
A página Origens de dados é o ponto de partida para gerenciar origens de dados do dispositivo Receptor. É
um meio de você adicionar, editar e excluir origens de dados, além de importá-las, exportá-las e
migrá-las. Você também pode adicionar origens de dados filho e cliente.
Adicionar uma origem de dados
Defina as configurações das origens de dados que precisam ser adicionadas ao Receptor para a coleta
de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o Receptor ao qual deseja adicionar a origem de
dados e clique no ícone de Propriedades
.
2
Em Propriedades do Receptor, clique em Origens de dados | Adicionar.
3
Selecione o fornecedor e o modelo.
Os campos a serem preenchidos dependem de suas seleções.
4
Preencha as informações solicitadas e clique em OK.
A origem de dados é adicionada à lista de origens de dados do Receptor, bem como à árvore de
navegação do sistema no Receptor selecionado.
68
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Processamento de origem de dados com Interceptação de SNMP
A funcionalidade de interceptação de SNMP permite que a origem de dados aceite as interceptações
padrão de SNMP de qualquer dispositivo de rede gerenciável que tenha a capacidade de enviar
interceptações de SNMP.
As intercepções padrão são:
•
Falha de autenticação
•
Desvincular
•
Partida a frio
•
Vinculação e partida a quente
•
Perda de vizinho EGP
Para enviar interceptações SNMP através do IPv6, você deve indicar o endereço IPv6 como um endereço
de conversão IPv4. Por exemplo, convertendo 10.0.2.84 em IPv6 fica assim:
2001:470:B:654:0:0:10.0.2.84 or 2001:470:B:654::A000:0254.
Se você selecionar Interceptação de SNMP, há três opções:
•
Se um perfil não tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP
será aberta, permitindo que você escolha o perfil a ser usado.
•
Se um perfil tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP
será aberta. Para alterar o perfil, clique na seta para baixo no campo Perfis do sistema e selecione um
novo perfil.
•
Se um perfil tiver sido selecionado anteriormente e você desejar alterá-lo, mas a lista suspensa da
caixa de diálogo Perfis de origens de dados SNMP não incluir o perfil necessário, crie um perfil SNMP de
origem de dados.
Gerenciar origens de dados
Você pode adicionar, editar, excluir, importar, exportar e migrar origens de dados, bem como adicionar
origens de dados filho e cliente na página Origens de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
2
Exiba uma lista das origens de dados no Receptor e execute quaisquer das opções disponíveis para
gerenciá-las.
3
Clique em Aplicar ou OK.
SIEM Collector
O SIEM Collector envia Logs de eventos do Windows para um Receiver, usando uma conexão
criptografada.
Sem o IEM Collector, a coleta de eventos do Windows é limitada ao uso do protocolo WMI ou de um
agente de terceiros. Em muitos ambientes, a política de segurança bloqueia o acesso ao sistema para
que você não possa usar o WMI.
O tráfego WMI é texto sem criptografia e somente permite acesso a logs gravados no Log de eventos
do Windows. Não é possível acessar arquivos de log criados por outros serviços, como DNS, DHCP e
IIS ou usando outro agente de terceiro.
Usando o SIEM Collector de forma independente ou como parte de uma implementação existente do
McAfee ePolicy Orchestrator, você poderá adicionar a funcionalidade do WMI a agentes existentes do
McAfee.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
69
3
Configuração do ESM
Configuração de dispositivos
Você também pode usar o SIEM Collector como um hub para coletar logs de outros sistemas, via RPC,
sem adicionar o pacote do SIEM Collector a cada sistema.
Outras funcionalidades:
•
Plug-in para a coleta de banco de dados SQL definida pelo usuário (compatível com SQL Server e
Oracle).
•
Plug-in para analisar Eventos do Windows exportados em formatos .evt ou .evtx.
•
Plug-in para suporte à auditoria do SQL Server C2 (formato .trc).
Integração de dados de Avaliação de vulnerabilidade
A Vulnerability Assessment (VA) no DEM e no receptor permite integrar dados que podem ser
recuperados de muitos fornecedores de VA.
Esses dados podem ser usados de várias maneiras.
•
Determine a gravidade de um evento com base na vulnerabilidade conhecida do terminal a esse
evento.
•
Defina o sistema para que detecte automaticamente os ativos e seus atributo (sistema operacional
e serviços).
•
Crie e manipule a associação de grupos de ativos definidos pelo usuário.
•
Acesse o resumo e faça uma busca detalhada das informações dos ativos da rede.
•
Modifique a configuração do Editor de políticas, como ativar as assinaturas de MySQL, se for
descoberto algum ativo executando MySQL.
Você pode acessar dados de VA gerados pelo sistema em exibições predefinidas ou nas exibições
personalizadas que você criar. As exibições predefinidas são:
•
Exibições de dashboard | Dashboard de vulnerabilidade de ativos
•
Exibições de conformidade | PCI | Testar sistemas e processos de segurança | 11.2 Varreduras de vulnerabilidade de rede
•
Exibições executivas | Vulnerab. crítica em ativos regulados
Para criar uma exibição personalizada, consulte Adicionar uma exibição personalizada.
Se criar uma exibição que inclua o componente Número total de vulnerabilidades Contagem ou Discagem, você
poderá ver uma contagem aumentada de vulnerabilidades. Isso ocorre porque o feed do McAfee Threat
Intelligence Services (MTIS) adiciona ameaças com base na vulnerabilidade original reportada pela
origem VA (consulte Ativo, ameaça e avaliação de risco).
A equipe da McAfee responsável por regras mantém um arquivo de regras que mapeia um signID da
McAfee a um VIN para uma ou mais referências ao ID de Common Vulnerabilities and Exposures
(CVE), ID de BugTraq, ID de Open Source Vulnerability Database (OSVDB) e/ou ID de Secunia. Esses
fornecedores informam IDs de CVE e BugTraq em suas vulnerabilidades. Portanto, os IDs de CVE e
BugTraq foram incluídos nesta versão.
Definir um perfil de sistema VA
Ao adicionar uma origem eEye REM, na página Adicionar a origem de Vulnerability Assessment, você tem a
opção de usar um perfil do sistema anteriormente definido. Para usar esse recurso, primeiramente é
preciso definir o perfil.
70
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone
Propriedades
.
2
Clique em Vulnerability Assessment | Adicionar.
3
No campo Tipo de origem VA, selecione eEye REM.
4
Clique em Usar perfil de sistema.
5
Clique em Adicionar e selecione Vulnerability Assessment no campo Tipo de perfil.
6
No campo Agente do perfil, selecione a versão de SNMP deste perfil.
Os campos na página são ativados de acordo com a versão selecionada.
7
Preencha as informações solicitadas e clique em OK.
Adicionar uma origem VA
Para comunicar-se com origens VA, é preciso adicionar a origem ao sistema, configurar parâmetros de
comunicação para o fornecedor de VA, programar os parâmetros para que informem com que
frequência os dados serão recuperados e modificar cálculos da gravidade dos eventos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone
Propriedades
.
2
Clique em Vulnerability Assessment.
3
Adicione, edite, remova ou recupere origens de VA e grave as alterações no dispositivo.
4
Clique em Aplicar ou OK.
Recuperar dados de VA
Assim que uma origem for adicionada, será possível recuperar dados de VA. Há duas formas de se
recuperar dados de VA em uma origem: programada ou imediata. Os dois tipos de recuperação podem
ser realizados em todas as origens VA, exceto eEye REM, que precisa ser programada.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM ou Propriedades do Receptor e clique
em Vulnerability Assessment.
2
Selecione uma origem de VA e uma das opções.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
71
3
Configuração do ESM
Configuração de dispositivos
Para...
Faça isto...
Recuperar
imediatamente
• Clique em Recuperar.
Programar
recuperação
A tarefa é executada em segundo plano e você é informado se a recuperação
foi bem-sucedida (consulte Solução de problemas de recuperação de VA se
ocorrer algum problema).
1 Clique em Editar.
2 No campo Programar recuperação de dados VA, selecione a frequência.
3 Clique em OK.
4 Na página Vulnerability Assessment, clique em Gravar para gravar as alterações no
dispositivo.
3
4
Clique em OK.
Para exibir os dados, clique no ícone de inicialização rápida do Asset Manager
Vulnerability Assessment.
e selecione a guia
Solução de problemas de recuperação de VA
Quando você recupera dados de VA, é informado se o processo não é bem-sucedido. Aqui estão
alguns motivos que podem prejudicar a recuperação.
Este recurso...
Causas...
Nessus, OpenVAS e
Rapid7 Metasploit
Pro
• Diretório vazio.
• Erro nas configurações.
• Os dados no diretório já foram recuperados, portanto, não são atuais.
Qualys, FusionVM e
Rapid7 Nexpose
Os dados no diretório já foram recuperados, portanto, não são atuais.
Nessus
Se você sobrescreveu um arquivo do Nessus ao fazer upload de um outro
arquivo novo do Nessus file no site do FTP, a data do arquivo permanecerá
igual. Portanto, quando você realizar uma recuperação de VA, nenhum dado
será retornado, porque será entendido como dado antigo. Para evitar essa
situação, exclua o antigo arquivo do Nessus do site do FTP antes de fazer
upload do novo ou use um nome diferente para o arquivo do qual fez upload.
Fornecedores de VA disponíveis
O ESM pode se integrar a esses fornecedores de VA.
Fornecedor de VA
Versão
Digital Defense Frontline
5.1.1.4
eEye REM (servidor de eventos REM)
3.7.9.1721
eEye Retina
5.13.0, auditorias: 2400
A origem VA eEye Retina é como a origem de dados
Nessus. Você pode optar por usar scp, ftp, nfs ou cifs
para obter arquivos .rtd. Normalmente, é preciso copiar
os arquivos .rtd para um compartilhamento scp, ftp ou
nfs para efetuar pull. Normalmente, os arquivos .rtd
ficam localizados no diretório Retina Scans.
McAfee Vulnerability Manager
72
McAfee Enterprise Security Manager 9.5.0
6.8, 7.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Fornecedor de VA
Versão
Critical Watch FusionVM
4-2011.6.1.48
LanGuard
10.2
Lumension
Suporte do PatchLink Security
Management Console 6.4.5 e versões
posteriores
nCircle
6.8.1.6
Nessus
Compatível com Tenable Nessus versões
3.2.1.1 e 4.2 e formatos de arquivo
NBE, .nessus (XMLv2) e .nessus
(XMLv1); também, formato XML do
OpenNessus 3.2.1
NGS
OpenVAS
3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro
4.1.4-Atualização 1, formato de arquivo
XML
Você pode deduzir a gravidade de uma exploração
Metasploit que começa com o nome Nexpose
adicionando uma origem Rapid7 VA ao mesmo Receptor.
Se não puder ser deduzida, a gravidade padrão será
100.
Saint
Criar origens de dados automaticamente
É possível configurar o Receptor para criar origens de dados automaticamente usando as cinco regras
padrão fornecidas como o Receptor ou as regras criadas por você.
Antes de iniciar
Garanta que a verificação automática esteja selecionada na caixa de diálogo Eventos, fluxos e
logs (Propriedades do sistema | Eventos, fluxos e logs) ou clique no ícone Obter eventos e fluxos
barra de ferramentas de ações para efetuar pull de eventos e/ou fluxos.
na
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Em Propriedades do receptor, clique em Origens de dados | Aprender automaticamente.
2
Na janela Aprender automaticamente, clique em Configurar.
3
Na janela Editor de adição automática de regra, garanta que a opção Ativar a criação automática esteja
selecionada, e selecione as regras que deseja que o Receptor use para criar as origens de dados
automaticamente.
4
Clique em Executar se desejar aplicar as regras selecionadas aos dados aprendidos automaticamente
existentes e clique em Fechar.
Adicionar novas regras de criação automática
É possível adicionar regras personalizadas a serem usadas pelo Receptor para a criação automática de
origens de dados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
73
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Em Propriedades do receptor, clique em Origens de dados | Aprender automaticamente | Configurar | Adicionar.
2
Na caixa de diálogo Configurar regra de adição automática, adicione os dados necessários para definir a
regra e clique em OK.
A nova regra será adicionada à lista de regras de adição automática na caixa de diálogo Editor de adição
automática de regra. Você então pode selecioná-la para que as origens de dados sejam criadas quando os
dados aprendidos automaticamente atenderem aos critérios definidos na regra.
Definir formato de data para origens de dados
Selecione o formato das datas incluídas nas origens de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um Receptor e clique no ícone Adicionar origem de dados
.
2
3
Clique em Avançado e faça a seleção no campo Ordem de data:
•
Padrão – Usa a ordem de data padrão (mês antes do dia). Ao usar as origens de dados clientes,
os clientes que usarem essa configuração herdarão a ordem de data da origem de dados pai.
•
Mês antes de dia – O mês vem antes do dia (04/23/2014).
•
Dia antes do mês – O dia vem antes do mês (23/04/2014).
Clique em OK.
Origens de dados fora de sincronização
Como resultado de várias configurações possíveis, o horário em uma origem de dados pode ficar fora
de sincronização com o ESM. Quando uma origem de dados fora de sincronização gera um evento, um
sinalizador vermelho aparece ao lado do Receiver na árvore de navegação do sistema.
Você pode configurar um alarme para ser notificado quando isso acontecer. Você poderá gerenciar as
origens de dados que estiverem fora de sincronização acessando a página Delta de tempo (consulte
Gerenciar origens de dados fora de sincronização).
Eventos fora de sincronização podem ser eventos antigos ou futuros.
Há vários motivos que levam as origens de dados a ficar fora de sincronização com o ESM.
74
1
Configuração de fuso horário incorreta no ESM (consulte Selecionar configurações do usuário).
2
Você pode ter definido o horário no fuso errado ao adicionar a origem de dados (consulte Adicionar
uma origem de dados).
3
O sistema está ativo há muito tempo e alguma falha o levou a ficar fora de sincronização.
4
Você configurou o sistema dessa forma de propósito.
5
O sistema não está conectado à Internet.
6
O evento chega ao Receiver fora de sincronização.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Consulte também
Adicionar uma origem de dados na página 68
Gerenciar origens de dados fora de sincronização na página 75
Selecione configurações do usuário na página 29
Gerenciar origens de dados fora de sincronização
Se tiver origens de dados que estiverem fora de sincronização com o ESM, você poderá configurar um
alarme para receber notificação quando elas gerarem eventos. Você poderá exibir uma lista das
origens de dados, editar suas configurações e exportar essa lista.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Defina um alarme para receber notificação quando o Receiver receber um evento, gerado por uma
origem de dados fora de sincronização com o ESM.
a
2
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
b
Clique em Alarmes | Adicionar, digite as informações solicitadas na guia Resumo e clique na guia
Condição.
c
Selecione Delta de evento no campo Tipo, a frequência com que o ESM deve verificar origens de
dados fora de sincronização e a diferença de horário que deve haver para que o alarme dispare.
d
Preencha as informações das guias restantes.
Exiba, edite ou exporte as origens de dados que estiverem fora de sincronização.
a
Na árvore de navegação do sistema, clique no Receiver e no ícone Propriedades.
b
Clique em Gerenciamento do Receiver e em Delta de tempo.
Adicionar uma origem de dados filho
É possível adicionar origens de dados filhos para ajudá-lo a organizar as origens de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
2
Na tabela de origens de dados, clique na origem de dados à qual deseja adicionar uma origem de
dados filho.
3
Clique em Adicionar filho e preencha os campos como faria em uma origem de dados pai.
4
Clique em OK.
A origem de dados é adicionada como filho abaixo da origem de dados pai na tabela e na árvore de
navegação do sistema.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
75
3
Configuração do ESM
Configuração de dispositivos
Origens de dados cliente
Você pode aumentar o número de origens de dados permitidas em um Receptor adicionando origens
de dados cliente. Para as origens de dados com um coletor syslog, ASP, CEF, MEF, NPP e WMI, é
possível adicionar até 65.534 clientes de origens de dados.
Se a origem de dados já for um pai ou um filho, ou se for WMI e a opção Usar RPC estiver selecionada,
essa opção não estará disponível.
Agora você pode ter mais de uma origem de dados cliente com o mesmo endereço IP e usar
o número de porta para diferenciá-las. Isso permite separar os dados usando uma porta
diferente para cada tipo de dados e encaminhá-los usando a mesma porta pela qual eles
entraram.
Ao adicionar uma origem de dados cliente (consulte Origens de dados cliente e Adicionar
uma origem de dados cliente), você optará entre usar a porta de origem de dados pai ou
outra porta.
As origens de dados clientes têm estas características:
•
Elas não têm direitos VIPS, Política ou Agente.
•
Elas não são exibidas na tabela Origens de dados.
•
Elas aparecem na árvore de navegação do sistema.
•
Elas compartilham a mesma política e os mesmos direitos da origem de dados pai.
•
Elas devem estar no mesmo fuso horário, pois usam a configuração do pai.
As origens de dados cliente do WMI podem ter fusos horários independentes porque o fuso horário é
determinado pela consulta enviada ao servidor WMI.
Adicionar uma origem de dados cliente
Adicione um cliente a uma origem de dados já existente para aumentar o número de origens de dados
permitidas no Receptor.
Antes de iniciar
Adicione a origem de dados ao Receptor (consulte Adicionar uma origem de dados).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
2
Selecione a origem de dados à qual deseja adicionar o cliente e clique em Clientes.
A página Clientes de origem de dados relaciona os clientes que no momento fazem parte da origem de
dados selecionada.
3
Clique em Adicionar, preencha as informações solicitadas e clique em OK.
Os eventos se direcionam à origem de dados (pai ou cliente) que for mais específica. Por exemplo,
você tem duas origens de dados cliente, uma com um endereço IP 1.1.1.1 e a outra com um endereço
IP 1.1.1.0/24, o que abrange uma faixa. Ambas são do mesmo tipo. Se um evento corresponder a
1.1.1.1, ele irá para o primeiro cliente porque é mais específico.
76
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Localizar um cliente
A página Clientes de origem de dados contém todos os clientes do sistema. Como você pode ter mais de
65.000 clientes, existe um recurso de pesquisa para possibilitar a localização de um cliente específico,
caso seja necessário.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados |
Clientes.
2
Insira as informações que deseja procurar e clique em Pesquisar.
Importar uma lista de origens de dados
A opção Importar na página Origens de dados permite a importação de uma lista de origens de dados salvas
em formato .csv, o que elimina a necessidade de adicionar, editar ou remover cada origem de dados
individualmente.
Há duas situações em que é possível usar esta opção:
•
Para importar os dados brutos da origem de dados de um Receptor em um local protegido para um
Receptor em um local não protegido. Se é isso o que você está fazendo, consulte Mover origens de
dados.
•
Para editar as origens de dados em um Receptor adicionando origens de dados à lista existente e
editando ou removendo origens de dados existentes. Se isso for o que você precisa fazer, siga as
etapas a seguir.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Exporte uma lista das origens de dados que estão atualmente no Receiver.
a
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
b
Clique em Exportar e em Sim para confirmar o download.
c
Selecione o local do download, altere o nome do arquivo se necessário e clique em Salvar.
A lista das origens de dados existentes será salva.
d
Acesse e abra esse arquivo.
Será aberta uma planilha com uma lista dos dados das origens de dados que estão no Receiver
no momento (consulte Campos de planilha na importação de origens de dados).
2
Adicione, edite ou remova as origens de dados na lista.
a
Na coluna A, especifique a ação a ser adotada com essa origem de dados: adicionar, editar ou
remover.
b
Se você está adicionando ou editando origens de dados, insira as informações nas colunas da
planilha.
Não é possível editar a política ou o nome da origem de dados.
c
Salve as alterações efetuadas na planilha.
Não é possível editar uma origem de dados para torná-la uma origem de dados de uma origem de
dados cliente ou vice-versa.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
77
3
Configuração do ESM
Configuração de dispositivos
3
Importe a lista para o Receiver.
a
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
b
Clique em Importar, selecione o arquivo e clique em Fazer upload.
Não é possível alterar a política ou o nome da origem de dados
A página Importar origens de dados é aberta, listando as alterações que foram efetuadas na planilha.
c
Para importar as alterações, clique em OK.
As alterações formatadas corretamente serão adicionadas.
d
Se houver erros na formatação das alterações, um Registro de mensagens descreve o erros.
e
Clique em Fazer download de todo o arquivo e clique em Sim.
f
Selecione o local para salvar o download, altere o nome do arquivo se necessário e clique em
Salvar.
g
Abra o arquivo obtido por download.
Ele contém as origens de dados que apresentam erros.
h
Corrija os erros, salve e feche o arquivo.
i
Feche Registro de mensagens e Importar origens de dados, clique em Importar e selecione o arquivo que foi
salvo.
Importar origens de dados relaciona as origens de dados que foram corrigidas.
j
Clique em OK.
Campos de planilha para importação de origens de dados
A planilha utilizada para importar as origens de dados tem várias colunas, sendo algumas obrigatórias
e outras somente usadas para tipos de origens de dados específicos.
Campos requeridos para todas as origens de dados
Coluna Descrição
Detalhes
op
Insira uma dessas funções na coluna op:
Operação a ser realizada
na origem de dados
• adicionar = Adicione uma origem de dados.
• editar = Modifique uma origem de dados existente.
• remover = Remova sem reatribuir.
Se esta coluna for deixada em branco, nenhuma ação será
realizada na origem de dados.
rec_id
ID do receptor
dsname Nome da origem de
dados
78
McAfee Enterprise Security Manager 9.5.0
Este número de ID do dispositivo pode ser encontrado na página
Nome e descrição do Receptor.
Deve ser único no Receptor.
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Campos usados por todas as origens de dados
Coluna
Descrição
Detalhes
IP
Endereço IP válido
para a origem de
dados
• É obrigatório, exceto se o protocolo = 'corr'.
• Validação realizada para origens de dados ativadas somente.
Exclui:
• Protocolos: cifs, nfs, ftp, scp, http
• Coletor = 'curl' ou 'mount'
• SNMPTrap - Não é válido se outras origens de dados usarem
correspondências de IPAddress e de interceptação SNMP.
• nfxsql - Não é válido se a combinação de IPAddress,
'dbname' e 'port' for encontrada.
• netflow ou opsec - Não é válido se a combinação de
IPAddress e 'port' for encontrada.
• mef é o coletor (se o analisador for mef, o coletor será
automaticamente mef) - Não é válido se mef e protocolo
forem encontrados.
model
A entrada deve ser uma correspondência exata, exceto para
clientes com MatchByFlag = 1 (correspondência por IPAddress)
vendor
A entrada deve ser uma correspondência exata, exceto para
clientes com MatchByFlag = 1 (correspondência por IPAddress)
parent_id
ID da origem de
dados pai
Obrigatório para um agente ou cliente. Se esse ID for um nome,
é feita uma tentativa de encontrar a origem de dados pai com
esse nome, que é um filho do Receiver especificado.
child_type
Tipo de origem de
dados filho
Obrigatório: 0 = não é um filho, 1 = agente, 2 = cliente
match_type Que correspondente
ao cliente
parsing
Obrigatório para adicionar ou editar fontes de dados: 1 =
correspondência por endereço IP, 2 = correspondência por tipo
de fornecedor
Sinalizador ativado de Sinalizador ativado (sim/não), o padrão é sim
origem de dados
Campos usados por origens de dados que não são clientes
Coluna
Descrição
Detalhes
snmp_trap_id ID do perfil para interceptação
snmp
O padrão é 0.
elm_logging
Registre-se no elm (sim/não)
O padrão é não.
lista
Nome da lista do elm
O padrão é em branco.
meta-vendor
O padrão é em branco.
meta-product
O padrão é em branco.
meta_version
O padrão é em branco.
url
URL de detalhes do evento
O padrão é em branco.
analisador
Método analisador de formato de
dados
O padrão é Padrão.
coletor
Método de recuperação de dados
O padrão é Padrão. Se o analisador for mef, o coletor
será definido como mef. Scp, http, ftp, nfs, cifs
estão corretos se o formato do arquivo simples for
compatível com o protocolo.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
79
3
Configuração do ESM
Configuração de dispositivos
Campos obrigatórios se o formato for CEF ou MEF
Coluna
Descrição
Detalhes
criptografar Sinalizador de
O padrão é F. Também usado se o Formato for Padrão, a Recuperação
criptografia de origem for mef e o Protocolo for gsyslog. A criptografia deve ser a mesma
de dados
para todos os mef de mesmo endereço IP.
hostname
Nome do host ou ID
do host
O padrão é em branco. Opcional se o Protocolo for gsyslog ou syslog
— Deve ser único. Opcional se o Protocolo for nas.
agregar
Retransmissão de
syslog
Os valores válidos são em branco e syslogng. O padrão é em
branco. Também usado se o Formato for Padrão, a Recuperação for
Padrão e o Protocolo for gsyslog.
tz_id
ID de fuso horário
O padrão é em branco. Também usado se o Formato for Padrão e
se uma das seguintes condições se aplicar:
• O Protocolo for syslog e o Modelo não for Adiscon Windows Events.
• O Protocolo for nfxsql.
• O Protocolo for nfxhttp.
• O Protocolo for e-mail.
• O Protocolo for estream.
Também usado na compatibilidade de alguns arquivos simples
Outros campos
Coluna
Descrição
Detalhes
profile_id
O nome ou ID do perfil
O padrão é em branco. Se o nome do
perfil não puder encontrar o registro de
perfil, um erro é registrado em log.
exportMcAfeeFile
Sinalizador de transporte de
origem de dados
O padrão é não. Se for sim, este banco
de dados será incluído no transporte de
banco de dados.
exportProfileID
Nome de perfil do
compartilhamento remoto
O padrão é em branco.
mcafee_formated_file
Analisar sinalizador de
arquivo de dados brutos
O padrão é não. Se for sim, o método
de análise usará o arquivo de dados
brutos.
mcafee_formated_file_xsum Use o sinalizador de soma de
verificação
O padrão é não. Se for sim, use a soma
de verificação antes de analisar o
arquivo de dados brutos.
mcafee_formated_file_ipsid
O ID original do IPS do Nitro
Obrigatório se estiver usando o arquivo
de dados brutos.
zoneID
Nome da zona
O padrão é em branco.
policy_name
O nome ou ID da política
O padrão é em branco. Usado somente
quando novas fontes de dados forem
adicionadas. Este valor não é atualizado
em uma operação de edição.
Campos validados para protocolos específicos
O fornecedor e o modelo determinam o protocolo, exceto quando o formato for Padrão ou CEF e a
Recuperação não for Padrão ou MEF. Então o protocolo será o valor de Recuperação. Esses campos são
validados para o protocolo especificado, se nenhum perfil for especificado.
80
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
Tabela 3-2
Campos Netflow — Inicia na coluna AF
Coluna
Descrição
Detalhes
netflow_port
O padrão é 9993.
netflow_repeat_enabled Encaminhamento ativado
O padrão é F.
netflow_repeat_ip
Encaminhamento de endereço IP Obrigatório se repeat_enabled = T. O
padrão é em branco.
netflow_repeat_port
Encaminhamento de porta
Tabela 3-3
3
O padrão é 9996.
Campos rdep — Inicia na coluna AJ
Coluna
Descrição
Detalhes
rdep_sdee_username
Obrigatório
rdep_sdee_password
Obrigatório
rdep_sdee_interval
O padrão é 60 segundos.
Tabela 3-4 Campos opsec — Inicia na coluna AM
Coluna
Descrição
Detalhes
opsec_parent
Sinalizador pai (tipo
de dispositivo)
Obrigatório (T/F). T = a origem de dados é um
pai. F = a origem de dados não é um pai
opsec_authentication
Usar sinalizador de
autenticação
Usado se pai = T, o padrão é F
opsec_appname
Nome do aplicativo
Obrigatório se autenticação = T, opcional se F, o
padrão é em branco
opsec_actkey
Chave de ativação
Obrigatório se autenticação = T, opcional se F, o
padrão é em branco
opsec_parent_id
Nome pai de origem
de dados
Nome pai – obrigatório se pai = F. É registrado
um erro em log se o nome pai da origem de
dados não puder encontrar a origem de dados
pai.
opsec_port
Usado se pai = T, o padrão é 18184
opsec_encryption
Usar sinalizador de
criptografia
Usado se pai = T, o padrão é F
opsec_comm_method
Método de
comunicação
Usado se pai = T, o padrão é em branco. Deve
ser um valor válido:
• '' (blank)
• 'sslca'
• 'asym_sslca'
• 'sslca_clear'
• 'asym_sslca_com
p'
• 'sslca_comp'
• 'asym_sslca_rc4'
• 'sslca_rc4'
• 'asym_sslca_rc4_
comp'
• 'sslca_rc4_comp'
• 'ssl_clear'
opsec_server_entity_dn
Nome distinto da
entidade do servidor
O padrão é em branco. Usado se pai = T.
Obrigatório se tipo de dispositivo = Log
Server/CLM ou Secondary SMS/CMA.
opsec_collect_audit_events Sinalizador para o tipo Usado se pai = T, o padrão é "yes"
de coleta opsec
“eventos de auditoria”
McAfee Enterprise Security Manager 9.5.0
Guia de produto
81
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-4 Campos opsec — Inicia na coluna AM (continuação)
Coluna
Descrição
Detalhes
opsec_collect_log_events
Sinalizador de
eventos de log para
tipo de coleta
Usado se pai = T, o padrão é "sim".
opsec_type
Tipo de dispositivo
Obrigatório. Os valores válidos para esse campo
são:
Valor Nome na lista suspensa de
thin-client
0
SMS/CMA
1
Dispositivo de segurança
2
Log Server/CLM
3
SMS/CMA secundário
Tabela 3-5 Campos wmi — Inicia na coluna AY
Coluna
Descrição
Detalhes
wmi_use_rpc
Usar o sinalizador RPC O padrão é não.
wmi_logs
Logs de eventos
O padrão é SYSTEM,APPLICATION,SECURITY.
wmi_nbname
Nome NetBIOS
Obrigatório se Recuperação = Padrão, do contrário é opcional. O
padrão é em branco.
wmi_username Nome do usuário
Obrigatório se Recuperação = Padrão, do contrário é opcional. O
padrão é em branco.
wmi_password Senha
Obrigatório se Recuperação = Padrão, do contrário é opcional. O
padrão é em branco.
wmi_interval
O padrão é 600.
wmi_version
O padrão é 0.
Tabela 3-6 Campos gsyslog — Inicia na coluna BF
Coluna
Descrição
Detalhes
gsyslog_autolearn Compatível com sinalizador de
syslogs genérico
Valores válidos: T, F, COUNT. O padrão é F.
gsyslog_type
Obrigatório se autolearn = T; do contrário é
opcional. O padrão é 49190.
Atribuição de regra genérica
gsyslog_mask
Usado se Recuperação for Padrão. O padrão é 0.
Tabela 3-7 Campo corr — Coluna BI
Coluna
Descrição
Detalhes
corr_local Usar sinalizador de dados
locais
O padrão é F. Se o modelo do Receptor for ERC-VM-25 ou
ERC-VM-500, a origem de dados não será adicionada. Do
contrário, não pode haver outras origens de dados usando
esse Protocolo.
Tabela 3-8 Campos sdee — Inicia na coluna BJ
Coluna
82
Descrição
Detalhes
sdee_username
Obrigatório
sdee_password
Obrigatório
sdee_uri
O padrão é cgi-bin/sdee-server.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-8 Campos sdee — Inicia na coluna BJ (continuação)
Coluna
Descrição
Detalhes
sdee_interval
O padrão é 600 segundos.
sdee_port
O padrão é 443.
sdee_proxy_port
O padrão é 8080.
sdee_use_ssl
O padrão é T.
sdee_proxy_ip
Obrigatório se use_proxy = T. O padrão é em branco.
sdee_proxy_username
Obrigatório se use_proxy = T. O padrão é em branco.
sdee_proxy_password
Obrigatório se use_proxy = T. O padrão é em branco.
sdee_use_proxy
O padrão é F.
Tabela 3-9 Campos mssql — Inicia na coluna BU
Coluna
Descrição
Detalhes
mssql_parent
Tipo de dispositivo O padrão é T. Servidor = T. Dispositivo gerenciado = F
mssql_port
Usado se pai = T. O padrão é 1433.
mssql_interval
Usado se pai = T. O padrão é 600 segundos.
mssql_username
Obrigatório se pai = T. O padrão é em branco.
mssql_password
Obrigatório se pai = T. O padrão é em branco.
mssql_parent_id Nome pai
Obrigatório se pai = F. É registrado um erro em log se o nome
pai não puder encontrar a origem de dados.
Tabela 3-10 Campos syslog — Inicia na coluna CA
Coluna
Descrição
Detalhes
syslog_untrust_iface
Interface menos
confiável
Obrigatório se o Fornecedor for CyberGuard.
syslog_burb
Nome burb da Internet Obrigatório se o Fornecedor for McAfee e o Modelo
for McAfee Firewall Enterprise.
syslog_sg_mc
Sinalizador de centro
de gerenciamento
Opcional se o Fornecedor for Stonesoft
Corporation, o padrão é não
syslog_nsm
Sinalizador de
gerenciador de
segurança
Opcional se o Fornecedor for Juniper Networks e o
Modelo for Netscreen Firewall/Security Manager
ou Netscreen IDP, o padrão é não
syslog_wmi_syslog_format
Opcional se o Fornecedor for Microsoft e o Modelo
for Adiscon Windows Events, o padrão é 0
syslog_wmi_version
Opcional se o Fornecedor for Microsoft e Modelo
for Adiscon Windows Events, o padrão é 2000
syslog_aruba_version
Opcional se o Fornecedor for Aruba, o padrão é
332
syslog_rev_pix_dir
Inverter valores de
rede
Opcional se o Fornecedor for Cisco e o Modelo for
PIX/ASA ou Firewall Services Module, o padrão
é não
syslog_aggregate
Retransmissão de
syslog
Os valores válidos estão em branco e Fornecedor.
O padrão é em branco.
syslog_require_tls
T/F
Indica se o TLS está sendo usado para a origem
de dados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
83
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-10 Campos syslog — Inicia na coluna CA (continuação)
Coluna
Descrição
Detalhes
syslog_syslog_tls_port
syslog_mask
A porta a ser usada para TLS de syslog se ele
estiver sendo usado.
Máscara para endereço (Opcional) Permite aplicar uma máscara a um
IP
endereço IP para que uma faixa de endereços IP
possa ser aceita. Um zero (0) no campo significa
que nenhuma máscara foi usada. O padrão é 0.
Tabela 3-11 Campos nfxsql — Inicia na coluna CM
Coluna
Descrição
nfxsql_port
Detalhes
O padrão depende do fornecedor e do modelo:
Padrão Fornecedor
Modelo
9117
Enterasys Networks Dragon Sensor ou Dragon Squire
1433
IBM
ISS Real Secure Desktop
Protector ou ISS Real Secure
Network ou ISS Real Secure
Server Sensor
1433
McAfee
ePolicy Orchestrator ou ePolicy
Orchestrator firewall ou ePolicy
Orchestrator host IPS
3306
Symantec
Symantec Mail Security for SMTP
1433
Websense
Websense Enterprise
1433
Microsoft
Operations Manager
1433
NetIQ
NetIQ Security Manager
1433
Trend Micro
Control Manager
1433
Zone Labs
Integrity Server
1433
Cisco
Security Agent
1127
Sophos
Sophos Antivirus
1433
Symantec
Symantec Antivirus Corporate
Edition Server
443
Outros
nfxsql_userid
Obrigatório
nfxsql_password
Obrigatório
nfxsql_dbname
Nome do banco (Opcional) O padrão é em branco.
de dados
nfxsql_splevel
Nível do
Service Pack
nfxsql_version
Usado se o Fornecedor for IBM e o Modelo for ISS Real Secure Desktop
Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor. O
padrão é SP4.
(Opcional)
• O padrão é 9i se o Fornecedor for Oracle e o Modelo for Oracle Audits.
• O padrão é 3.6 se o Fornecedor for McAfee e o Modelo for ePolicy
Orchestrator ou ePolicy Orchestrator Firewall ou ePolicy
Orchestrator Host IPS.
84
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tabela 3-11 Campos nfxsql — Inicia na coluna CM (continuação)
Coluna
Descrição
Detalhes
nfxsql_logtype
Tipo de
registro
Obrigatório se o Fornecedor for Oracle e o Modelo for Oracle Audits (FGA,
GA, ou ambos).
nfxsql_sid
SID do banco
de dados
Opcional se o Fornecedor for Oracle e o Modelo for Oracle Audits. O
padrão é em branco.
Tabela 3-12 Campos nfxhttp — Inicia na coluna CU
Coluna
Descrição
Detalhes
nfxhttp_port
O padrão é 433.
nfxhttp_userid
Obrigatório
nfxhttp_password
Obrigatório
nfxhttp_mode
O padrão é seguro.
Tabela 3-13 Campos email — Inicia na coluna CY
Coluna
Descrição
Detalhes
email_port
O padrão é 993.
email_mailbox
Protocolo de e-mail
O padrão é imap pop3.
email_connection
Tipo de conexão
O padrão é ssl clear.
email_interval
O padrão é 600 segundos.
email_userid
Obrigatório
email_password
Obrigatório
Tabela 3-14 Campos estream — Inicia na coluna DE
Coluna
Descrição
Detalhes
Esses campos estão na planilha. No entanto, um arquivo de certificação é obrigatório, para que eles
sejam ignorados nesse momento.
jestream_port
O padrão é 993.
jestream_password
Obrigatório
jestream_estreamer_cert_file
Obrigatório
jestream_collect_rna
Tabela 3-15 Campos de origem de arquivos — Inicia na coluna DI
Coluna
Descrição
Detalhes
Usado para os Protocolos cifs, ftp, http, nfs, scp.
fs_record_lines
Número de linhas
por registro
Usado se suporte a arquivo simples. O padrão é 1.
fs_file_check
Intervalo
O padrão é 15 minutos.
fs_file_completion
O padrão é 60 segundos.
fs_share_path
O padrão é em branco.
fs_filename
Expressão curinga
fs_share_name
McAfee Enterprise Security Manager 9.5.0
Obrigatório
Obrigatório se o Protocolo for cifs ou nfs (do contrário, não
usado).
Guia de produto
85
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-15 Campos de origem de arquivos — Inicia na coluna DI (continuação)
Coluna
Descrição
Detalhes
fs_username
Usado se o Protocolo for cifs, ftp ou scp. O padrão é em
branco.
fs_password
Usado se o Protocolo for cifs, ftp ou scp. O padrão é em
branco.
fs_encryption
Usado se o Protocolo for ftp ou http. O padrão é não. Também
usado se o suporte a arquivo simples e o Protocolo forem ftp.
fs_port
Usado se o Protocolo for ftp, o padrão é 990. Se o Protocolo for
http, o padrão é 443. Também usado se o suporte a arquivo
simples e o Protocolo forem ftp. O padrão é 80.
fs_verify_cert
Verificar Certificado
SSL
Usado se o Protocolo for ftp ou http. O padrão é não. Também
usado se o suporte a arquivo simples e o Protocolo forem ftp.
fs_compression
Usado se o Protocolo for scp ou sftp. O padrão é não.
fs_login_timeout
Usado se o Protocolo for scp. O padrão é 1 segundo.
fs_copy_timeout
Usado se o Protocolo for scp. O padrão é 1 segundo.
fs_wmi_version
Usado se o suporte a arquivo simples e o Fornecedor forem Microsoft
e o Modelo for Adiscon Windows Events. O padrão é Windows 2000.
fs_aruba_version
Usado se o suporte a arquivo simples e o Fornecedor forem Aruba. O
padrão é 332.
fs_rev_pix_dir
Inverter valores de
rede
Usado se o suporte a arquivo simples e o Fornecedor forem Cisco e
o Modelo for PIX/ASA ou Firewall Services Module. O padrão é não.
fs_untrust_iface
Interface menos
confiável
Obrigatório se o suporte a arquivo simples e o Fornecedor forem
CyberGuard.
fs_burb
Nome burb da
Internet
Obrigatório se o suporte a arquivo simples e o Fornecedor forem
McAfee e o Modelo for McAfee Firewall Enterprise.
fs_nsm
Sinalizador de
gerenciador de
segurança
Opcional se o suporte a arquivo simples e o Fornecedor forem
Juniper Networks e o Modelo for Netscreen Firewall/Security Manager ou
Netscreen IDP. O padrão é não.
fs_autolearn
Suporte a syslogs
genéricos
Opcional se o suporte a arquivo simples e a Recuperação forem
gsyslog. Valores válidos: T, F, COUNT. O padrão é F.
fs_type
Atribuição de regra
genérica
Obrigatório se autolearn = T; do contrário é opcional. O
padrão é 49190.
fs_binary
O padrão é não.
fs_protocol
O padrão é ' — Usado se o analisador for Padrão e o coletor for Origem
de arquivo nfs.
fs_delete_files
Tabela 3-16 Campos sql_ms — Inicia na coluna EH
Coluna
Detalhes
sql_ms_port
O padrão é 1433.
sql_ms_userid
Obrigatório
sql_ms_password
Obrigatório
sql_ms_dbname
86
Descrição
Nome do banco de dados
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tabela 3-17 Campo nas — Coluna EL
Coluna
Descrição Detalhes
nas_type
O padrão é 49190 (Definido pelo usuário 1). Este campo é somente usado para
origens de dados McAfee/PluginProtocol.
Tabela 3-18 Campo ipfix — Coluna EM
Coluna
Descrição
ipfix_transport
Detalhes
Obrigatório. Os valores válidos são TCP e UDP. TCP é o padrão.
Tabela 3-19 Campos snmp — Inicia na Coluna EN
Coluna
Descrição
Detalhes
snmp_authpass
Senha de
autenticação
Obrigatório se:
• traptype = v3trap e secLevel = authPriv ou authNoPriv.
• traptype = v3inform e secLevel = authPriv ou authNoPriv.
snmp_authproto
Protocolo de
autenticação
Os valores válidos são MD5 ou SHA1. Obrigatório se:
• traptype = v3trap e secLevel = authPriv ou authNoPriv.
• traptype = v3inform e secLevel = authPriv ou authNoPriv other
traptypes. O padrão é MD5.
snmp_community Nome da
comunidade
Obrigatório se traptype = v1trap, v2trap, v2inform.
snmp_engineid
Obrigatório se traptype = v3trap
snmp_privpass
Senha de privacidade Obrigatório se:
• traptype = snmpv3trap e secLevel = authPriv
• traptype = snmpv3inform e secLevel = authPriv
snmp_privproto
Protocolo de
privacidade
Os valores válidos são: DES e AES. Obrigatório se:
• traptype = snmpv3trap e secLevel = authPriv
• traptype = snmpv3inform e secLevel = authPriv
Outros traptypes, o padrão é DES.
snmp_seclevel
Nível de segurança
Os valores válidos são: noAuthNoPriv, authNoPriv e authPriv.
Obrigatório se traptype = v3trap ou v3inform.
Outros traptypes, o padrão é noAutNoPriv.
snmp_traptype
Obrigatório. Os valores válidos são: v1trap, v2trap, v2inform,
v3trap e v3inform.
snmp_username
Obrigatório se traptype = snmpv3 ou snmpv3inform.
tipo
Atribuição de regra
padrão
snmp_version
Obrigatório. O padrão é 49190.
Preenchido automaticamente.
Tabela 3-20 sql_ws — Inicia na coluna EY
Coluna
Descrição
Detalhes
sql_ws_port
(Opcional) O padrão depende do fornecedor. O
padrão para Websense é 1433.
sql_ws_userid
Obrigatório
McAfee Enterprise Security Manager 9.5.0
Guia de produto
87
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-20 sql_ws — Inicia na coluna EY (continuação)
Coluna
Descrição
Detalhes
sql_ws_password
Obrigatório
sql_ws_dbname
(Opcional) O padrão é em branco.
sql_ws_db_instance Nome da instância do banco de
dados
Obrigatório
Tabela 3-21 sql — Inicia na coluna FD
Coluna
Descrição
Detalhes
sql_port
Porta usada para se conectar ao
banco de dados
sql_userid
ID de usuário de banco de dados
sql_password
Senha do banco de dados
sql_dbinstance
Nome da instância do banco de dados
sql_config_logging
Os valores válidos são: 0 (para o banco de
dados do SQL Server Express) e 1 (para o banco
de dados do SQL)
sql_protocol
Se o valor de sql_config_logging for 1, este
será gsql.
sql_dbname
Nome do banco de dados
Tabela 3-22 oracleidm — Inicia na coluna FK
Coluna
Descrição
Detalhes
oracleidm_port
Porta usada para se conectar ao banco de dados do Oracle Identify
Manager
oracleidm_userid
ID de usuário para o banco de dados do Oracle Identify Manager
oracleidm_password
Senha para o banco de dados do Oracle Identify Manager
oracleidm_ip_address Endereço IP para o banco de dados do Oracle Identify Manager
oracleidm_dpsid
Nome TNS da conexão em uso
Tabela 3-23 text — Inicia na coluna FP
Coluna
Descrição
Detalhes
Campos usados para a origem de dados do ePolicy Orchestrator.
text_dbinstance Instância do banco de dados na qual o banco de dados do ePolicy
Orchestrator está em execução
text_dbname
Nome do banco de dados do ePolicy Orchestrator
text_password
Senha para o banco de dados do ePolicy Orchestrator
text_port
Porta usada para se conectar ao banco de dados do ePolicy Orchestrator
text_userid
ID de usuário para o banco de dados do ePolicy Orchestrator
Tabela 3-24 gsql — Inicia na coluna FU
Coluna
88
Descrição
Detalhes
gsql_port
(Opcional) O padrão depende do fornecedor. O
padrão para Websense é 1433.
gsql_userid
Obrigatório
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-24 gsql — Inicia na coluna FU (continuação)
Coluna
Descrição
Detalhes
gsql_password
Obrigatório
gsql_dbname
(Opcional) O padrão é em branco.
gsql_db_instance Nome da instância do banco
de dados
Obrigatório
gsql_nsmversion Versão NSM
Obrigatório. Se for deixado em branco, padroniza
para a versão 6.x.
Migrar origens de dados para outro Receptor
Você pode realocar ou redistribuir origens de dados entre Receptores no mesmo sistema.
Isso pode ser particularmente útil se você comprar um novo Receptor e quiser balancear as origens de
dados e os dados associados entre os dois Receptores, ou se comprar um Receptor substituto maior e
precisar transferir as origens de dados do atual Receptor para o novo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor com as origens
de dados e clique em Origens de dados.
2
Selecione as origens de dados que serão migradas e clique em Migrar.
3
Selecione o novo Receptor no campo Receptor de destino e clique em OK.
Mover origens de dados para outro sistema
Para mover as origens de dados de um Receptor para outro em um sistema diferente, é preciso
selecionar as origens de dados a serem movidas, salvá-las e também seus dados brutos em um local
remoto e importá-los para outro Receptor.
Antes de iniciar
Para executar essa função, é preciso ter direitos de gerenciamento de dispositivos em
ambos os Receptores.
Siga esse processo para mover as origens de dados de um Receptor em um local protegido para um
Receptor em um local não protegido.
Existem limitações para a exportação de informações de origens de dados:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
89
3
Configuração do ESM
Configuração de dispositivos
•
Não é possível transportar origens de dados de fluxo (por exemplo, IPFIX, NetFlow ou sFlow).
•
Os eventos de origem dos eventos correlacionados não são exibidos.
•
Se você realizar uma alteração nas regras de correlação do segundo Receptor, o mecanismo de
correlação não processará essas regras. Quando os dados de correlação são transportados, ele
insere esses eventos a partir do arquivo.
Para...
Faça isto...
Selecionar as
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em
origens de dados e
Origem de dados.
o local remoto
2 Selecione a origem de dados e clique em Editar.
3 Clique em Avançado e selecione Exportar no formato NitroFile.
Os dados são exportados para um local remoto e configurados com o uso de um
perfil.
4 Clique em OK.
Daí em diante, os dados brutos gerados por essa origem de dados são copiados para
o local de compartilhamento remoto.
Criar arquivo de
dados brutos
1 Acesse o local de compartilhamento remoto onde os dados brutos são salvos.
Criar um arquivo
que descreva as
origens de dados
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em
Origem de dados | Importar.
2 Salve os dados brutos que foram gerados em um local que permita mover o
arquivo para o segundo Receptor (como um pen-drive que você leva para o local
não protegido).
2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload.
3 Na lista Perfil de compartilhamento remoto, selecione o local para salvar os arquivos de
dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto
e adicione o perfil.
4 Clique em OK.
As origens de dados são adicionadas ao segundo Receptor e os dados brutos serão
acessados por meio do perfil de compartilhamento remoto.
Importar arquivos
de origens de
dados e dados
brutos
1 Na árvore de navegação do sistema, acesse Origens de dados no segundo Receptor e
clique em Importar.
2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload. A
página Importar origens de dados contém as origens de dados a serem importadas.
3 Na lista Perfil de compartilhamento remoto , selecione o local para salvar os arquivos de
dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto
e adicione o perfil (consulte Configurar perfis).
4 Clique em OK.
Configurar aprendizado automático da origem de dados
Configure o ESM para que aprenda os endereços IP automaticamente.
Antes de iniciar
Verifique se as portas estão definidas para Syslog, MEF e fluxos (consulte Configurar
interfaces).
90
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
O firewall no Receptor abre pelo tempo que você designar, de modo que o sistema possa conhecer um
conjunto de endereços IP desconhecidos. Em seguida, você pode adicionar ao sistema como origens
de dados.
Quando você faz upgrade, os resultados do aprendizado automático são excluídos da página Aprender
automaticamente. Se houver resultados de aprendizado automático para os quais você não tomou qualquer
iniciativa, será preciso executar o aprendizado automático após fazer upgrade para coletar esses
resultados novamente.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados |
Aprender automaticamente.
2
Defina as configurações conforme o necessário e clique em Fechar.
Exibir os arquivos gerados pelas origens de dados
Para exibir arquivos gerados pelas origens de dados, é preciso acessar a página Exibir arquivos. Eles não
podem ser vistos em uma exibição do ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione a origem de dados da McAfee.
2
Na barra de ferramentas de ações, clique no ícone Exibir arquivos
3
Siga um destes procedimentos:
4
.
•
Digite um nome de arquivo no campo Filtro de nome de arquivo para localizar um arquivo específico.
•
Altere as configurações no campo Intervalo de tempo para exibir somente os arquivos gerados nesse
período.
•
Clique em Atualizar para atualizar a lista de arquivos.
•
Selecione um arquivo na lista e clique em Fazer download para fazer download do arquivo.
Clique em Cancelar para fechar a página.
Tipo de origem de dados definidos pelo usuário
Essa tabela lista os tipos definidos pelo usuário e seu nome ou entrada correspondente, que é exibido
no editor de origem de dados.
ID
Modelo do
dispositivo
Fornecedor Protocolo Prefixo do nome da regra Tipo do
editor de
regras
49190 Definido pelo usuário 1 N/D
syslog
DefinidopeloUsuário1_
Genérico
49191 Definido pelo usuário 2 N/D
syslog
DefinidopeloUsuário2_
Genérico
49192 Definido pelo usuário 3 N/D
syslog
DefinidopeloUsuário3_
Genérico
49193 Definido pelo usuário 4 N/D
syslog
DefinidopeloUsuário4_
Genérico
49194 Definido pelo usuário 5 N/D
syslog
DefinidopeloUsuário5_
Genérico
49195 Definido pelo usuário 6 N/D
syslog
DefinidopeloUsuário6_
Genérico
49196 Definido pelo usuário 7 N/D
syslog
DefinidopeloUsuário7_
Genérico
49197 Definido pelo usuário 8 N/D
syslog
DefinidopeloUsuário8_
Genérico
McAfee Enterprise Security Manager 9.5.0
Guia de produto
91
3
Configuração do ESM
Configuração de dispositivos
ID
Modelo do
dispositivo
Fornecedor Protocolo Prefixo do nome da regra Tipo do
editor de
regras
49198 Definido pelo usuário 9 N/D
syslog
DefinidopeloUsuário9_
Genérico
49199 Definido pelo usuário
10
syslog
DefinidopeloUsuário10_
Genérico
N/D
Origens de dados compatíveis
A McAfee adiciona suporte a novas origens de dados regularmente. Os Receivers podem ter, no
máximo, 2000, 200 ou 50 origens de dados.
Para exibir uma lista de origens de dados com suporte no momento, consulte https://kc.mcafee.com/
corporate/index?page=content&id=PD25060
Estes dispositivos podem ter até 2.000 origens de dados associadas:
•
ERC-1225
•
ENMELM-5600
•
ERC-1250
•
ENMELM-5750
•
ERC-2230
•
ENMELM-6000
•
ERC-2250
•
ELMERC-2230
•
ERC-2600
•
ELMERC-2250
•
ERC-3450
•
ELMERC-2600
•
ERC-4245
•
ELMERC-4245
•
ERC-4600
•
ELMERC-4600
•
ENMELM-2250
•
ESMREC-4245
•
ENMELM-4245
•
ESMREC-5205
•
ENMELM-4600
•
ESMREC-5510
•
ENMELM-5205
O ERC-110 permite somente 50 origens de dados, e todos os outros podem ter no máximo 200.
Estes são os mapas de intervalos das origens de dados:
•
Tipo de origem de dados: 1 a 48.999
•
Tipos definidos pelo usuário: 49.001 a 49.999
•
Reservado à McAfee (por exemplo, conjuntos de regras): 50.001 a 65.534
Se o McAfee Firewall Enterprise Event Reporter (ERU) estiver sendo usado, somente as origens de
dados da McAfee serão usadas.
Configurar para origens de dados específicas
Algumas origens de dados requereem mais informações e configurações especiais.
Consulte essas seções do apêndice para obter detalhes.
92
•
Check Point
•
Big Fix
•
IBM Internet Security Systems
SiteProtector
•
Common Event Format
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
•
McAfee ePolicy Orchestrator
•
ArcSight
•
ePolicy Orchestrator 4.0
•
Security Device Event Exchange
•
NSM-SEIM
•
Analisador de syslog avançado
•
Suporte à retransmissão de syslog
•
log de eventos WMI
•
Adiscon
3
Registro de eventos WMI
WMI é a implementação da Microsoft do WBEM (Web-Based Enterprise Management), como definido
pela DMTF (Distributed Management Task Force).
É a principal tecnologia de gerenciamento dos sistemas operacionais Windows, permitindo o
compartilhamento de informações de gerenciamento entre os aplicativos de gerenciamento. A
possibilidade de obter dados de gerenciamento de computadores remotos é o que torna o WMI
relevante.
WMI está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS, não
use este recurso.
Os registros de eventos WMI são configurados como uma origem de dados e enviados pelo Receptor.
O Receptor sonda o servidor Windows em intervalos definidos e coleta os eventos. O coletor WMI pode
coletar eventos de qualquer registro de eventos de logon no computador Windows. Por padrão, o
Receptor coleta registros de segurança, administração e eventos. Você consegue inserir outros
arquivos de registros, como Directory Service ou Exchange. Os dados do registro de eventos são
coletados nos dados do pacote e podem ser exibidos nos detalhes da tabela de eventos.
O operador precisa ter privilégios administrativos ou de backup nos registros de evento WMI, exceto
quando utilizar o Windows 2008 ou o 2008 R2 se a origem de dados e o usuário estiverem configurados
corretamente (consulte Efetuar pull dos registros de segurança do Windows).
Estes dispositivos adicionais são compatíveis com a origem de dados do WMI:
•
McAfee Antivirus
•
Microsoft SQL Server
•
Windows
•
RSA Authentication Manager
•
Microsoft ISA Server
•
Symantec Antivirus
•
Microsoft Active Directory
•
Microsoft Exchange
Para obter instruções sobre como configurar o WMI do syslog através do Adiscon, consulte Configuração
do Adiscon.
Na configuração de uma origem de dados do WMI, o fornecedor é a Microsoft e o modelo é WMI Event Log.
Configurar para efetuar pull dos registros de segurança do Windows
Quando você usa o Windows 2008 ou 2008 R2, os usuários sem privilégios administrativos podem
efetuar pull dos registros de segurança do Windows se a origem de dados do Registro de eventos WMI
e o usuário estiverem configurados corretamente.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
93
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Crie um novo usuário no sistema Windows 2008 ou 2008 R2 onde os logs de evento serão lidos.
2
Atribua o usuário ao grupo de leitores de registros de eventos no sistema Windows.
3
Crie uma nova origem de dados do Registro de eventos WMI da Microsoft no McAfee Event
Receiver, inserindo as credenciais do usuário criado na etapa 1 (consulte Adicionar uma origem de
dados).
4
Marque a caixa Usar RPC e clique em OK.
Origem de dados de correlação
Uma origem de dados de correlação analisa dados que fluem de um ESM, detecta padrões suspeitos
no fluxo de dados, gera alertas de correlação que representa esses padrões, e insere esses alertas no
banco de dados de alerta do Receptor.
Um padrão suspeito é representado pelos dados interpretados por regras de política de correlação,
que você pode criar e modificar. Esses tipos de regras são separadas e distintas das regras do Nitro
IPS ou de firewall e têm atributos que especificam seu comportamento.
Somente uma origem de dados de correlação pode ser configurada em um Receptor, de forma
semelhante à configuração do syslog ou OPSEC. Depois de configurar uma origem de dados de
correlação do Receptor, você pode distribuir a política padrão da correlação, editar as regras básicas
nessa política padrão da correlação ou adicionar regras e componentes personalizados e depois
distribuir a política. Você pode ativar ou desativar cada regra e definir o valor dos parâmetros
configuráveis pelo usuário de cada regra. Para obter detalhes sobre a política de correlação, consulte
Regras de correlação.
Quando você adiciona uma origem de dados de correlação, o fornecedor é a McAfee e o modelo é
Mecanismo de correlação.
Quando a origem de dados de correlação é ativada, o ESM envia alertas para o mecanismo de
correlação no Receptor.
94
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Gravidade e mapeamento de ações
Os parâmetros de gravidade e ação têm finalidades um pouco distintas. O objetivo deles é mapear um
valor da mensagem do syslog para um valor que se encaixe no esquema do sistema.
•
severity_map — A gravidade aparece como um valor entre 1 (menos grave) e 100 (mais grave)
atribuído aos eventos correspondentes à regra. Em alguns casos, o dispositivo que estiver enviando
a mensagem poderá mostrar a gravidade como um número de 1 a 10 ou como texto (alta, média e
baixa). Quando isso acontece, ele não pode ser capturado como a gravidade, e um mapeamento
precisa ser criado. Por exemplo, esta é uma mensagem proveniente do McAfee IntruShield que
mostra a gravidade na forma de texto.
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
A sintaxe de uma regra que utiliza mapeamento de gravidade teria esta aparência (o mapeamento
de gravidade está em negrito somente para enfatizar):
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10. Isso mapeia o texto para um número no formato
utilizável.
setparm : severity=3. Informa para utilizar a terceira captura e defini-la igual à gravidade. Todos
os modificadores setparm funcionam dessa forma.
•
action_map — Usado exatamente como a gravidade. Action representa a ação executada pelo
dispositivo do outro fornecedor. O objetivo é criar um mapeamento que seja útil ao usuário final.
Por exemplo, esta é uma mensagem de falha na entrada do OpenSSH.
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
A ação (Falha) é mapeada para um número. Esse número representa as diferentes ações que
podemos usar no nosso sistema. Veja abaixo a lista completa de tipos de ação utilizáveis.
•
0 = nulo
•
20 = interrupção
•
1 = aprovação
•
21 = com aviso
•
2 = rejeição
•
22 = confiável
•
3 = descarte
•
23 = não confiável
•
sdrop
•
24 = falso positivo
•
5 = alerta
•
25 = alerta-rejeição
•
6 = padrão
•
26 = alerta-descarte
•
7 = erro
•
27 = alerta-sdrop
•
8 = êxito
•
28 = reinicialização
McAfee Enterprise Security Manager 9.5.0
Guia de produto
95
3
Configuração do ESM
Configuração de dispositivos
•
9 = falha
•
29 = bloqueio
•
10 = emergência
•
30 = limpeza
•
11 = crítico
•
31 = limpeza-falha
•
12 = aviso
•
32 = continuação
•
13 = informativo
•
33 = infectado
•
14 = depuração
•
34 = movimento
•
15 = integridade
•
35 = mover-falha
•
16 = adição
•
36 = quarentena
•
17 = modificação
•
37 = quarentena-falha
•
18 = remoção
•
38 = remover-falha
•
19 = inicialização
•
39 = negado
Nesse exemplo, Falha é mapeada da mensagem do syslog para 9, que o sistema relata como
Falha.
Esta é uma divisão da estrutura de uma regra.
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
Analisador de syslog avançado
O ASP (Analisador de syslog avançado) oferece um mecanismo para a análise de dados das
mensagens de syslog com base em regras definidas pelo usuário. As regras instruem o ASP a
reconhecer uma determinada mensagem e em que parte dos dados de evento específicos dessa
mensagem se encontram itens como IDs de assinatura, endereços IP, portas, nomes de usuário e
ações.
O ASP pode ser utilizado em dispositivos que não foram especificamente identificados na página
Adicionar origem de dados ou quando o analisador específico de origem não interpreta corretamente as
mensagens ou interpreta integralmente os pontos de dados relacionados aos eventos recebidos. Ele
também é ideal para pesquisar em origens de registros complexos, como servidores Linux e UNIX.
Essa funcionalidade requer a gravação de regras (consulte Adicionar regras de analisador de syslog
avançado) ajustadas ao seu ambiente Linux ou UNIX.
É possível adicionar uma origem de dados ASP ao Receptor selecionando Syslog como o fornecedor
(consulte Adicionar uma origem de dados). Depois de fazer isso, siga as instruções do fabricante do
dispositivo para configurar o dispositivo syslog, para que envie dados do syslog para o endereço IP do
Receptor.
Ao adicionar uma origem ASP, é importante que você aplique uma política antes de coletar dados de
evento. Se você ativar o Suporte a syslogs genéricos, poderá aplicar uma política sem regras e começar a
coletar dados de evento genericamente.
Algumas origens de dados, incluindo os servidores Linux e UNIX, podem produzir grandes volumes de
dados não uniformes. Isso faz com que o Receptor não agrupe corretamente eventos semelhantes. Isso
resulta em uma variedade de eventos aparentemente grande, quando na verdade ocorre a repetição do
mesmo evento, porém com dados de syslog variáveis enviados ao Receptor.
A adição de regras ao ASP permitir um uso mais eficiente dos dados de evento. O ASP utiliza um
formato muito semelhante ao do Snort.
96
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
Ao concatenar um valor literal com uma subcaptura de PCRE nas versões 9.0.0 e versões posteriores,
coloque os literais entre as aspas individualmente se contiverem espaços ou outros caracteres, e deixe
as referências da subcaptura de PCRE sem aspas.
As regras são definidas da forma a seguir.
Seção
Campo
Cabeçalho da
regra
Descrição
O cabeçalho da regra contém a ação de Alerta (Alert) e o formato any
any any. A regra é:
ALERT any any any -> any any
Ação
O que fazer com o evento quando ocorre uma correspondência. As
opções são:
• ALERT — Registrar evento
• DROP — Registrar o evento, mas não encaminhar
• SDROP — Não registrar ou encaminhar o evento
• PASS — Encaminhar se estiver definido, mas não registrar
Protocolo
Se o evento define um protocolo, filtre a correspondência de fato, de
acordo com o protocolo.
IP origem/
destino
Se o evento define um endereço IP de origem ou de destino, filtre a
correspondência de fato com base nesse endereço.
Porta
origem/
destino
Se o evento define uma porta de origem ou de destino, filtre a
correspondência de fato com base nessa porta.
Corpo da regra
O corpo da regra contém a maioria dos critérios de correspondência e
define como os dados devem ser analisados e registrados no banco de
dados do ESM. Elementos do corpo da regra são definidos em pares de
palavra-chave e opção. Algumas palavras-chave não são seguidas de
opção.
msg
(Obrigatório) A mensagem a ser associada à regra. Essa é a cadeia
exibida no ESM Thin Client para fins de geração de relatórios, a menos
que seja substituída por uma mensagem detectada por pcre/setparm
(veja abaixo). O primeiro trabalho da msg é o nome da categoria,
seguida da mensagem propriamente dita (msg: "category rule
message").
content
(Opcional — um ou mais) A palavra-chave content é um qualificador de
texto que não é um caractere curinga para filtrar previamente os
Eventos à medida que eles passam pelo conjunto de regras, que
também pode conter espaços (por exemplo, content:"search 1"; content
"something else")
procname
Em muitos sistemas UNIX e Linux, o nome do processo (e ID do
processo) faz parte de um cabeçalho de mensagem syslog padronizado.
A palavra-chave procname pode ser usada para filtrar correspondências
de eventos para a regra. Usada para excluir ou filtrar correspondências
de eventos, onde o texto da mensagem de dois processos em um
servidor Linux ou UNIX pode ser semelhante ou igual.
adsid
ID da origem de dados a ser usado. Este valor substitui a Atribuição de regra
padrão no editor de origens de dados.
sid
ID de assinatura da regra. É o ID de correspondência usado no ESM Thin
Client, a menos que seja substituído por um sid detectado por pcre/
setparm.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
97
3
Configuração do ESM
Configuração de dispositivos
Seção
Campo
Descrição
rev
Revisão de regra. Usada para rastrear alterações.
gravidade
Valor entre 1 (menos grave) e 100 (mais grave) atribuído a eventos
correspondentes à regra.
pcre
A palavra-chave PCRE é uma correspondência de Perl Compatible
Regular Expression (Expressão Regular Compatível com Perl) para
eventos de entrada. O PCRE vem entre aspas e todas as ocorrências de
"/" são tratadas como um caractere normal. O conteúdo entre
parênteses é mantido para uso da palavra-chave setparm. A
palavra-chave PCRE pode ser modificada pelas palavras-chave nocase,
nomatch, raw e setparm.
nocase
Faz com que o conteúdo de PCRE seja correspondido,
independentemente de o caso corresponder ou não.
nomatch
Inverte a correspondência de PCRE (equivalente a !~ no Perl).
raw
Compare o PCRE à mensagem de syslog inteira, incluindo os dados do
cabeçalho (recurso, daemon, data, host/IP, nome e nome e ID de
processo). Normalmente o cabeçalho não é usado na correspondência
de PCRE.
setparm
Pode ocorrer mais de uma vez. A cada grupo de parênteses no PCRE, é
atribuído um número na ordem de ocorrência. Esses números podem ser
atribuídos a marcas de dados (por exemplo: setparm:username=1). O
texto capturado no primeiro grupo de parênteses é obtido e atribuído à
marca de dados do nome do usuário. As marcas reconhecidas estão na
tabela abaixo.
Marca
Descrição
* sid
Este parâmetro capturado substitui o sid da regra correspondida.
* msg
Este parâmetro capturado substitui o nome ou a mensagem da regra
correspondida.
* action
Este parâmetro capturado indica a ação executada pelo dispositivo de terceiros.
* protocol
* src_ip
Substitui o IP da origem syslog que é o IP de origem padrão de um evento.
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid
Usada para modificar o sid armazenado no banco de dados, usada para
correspondências do snort que não são da McAfee em pré-processadores snort.
* url
Reservada, mas ainda não usada.
* src_username
Primeiro nome do usuário (de origem).
* username
Nome alternativo para src_username.
* dst_username
Segundo nome do usuário (de destino).
* domain
* hostname
* application
98
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Marca
Descrição
* severity
Deve ser um inteiro.
* action map
Permite mapear ações específicas do produto para as ações da McAfee. O mapa de
ações diferencia maiúsculas de minúsculas. Exemplo: alert any any any -> any
any (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S
+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31;
rev:1;)). Consulte Gravidade e mapa de ação para obter detalhes.
* severity map
Permite mapear gravidades específicas do produto para a gravidade da McAfee.
Assim como action map, severity map diferencia maiúsculas e minúsculas.
Exemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password";
content:"Accepted password for "; severity_map:High=99, Low=25, 10=99,
1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.
\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p
\x5f)?([^\x2c]+). Consulte Gravidade e mapa de ação para obter detalhes.
* var
Esta é outra forma de usar setparms. O uso vantajoso, entretanto, é criar um
valor a partir de várias capturas de vários PCREs. É possível criar mais de um
PCRE que capture somente um pequeno trecho da cadeia, em vez de um PCRE
grande com várias capturas. Este é um exemplo de captura de nome do usuário,
domínio e criação de endereço de e-mail para armazenar no campo objectname.
• Syntax = var:field=${PCRE:Capture}
• PCRE = não o PCRE real, mas o número do pcre. Se a regra tem dois PCREs,
você terá um PCRE de 1 ou 2.
• Capture = não a captura real, mas o número (primeira, segunda ou terceira
captura [1,2,3])
• Amostra de mensagem: um homem chamado Jim trabalha para a McAfee.
• PCRE: (Jim).*?(McAfee)
• Regra: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};
var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:
25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• Usuário de origem mapeado: Jim
• Domínio mapeado: McAfee
• Nome de objeto mapeado: Jim@McAfee.com
* sessionid
Este é um inteiro.
* commandname O valor é uma cadeia.
* objectname
O valor é uma cadeia.
* event_action
Esta marca é usada para definir a ação padrão. Você não pode usar event_action e
action_map na mesma regra. Por exemplo, se você tiver um evento para um êxito
no login, poderá usar a marca event_action e padronizar a ação como êxito (por
exemplo, event_action:8;).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
99
3
Configuração do ESM
Configuração de dispositivos
Marca
Descrição
* firsttime_fmt
Usada para definir a primeira vez do evento. Consulte a lista de formatos.
* lasttime_fmt
Usada para definir a última vez do evento. Consulte a lista de formatos. Você pode
usar isso com setparm ou var (var:firsttime="${1:1}" ou setparm:lasttime="1").
Por exemplo:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:
%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
Para obter detalhes sobre os formatos atuais com suporte, consulte http://
pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html.
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y é um ano com quatro dígitos
%m é o número do mês (1 a 12)
%d é a data (1 a 31)
%H é a hora (1 a 24)
%M são os minutos (0 a 60)
%S são os segundos (0 a 60)
%b é a abreviação do mês (jan, fev)
Este é um exemplo de regra que identifica uma senha com base em login OpenSSH e efetua pull do
endereço IP de origem, porta de origem e nome do usuário do evento:
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
Para informar-se sobre os recursos on-line do PCRE, acesse http://perldoc.perl.org/perlre.html.
Adicionar uma origem de dados ASP com codificação diferente
O ESM lê dados codificados em UTF-8. Se você tiver uma origem de dados ASP que gere dados com
codificação diferente, será necessário indicar isso ao adicionar a origem de dados.
100
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique em um Receptor e clique no ícone Adicionar origem de dados
.
2
Selecione Genérico no campo Fornecedor da origem de dados e selecione Analisador avançado de syslog no
campo Modelo da origem de dados.
3
Insira as informações solicitadas e selecione a codificação correta no campo Codificação.
Os dados dessa origem de dados são formatados para que possam ser lidos pelo Receptor que forem
recebidos.
Security Device Event Exchange (SDEE)
O formato SDEE descreve uma maneira padrão de representar eventos gerados por vários tipos de
dispositivos de segurança. A especificação SDEE indica que os eventos do SDEE são transportados
com os protocolos HTTP ou HTTPS. Os servidores HTTP que usam o SDEE para fornecer informações
de eventos a clientes são chamados de provedores de SDEE, ao passo que os iniciadores de
solicitações de HTTP são chamados de clientes de SDEE.
A Cisco definiu algumas extensões para o padrão SDEE, chamando-o de padrão CIDEE. O Receptor
pode agir como um cliente SDEE que solicita dados CIDEE gerados pelos sistemas de prevenção a
intrusões.
Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, o SDEE utiliza um
modelo de "pull" em vez de um modelo de "push". Isso significa que periodicamente o Receptor
contata o provedor de SDEE e solicita os eventos gerados desde a solicitação do último evento. Toda
vez que os eventos são solicitados ao provedor de SDEE, eles são processados e armazenados no
banco de dados de eventos do Receptor, prontos para serem recuperados pelo ESM.
É possível adicionar um provedor de SDEE a um Receptor como uma origem de dados. Para isso,
basta selecionar a Cisco como o fornecedor e IOS IPS (SDEE) como o modelo de origem de dados
(consulte Adicionar uma origem de dados).
O Receptor é capaz de extrair as informações de um evento SDEE/CIDEE:
•
Endereços IP de origem e destino
•
Portas de origem e destino
•
Protocolo
•
Hora do evento
•
Contagem de eventos (o CIDEE fornece um formulário de agregação de eventos, que o Receptor
cumpre)
•
ID de assinatura e subID
•
A ID de evento do ESM é calculada a partir da ID de assinatura do SDEE e da ID de subassinatura
do CIDEE segundo esta fórmula:
ID do ESMI = (ID do SDEE * 1000) + subID do CIDEE
Portanto, se a ID de assinatura do SDEE for 2000 e a ID de subassinatura do CIDEE for 123, a ID
de evento do ESMI será 2000123.
•
VLAN
McAfee Enterprise Security Manager 9.5.0
Guia de produto
101
3
Configuração do ESM
Configuração de dispositivos
•
Gravidade
•
Descrição do evento
•
Conteúdo do pacote (se disponível).
Se o Receptor estiver se conectando ao provedor de SDEE pela primeira vez, a data e a hora atuais
serão utilizadas como ponto de partida para a solicitação de eventos. Futuras conexões solicitarão
todos os eventos desde o último pull bem-sucedido.
Configurar o ePolicy Orchestrator 4.0
A origem de dados do McAfee Event Receiver para o ePolicy Orchestrator agora é compatível com o
ePolicy Orchestrator 4.0. ePolicy Orchestrator O 4.0 armazena eventos no banco de dados SQL Server.
A origem de dados do ePolicy Orchestrator se conecta a esse banco de dados SQL Server por meio do
JDBC para efetuar pull de informações sobre os eventos. Um novo nome do usuário (ID) e uma senha
precisam ser criados no banco de dados ePolicy Orchestrator para uso com a origem de dados do
ePolicy Orchestrator.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Efetue login no servidor do banco de dados ePolicy Orchestrator.
2
Inicie o SQL Server Enterprise Manager selecionando Iniciar | Todos os Programas | Microsoft SQL Server | Enterprise
Manager.
3
Expanda o nó da raiz do console várias vezes para exibir os itens localizados na pasta Security
(Segurança).
4
Clique com o botão direito do mouse no ícone Logins (Logins) e selecione New login (Novo login) no
menu.
5
Na página SQL Server Login Properties-New Login (Propriedades de login do SQL Server – Novo login),
preencha o seguinte na guia General (General):
a
No campo Name (Nome), insira o nome do usuário que deseja usar para a origem de dados do
ePolicy Orchestrator se conectar ao banco de dados ePolicy Orchestrator (por exemplo, nfepo).
b
Em Authentication (Autenticação), selecione SQL Server Authentication Password (Senha de autenticação
do SQL Server) e insira a senha.
c
Em Defaults (Padrões), selecione o banco de dados ePolicy Orchestrator (ePO4_<nome do host>)
na lista suspensa Database (Banco de dados).
Se o banco de dados padrão for o mestre, a origem de dados do ePolicy Orchestrator não conseguirá
efetuar pull dos eventos.
6
Na guia Database Access (Acesso ao banco de dados), selecione Permit (Permitir) associado ao banco
de dados do ePolicy Orchestrator.
7
Para Permit in Database Role (Permitir na função do banco de dados), selecione db_datareader e clique em
OK.
8
Confirme a nova senha e clique em OK.
Adicionar uma origem de dados ArcSight
Adicione origens de dados aos dispositivos ArcSight.
102
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione o nó Receptor.
Clique no ícone Adicionar origem de dados
na barra de ferramentas de ações.
3
Selecione ArcSight no campo Fornecedor da origem de dados e selecione Common Event Format no campo
Modelo da origem de dados.
4
Digite um nome para a origem de dados e o endereço IP do ArcSight.
5
Preencha os demais campos (consulte Adicionar uma origem de dados).
6
Clique em OK.
7
Configure uma origem de dados para cada origem que encaminhe dados para o dispositivo
ArcSight.
Os dados recebidos de ArcSight são analisados para poderem ser exibidos no console do ESM.
Common Event Format (CEF)
Atualmente, o ArcSight converte eventos de 270 origens de dados em Common Event Format (CEF)
usando conectores inteligentes. CEF é um padrão de interoperabilidade para dispositivos que geram
eventos ou registros. Ele contém as informações mais relevantes do dispositivo e facilita a análise e o
uso de eventos.
A mensagem do evento não precisa ser gerada explicitamente pelo produtor do evento. A mensagem
é formatada com o uso de um prefixo comum, composto de campos delimitados por uma barra (|). O
prefixo é obrigatório e todos os campos especificados precisam estar presentes. Campos adicionais
são especificados na extensão. O formato é:
CEF:Versão|Fornecedor do dispositivo|Produto do dispositivo|Versão do dispositivo|
IDdeclasseEventoDispositivo|Nome|Gravidade|Extensão
A parte da extensão da mensagem é um espaço reservado para campos adicionais. Veja a seguir
definições para os campos com prefixo:
•
Versão é um inteiro e identifica a versão do formato CEF. Os consumidores de eventos usam essas
informações para determinar o que o campo representa. No momento, somente a versão 0 (zero)
está estabelecida no formato acima. A experiência pode exigir que outros campos sejam
adicionados ao "prefixo", o que requer uma mudança no número da versão. A adição de novos
formatos ocorre no corpo dos padrões.
•
Fornecedor do dispositivo, Produto do dispositivo e Versão do dispositivo são cadeias que identificam, com
exclusividade, o tipo de dispositivo remetente. Dois produtos não podem usar o mesmo par de
dispositivo-fornecedor e dispositivo-produto. Não existe uma autoridade central gerenciando esses
pares. Os produtores de eventos têm que atribuir pares com nomes exclusivos.
•
IDdeclasseEventoDispositivo é um identificador exclusivo por tipo de evento. Pode ser uma cadeia ou um
número inteiro. DeviceEventClassId identifica o tipo de evento relatado. No âmbito do IDS (sistema
de detecção de intrusões), cada assinatura ou regra que detectar uma certa atividade tem uma
deviceEventClassId exclusiva atribuída. Esse é um requisito para outros tipos de dispositivos
também. E ajuda os mecanismos de correlação a lidar com os eventos.
•
Nome é uma cadeia que representa uma descrição do evento que seja legível e compreensível. O
nome do evento não deve conter informações que sejam mencionadas especificamente em outros
campos. Por exemplo: "Port scan from 10.0.0.1 targeting 20.1.1.1" não é um bom nome de
evento. Deve ser: "Port scan." As outras informações são redundantes e podem ser obtidas nos
outros campos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
103
3
Configuração do ESM
Configuração de dispositivos
•
Gravidade é um número inteiro e reflete a importância do evento. Somente números de 0 a 10 são
permitidos, onde 10 indica o evento mais importante.
•
Extensão é um conjunto de pares de chave-valor. As chaves fazem parte de um conjunto
previamente definido. O padrão aceita a inclusão de chaves adicionais, como descrito
posteriormente. Um evento pode conter qualquer número de pares de chave-valor em qualquer
ordem, separadas por espaços. Se um campo tiver um espaço, como um nome de arquivo, ele
poderá ser registrado da mesma maneira. Por exemplo:
fileName=c:\Arquivos de Programas\ArcSight é um token válido.
Esta é uma mensagem de amostra para ilustrar como seria a aparência:
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|
10|src=10.0.0.1 dst=2.1.2.2 spt=1232
Se você usa NetWitness, seu dispositivo precisa ser configurado corretamente para enviar o CEF ao
Receptor. Por padrão, quando se usa o NetWitness, o formato CEF será este:
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
O formato correto requer que você altere "dport" acima para "dpt."
Instalação de Adiscon
O WMI do syslog é compatível com o Adiscon.
O seguinte formato de cadeia deve ser usado no Event Reporter para que a origem de dados Adiscon
de eventos do Microsoft Windows funcione corretamente:
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Suporte à retransmissão de syslog
Encaminhar eventos de vários dispositivos por meio do RelayServer de um syslog para o Receptor
requer procedimentos adicionais.
É preciso adicionar uma única origem de dados de retransmissão de syslog para aceitar o fluxo de
dados e origens de dados adicionais. Dessa forma, o Receptor pode dividir o fluxo de dados nas
origens de dados iniciais. Compatibilidade com Sylog-ng e Splunk. Este diagrama descreve o cenário:
104
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
1
Dispositivo Cisco ASA
5
Origem de dados 1 — retransmissão de
syslog
2
Dispositivo SourceFire Snort
6
Origem de dados 2 — Cisco ASA
3
Dispositivo TippingPoint
7
Origem de dados 3 — SourceFire Snort
4
Retransmissão de syslog
8
Origem de dados 4 — TippingPoint
Usando esse cenário como exemplo, é preciso configurar a origem de dados de retransmissão de
syslog (5) para receber o fluxo de dados da retransmissão de syslog (4), selecionando syslog no campo
Retransmissão de syslog. Depois que a origem de dados de retransmissão de syslog estiver configurada,
adicione as origens de dados dos dispositivos individuais (6, 7 e 8), selecionando Nenhum no campo
Retransmissão de syslog, porque o dispositivo não é um servidor de retransmissão de syslog.
O recurso Fazer upload de mensagens do syslog não funciona em uma configuração de retransmissão de syslog.
O cabeçalho do syslog deve ser configurado para assemelhar-se a este exemplo: 1 <123> 345 Oct 7
12:12:12 2012 mcafee.com httpd[123]
onde
1=
versão do syslog (opcional)
345 =
tamanho do syslog (opcional)
<123> =
recurso (opcional)
Oct 7 12:12:12 2012 =
data. Compatibilidade com centenas de formatos (obrigatório)
mcafee.com
nome de host ou endereço IP (ipv4 ou ipv6) (obrigatório)
httpd =
nome do aplicativo (opcional)
[123]
pid do aplicativo (opcional)
:=
dois-pontos (opcional)
Os campos de dados e nome do host podem aparecer em qualquer ordem. Um endereço IPv6 pode ser
inserido entre colchetes [ ].
Executar a ferramenta de configuração NSM-SIEM (Security Information and Event
Management)
Antes de configurar uma origem de dados NSM, é preciso executar a ferramenta de configuração
NSM-SIEM (Security Information and Event Management).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Faça download da ferramenta de configuração.
a
Procure o site de download de produtos da McAfee.
b
Insira o número de concessão do cliente na caixa de pesquisa Fazer download de meus produtos.
c
Clique em Pesquisar. Os arquivos de atualização do produto podem ser encontrados no link de
download do <nome do produto> <versão> do MFE.
d
Leia o EULA da McAfee e clique em Concordo.
e
Faça download dos arquivos da ferramenta de configuração NSM-SIEM (Security Information and Event
Management).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
105
3
Configuração do ESM
Configuração de dispositivos
2
Execute a ferramenta de configuração no servidor NSM.
A ferramenta precisa localizar o caminho padrão até o NSM. Se ela não o localizar, procure.
3
Insira nome, senha e nome do banco de dados SQL do NSM especificados na instalação do NSM.
4
Insira o nome do usuário e a senha do SIEM (Security Information and Event Management) na
origem de dados e no endereço IP do Receptor onde a origem de dados foi adicionada.
Essas informações foram inseridas na tela de origem de dados.
Configuração do ePolicy Orchestrator
Você pode configurar várias origens de dados do ePolicy Orchestrator, todas apontando para o mesmo
endereço IP, com nomes diferentes no campo do nome do banco de dados.
Permite configurar quantas origens de dados do ePolicy Orchestrator você quiser e tê-las todas
apontando para um banco de dados diferente no servidor central. Preencha os campos ID de usuário e
Senha com as informações que garantem o acesso ao banco de dados ePolicy Orchestrator, e o campo
Versão com a versão do dispositivo ePolicy Orchestrator. A porta padrão é 1433.
Nome do banco de dados é obrigatório. Se houver um traço no nome do banco de dados, você terá que
colocar o nome entre colchetes (por exemplo, [ePO4_WIN-123456]).
A opção Consulta ePO permite que você consulte o dispositivo ePolicy Orchestrator e crie origens de
dados cliente. Se a opção padrão Corresponder por tipo for selecionada no campo Usar origens de dados clientes
e você clicar em Consulta ePO, o dispositivo ePolicy Orchestrator será consultado e todos os produtos
compatíveis do ePolicy Orchestrator serão adicionados às origens de dados cliente.
Estes produtos serão compatíveis se estiverem totalmente integrados ao ePolicy Orchestrator:
•
ANTISPYWARE
•
MNAC
•
DLP
•
POLICYAUDITOR
•
EPOAGENT
•
SITEADVISOR
•
GSD
•
VIRUSCAN
•
GSE
•
SOLIDCORE
•
HOSTIPS
Se a opção Correspondência de IP for selecionada, o dispositivo ePolicy Orchestrator será consultado e
criará origens de dados cliente para todos os terminais do banco de dados ePolicy Orchestrator. Se
houver mais de 256 terminais no banco de dados ePolicy Orchestrator, serão criadas várias origens de
dados com clientes.
Os dados da avaliação de risco da McAfee são adquiridos nos servidores ePolicy Orchestrator. É
possível especificar vários servidores ePolicy Orchestrator de onde adquirir dados do McAfee Risk
Advisor. Os dados do McAfee Risk Advisor são obtidos por meio de uma consulta do banco de dados
SQL Server do ePolicy Orchestrator. A consulta do banco de dados gera uma lista de pontuação
comparativa entre IP e reputação e fornece valores constantes para a reputação baixa e valores de
reputação alta. Todas as listas do ePolicy Orchestrator e do McAfee Risk Advisor se mesclam, e os IPs
duplicados recebem a pontuação mais alta. A lista mesclada é enviada, com os valores baixos e altos,
a todos os dispositivos do ACE para pontuação dos campos SrcIP e DstIP.
Quando você adiciona uma origem de dados do ePolicy Orchestrator e clica em OK para salvá-la, você
é solicitado a informar se deseja usá-la para configurar dados do McAfee Risk Advisor. Se você clicar
em Sim, uma fonte de enriquecimento de dados e as duas regras de pontuação ACE (se aplicáveis)
106
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
serão criadas e implementadas. Para exibi-las, vá até as páginas Ativar enriquecimento de dados e Pontuação
de correlação de risco. Para usar as regras de pontuação, é necessário criar um gerenciador de correlação
de risco (consulte Adicionar um gerenciador de correlação de risco).
IBM Internet Security System SiteProtector
O Receptor é capaz de recuperar eventos de um servidor ISS (Internet Security Systems)
SiteProtector consultando o banco de dados Microsoft SQL Server que o SiteProtector usou para
armazenar seus eventos.
Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, a recuperação de
eventos de um servidor SiteProtector é feita com um modelo de "pull" em vez de um modelo de
"push". Isso significa que periodicamente o Receptor entra em contato com o banco de dados
SiteProtector e solicita novos eventos ocorridos desde o pull do último evento. Toda vez que os
eventos são recuperados do servidor SiteProtector, eles são processados e armazenados no banco de
dados de eventos do Receptor, prontos para serem recuperados pelo ESM.
Existes duas opções de tipo de dispositivo disponíveis: Servidor e Dispositivo gerenciado. Instalar uma
origem de dados com o tipo de dispositivo Servidor selecionado é o requisito mínimo para coletar
eventos em um servidor SiteProtector.
Depois que a origem de dados do servidor SiteProtector estiver configurada, todos os eventos
coletados no SiteProtector aparecerão como pertencentes a essa origem de dados, sem relação com o
ativo real que relatou o evento ao servidor SiteProtector. Para que os eventos sejam melhor
categorizados de acordo com o ativo gerenciado que relatou o evento ao SiteProtector, você pode
configurar origens de dados adicionais do SiteProtector com o tipo Dispositivo gerenciado selecionado.
A opção Avançado na parte inferior da página possibilita definir um URL que possa ser usado para iniciar
URLs específicos durante a exibição de dados de evento. Você também pode definir fornecedor,
produto e versão a serem usados para encaminhamento de eventos CEF (Common Event Format).
Essas configurações são opcionais.
Para que o Receptor consulte o banco de dados SiteProtector em busca de eventos, a instalação do
Microsoft SQL Server que hospeda o banco de dados usado pelo SiteProtector deve aceitar conexões
do protocolo TCP/IP.
Consulte a documentação do Microsoft SQL Server para obter informações de como ativar esse
protocolo e definir a porta usada para essas conexões (o padrão é a porta 1433).
Quando o Receptor se conecta ao banco de dados SiteProtector pela primeira vez, novos eventos
gerados são recuperados. Futuras conexões solicitam todos os eventos que ocorreram depois do
último evento que foi recuperado com sucesso.
O Receptor extrai essas informações de um evento do SiteProtector:
•
Endereços IP de origem e destino (IPv4)
•
Contagem de eventos
•
Portas de origem e destino
•
VLAN
•
Protocolo
•
Gravidade
•
Hora do evento
•
Descrição do evento
McAfee Enterprise Security Manager 9.5.0
Guia de produto
107
3
Configuração do ESM
Configuração de dispositivos
Configurar o Check Point
Configure origens de dados que abranjam Provedor 1, Alta disponibilidade do Check Point e a maioria
dos ambientes padrão do Check Point.
Seu primeiro passo é adicionar a origem de dados pai do Check Point (consulte Adicionar uma origem
de dados). É preciso adicionar uma origem de dados para o servidor de registros se a origem de dados
pai não estiver agindo como um servidor de registros e você tiver um servidor de registros dedicado.
Adicione também origens de dados filho se necessário. Se o ambiente é de alta disponibilidade, é
necessário adicionar uma origem de dados filho para cada SMS/CMA secundário.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Adicione uma origem de dados pai do SMS/CMA, onde o aplicativo/certificado OPSEC está
armazenado ou, no caso de um Receptor-HA, o SMS/CMA primário.
OPSEC está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS,
não use este recurso (consulte o Apêndice A).
108
2
Clique em Opções.
3
Na página Configurações avançadas, selecione o método de comunicação e digite o Nome distinto da entidade
do servidor desta origem de dados.
4
Clique em OK duas vezes.
5
Faça o seguinte, se necessário:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Se receber esta
mensagem de
erro...
Faça o seguinte...
SIC Error for lea: Client
1 Verifique se selecionou as configurações corretas para Usar autenticação e
could not choose an
Usar criptografia quando adicionou a origem de dados de Check Point.
authentication method for
service lea (Erro do SIC
Se você selecionou somente Usar autenticação, o cliente OPSEC tenta se
para o lea: o cliente
comunicar com o servidor de registros usando "sslca_clear". Se você
não pôde escolher um
selecionou Usar autenticação e Usar criptografia, o cliente OPSEC tenta se
método de
comunicar com o servidor de registros usando "sslca." Se você não
autenticação para o
selecionou nenhum dos dois, o cliente OPSEC tenta se comunicar com o
lea do serviço)
servidor de registros usando "none".
2 Verifique se o aplicativo OPSEC usado para se comunicar com o servidor
de registros Check Point tem a opção LEA (LEA) selecionada na seção
Client Entities (Entidades de cliente).
3 Se esses dois procedimentos estiverem corretos, localize o arquivo
sic_policy.conf na instalação do servidor de registros Check Point. Por
exemplo, em um sistema R65 baseado em Linux, o arquivo fica
localizado em /var/opt/CPshrd-R65/conf.
4 Quando você determinar o método de comunicação (método de
autenticação no arquivo) que possibilita a comunicação de LEA com o
servidor de registros, selecione-o na página Configurações avançadas como o
Método de comunicação.
SIC Error for lea: Peer sent
wrong DN: <expected dn>
(Erro do SIC para o
lea: par enviou nome
diferenciado incorreto:
<nome diferenciado
esperado>
6
• Na caixa de texto Nome distinto da entidade do servidor, insira a cadeia que
representa "<expected dn>" na mensagem de erro.
Uma alternativa é localizar o nome distinto do servidor de registros Check
Point verificando o objeto de rede desse servidor na interface do usuário
do Smart Dashboard.
O nome diferenciado do SMS/CMA será como o DN do aplicativo OPSEC,
basta substituir a primeira entrada por CN=cp_mgmt. Por exemplo,
considere um nome diferenciado do aplicativo OPSEC de
CN=mcafee_OPSEC,O=r75..n55nc3. O nome diferenciado de SMS/CMA
será CN=cp_mgmt,O=r75..n55nc3. O nome diferenciado do servidor de
registros seria CN=CPlogserver,O=r75..n55nc3.
Adicione uma origem de dados filho para cada firewall, servidor de registros ou SMS/CMA
secundário que seja gerenciado pela origem de dados pai que foi configurada (consulte Adicionar
uma origem de dados filho).
O tipo de dispositivo das origens de dados de todos os firewalls/gateways é Dispositivo de segurança. O
Console de relatório pai utiliza a origem de dados pai como padrão.
Conjuntos de regras da McAfee
Essa tabela lista os conjuntos de regras da McAfee com os IDs de origem de dados externos.
ID de origem de
dados
Nome de exibição
RSID correspondente Intervalo da regra
50201
Firewall
0
2.000.000 – 2.099.999
50202
Firewall personalizado
0
2.200.000 – 2.099.999
50203
Assinaturas personalizadas
0
5.000.000 – 5.999.999
50204
Internas
0
3.000.000 – 3.999.999
50205
Vulnerabilidade e exploração 2
McAfee Enterprise Security Manager 9.5.0
N/D
Guia de produto
109
3
Configuração do ESM
Configuração de dispositivos
ID de origem de
dados
Nome de exibição
RSID correspondente Intervalo da regra
50206
Conteúdo adulto
5
N/D
50207
Bate-papo
8
N/D
50208
Política
11
N/D
50209
Ponto a ponto
14
N/D
50210
Multimídia
17
N/D
50211
Alfa
25
N/D
50212
Vírus
28
N/D
50213
Perimeter Secure Application 31
N/D
50214
Gateway
33
N/D
50215
Malware
35
N/D
50216
SCADA
40
N/D
50217
MCAFEESYSLOG
41
N/D
Origens de ativos do Receptor
Ativo é qualquer dispositivo na rede que tenha um endereço IP. A guia Ativo do Asset Manager permite
criar ativos, modificar suas marcas, criar grupos de ativos, adicionar origens de ativos e atribuir um
ativo a um grupo de ativos. Também permite manipular os ativos que são aprendidos de um dos
fornecedores de VA.
O recurso Origens de ativos em Propriedades do Receptor possibilita a recuperação de dados no Active Directory,
caso você tenha algum. Depois que esse processo estiver concluído, você poderá filtrar dados de
eventos selecionando os usuários ou grupos recuperados nos campos de filtro de consulta da exibição
Usuário de origem e Usuário de destino. Isso melhora a sua capacidade de fornecer dados de conformidade
para requisitos como PCI. Um ESM pode ter somente uma origem de ativos. Os receptores podem ter
várias origens de ativos.
Se duas origens de descoberta de ativos (como Vulnerability Assessment e Descoberta de rede)
encontrarem o mesmo ativo, o método de descoberta que tiver a maior prioridade adicionará o ativo à
tabela. Se duas origens de descoberta tiverem a mesma prioridade, a última a descobrir o ativo terá
prioridade sobre a primeira.
Adicionar origem de ativos
Para recuperar dados de um Active Directory, é preciso configurar um Receptor.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de ativos.
2
Clique em Adicionar e preencha as informações solicitadas.
3
Clique em OK e em Gravar na página Origens de ativos.
Configurações do Enterprise Log Manager (ELM)
O ELM permite armazenar e gerenciar a geração de relatórios dos dados de log, bem como acessá-la.
Os dados recebidos pelo ELM são organizados em listas de armazenamento, cada qual composta por
dispositivos de armazenamento. Um tempo de retenção é associado a cada lista de armazenamento, e
os dados são mantidos na lista durante o período especificado. As normas governamentais,
corporativas e do setor requerem o armazenamento de logs por diferentes períodos.
110
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
O ELM possibilita configurar trabalhos de pesquisa e de verificação de integridade. Cada um desses
trabalhos acessa os logs armazenados e recupera ou verifica os dados definidos no trabalho. Em
seguida, é possível exibir os resultados e optar por exportar as informações.
As informações fornecidas se aplicam a todos estes modelos de dispositivo ELM:
•
ENMELM-5205 (combo ESM/Log Manager)
•
ELM-5750
•
ENMELM-5510 (combo ESM/Log Manager)
•
ELMERC-4245 (combo Receptor/Log
Manager)
•
ENMELM-4245 (combo ESM/Log Manager)
•
ELMERC-2250 (combo Receptor/Log
Manager)
•
ELM-5205
•
LMERC 2230 (combo Receptor/Log
Manager)
•
ELM-5510
Para configurar um ELM, é preciso conhecer:
•
As origens que armazenam os registros no ELM
•
As listas de armazenamento necessárias e os tempos de retenção de seus dados
•
Os dispositivos de armazenamento necessários para armazenar os dados
Em geral, você conhece as origens que armazenam logs no ELM e as listas de armazenamento
necessárias. Entretanto, não se sabe quais são os dispositivos de armazenamento necessários para
armazenar os dados. A melhor abordagem para lidar com essa incerteza é:
1
Fazer uma estimativa conservadora dos requisitos de armazenamento.
Desde a versão 9.0.0, as listas de armazenamento do ELM requerem 10% do espaço alocado para
espelhar a sobrecarga. Considerar esses 10% ao calcular o espaço necessário.
2
Configurar os dispositivos de armazenamento ELM para que atendam aos requisitos estimados.
3
Adquirir logs sobre o ELM por um período curto.
4
Usar informações estatísticas sobre o armazenamento ELM para alterar as configurações do
dispositivo a fim de acomodar os requisitos de armazenamento de dados reais.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
111
3
Configuração do ESM
Configuração de dispositivos
Preparação para o armazenamento de dados no ELM
Existem vários procedimentos para a configuração de um ELM para armazenar dados.
Etapa Ação
Descrição
1
De acordo com os requisitos de instalação do ELM, defina os diferentes
tempos necessários para a retenção de dados. Os tempos de retenção
comuns são:
Definir tempo para
a retenção de
dados
• SOX – 7 anos
• Basel II – 7 anos
• PCI – 1 ano
• HIPAA – 6 ou 7 anos
• GLBA – 6 anos
• NERC – 3 anos
• EU DR Diretiva – 2 anos
• FISMA – 3 anos
2
Definir origens de
dados de log
O objetivo aqui é definir todas as origens de registros que estão
armazenadas no ELM e avaliar o tamanho médio do registro em byte e a
média de registros gerados por dia para cada um. Basta ser uma
estimativa. Talvez seja mais fácil estimar o tamanho médio em bytes do
registro e a média de registros gerados por dia para cada tipo de origem
(como firewall, roteador, Nitro IPS, ADM, DEM, ELM), e depois estimar o
número de origens para cada tipo. A etapa seguinte requer a associação
de cada origem a um tempo de retenção, como definido na etapa 1,
para garantir que isso seja considerado na estimativa dos tipos de
origem (por exemplo, SOX Firewall, PCI DEM).
3
Definir listas de
armazenamento
Com base nos requisitos de instalação do ELM, associe cada origem de
registros, ou origem, a um tempo de retenção dos dados, definindo o
conjunto de listas de armazenamento necessárias para a instalação do
ELM.
4
Para cada lista de armazenamento, estime os requisitos de
Estimar os
armazenamento correspondentes usando uma destas equações:
requisitos de
tamanho da lista
• Usando origens individuais:
de armazenamento
IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024)
Onde
IRSGB = Armazenamento inicial necessário em gigabytes
DRTD = Tempo de armazenamento de dados em dias
SUM() = O total de origens de dados
DSAB = Média de bytes da origem de dados por registro
DSALPD = Média de registros da origem de dados por dia
• Usando tipos de origens:
IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/
(1024*1024*1024)
Onde
IRSGB = Armazenamento inicial necessário em gigabytes
DRTD = Tempo de armazenamento de dados em dias
NDS = Número de origem de dados de determinado tipo
SUM() = O total de tipos de origens de dados
DSTAB = Média de bytes do tipo da origem de dados por registro
DSTALPD = Média de registros do tipo da origem de dados por dia
112
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Etapa Ação
Descrição
5
Criar dispositivos
Crie um ou mais dispositivos de armazenamento ELM com tamanho
de armazenamento suficiente para armazenar cada IRSGB de dados (consulte Adicionar um
iniciais
dispositivo de armazenamento).
6
Criar listas de
armazenamento
Para cada lista de armazenamento definida na etapa 3, crie uma lista de
armazenamento do ELM usando o tempo de retenção associado na etapa
1, os valores de IRSGB associados da etapa 4 e os dispositivos de
armazenamento associados da etapa 5 (consulte Adicionar uma lista de
armazenamento).
7
Iniciar o registro
em log de dados
Configure origens para enviar seus registros para o ELM, e permita que
o façam por um ou dois dias.
8
Refinar estimativas Para cada lista de armazenamento criada na etapa 6, refine sua
dos requisitos de
estimativa dos requisitos de armazenamento usando a seguinte
tamanho da lista
equação:
de armazenamento
RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024)
Onde
RSGB = Armazenamento necessário em gigabytes
DRTD = Tempo de armazenamento de dados em dias
SPABRPD = Valor diário de “Taxas médias de bytes” da lista de
armazenamento em seu relatório estatístico
9
Modificar ou criar
dispositivos de
armazenamento
Para cada valor de RSGB na etapa 8, modifique ou crie dispositivos de
armazenamento ELM para que tenham tamanho suficiente para
armazenar RSGB em dados.
10
Modificar listas de
armazenamento
Se necessário, modifique cada lista de armazenamento criada na etapa
6 adicionando os dispositivos de armazenamento criados na etapa 9, ou
aumente a alocação do dispositivo de armazenamento existente.
Configuração de armazenamento do ELM
Para armazenar registros, o ELM deve ter acesso a um ou mais dispositivos de armazenamento. A
necessidade de armazenamento de uma instalação ELM é uma função do número de fontes de dados,
das características de registro e das necessidades de tempo de armazenamento de dados. A
necessidade de armazenamento varia com o passar do tempo, porque tudo pode mudar durante a
vida de uma instalação ELM.
Para obter detalhes relativos à estimativa e ao ajuste das necessidades de armazenamento do
sistema, consulte Configurações do ELM.
Terminologia de armazenamento do ELM
Revise estes termos para trabalhar com armazenamento do ELM:
•
Dispositivo de armazenamento — Um dispositivo de armazenamento de dados que pode ser
acessado de um ELM. Alguns modelos de ELM oferecem um dispositivo de armazenamento
integrado, alguns oferecem um recurso de conexão SAN e outros oferecem as duas opções. Todos
os modelos ELM oferecem um recurso de conexão NAS.
•
Alocação de armazenamento — Um volume específico de armazenamento de dados em um
determinado dispositivo (por exemplo, 1 TB em um dispositivo de armazenamento NAS).
•
Tempo de armazenamento de dados — O tempo durante o qual um registro é armazenado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
113
3
Configuração do ESM
Configuração de dispositivos
•
Lista de armazenamento — Uma ou mais alocações de armazenamento, que, juntas,
especificam o volume total de armazenamento, e um tempo de armazenamento de dados, que
especifica o número máximo de dias em que um registro ficará armazenado.
•
Origem do registro — Qualquer origem de registros que um ELM armazena.
Tipos de dispositivo de armazenamento ELM
Quando você estiver adicionando um dispositivo de armazenamento a um ELM, deverá selecionar o
tipo de dispositivo. Há algumas coisas que você precisa ter em mente ao adicionar ou editar o
dispositivo.
Tipo de
dispositivo
Detalhes
NFS
Se for necessário editar o ponto de montagem remoto do dispositivo de
armazenamento que contém o Banco de dados de gerenciamento do ELM, use a
opção Migrar BD para mover o banco de dados para um dispositivo de
armazenamento diferente (consulte Migrar o banco de dados do ELM). Em seguida,
você pode alterar com segurança o campo do ponto de montagem remoto e mover o
banco de dados novamente para o dispositivo de armazenamento atualizado.
CIFS
• O uso do tipo de compartilhamento CIFS com versões de servidor Samba
posteriores a 3.2 pode resultar na perda de dados.
• Ao conectar-se a um compartilhamento CIFS, não use vírgulas em sua senha.
• Se você estiver usando um computador com Windows 7 como um
compartilhamento CIFS, consulte Desativar compartilhamento de arquivo
HomeGroup.
iSCSI
• Não use vírgulas em sua senha ao conectar-se a um compartilhamento iSCSI.
• A tentativa de conectar vários dispositivos a um IQN pode causar a perda de
dados e outros problemas de configuração.
SAN
A opção SAN só estará disponível se houver uma placa SAN instalada no ELM e
volumes SAN disponíveis.
Desativar compartilhamento de arquivo HomeGroup
O Windows 7 requer o uso do compartilhamento de arquivo HomeGroup, que funciona com outros
computadores com Windows 7 instalado, mas não com Samba. Para usar um computador com
Windows 7 como um compartilhamento CIFS, é necessário desativar o compartilhamento de arquivo
HomeGroup.
Tarefa
Para obter definições de opções, clique em ? na interface.
114
1
Abra o Painel de Controle do Windows 7 e selecione Central de Rede e Compartilhamento.
2
Clique em Alterar as configurações de compartilhamento avançadas.
3
Clique no perfil Residência ou Trabalho e certifique-se de que ele esteja rotulado de acordo com o seu
perfil atual.
4
Ative a descoberta de rede, o compartilhamento de arquivo e de impressora e a pasta pública.
5
Vá para a pasta que deseja compartilhar usando o CIFS (tente primeiro a pasta pública) e clique
nela com o botão direito do mouse.
6
Selecione Propriedades e clique na guia Compartilhamento.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
7
Clique em Compartilhamento avançado e selecione Compartilhar esta pasta.
8
(Opcional) Altere o nome do compartilhamento e clique em Permissões.
Certifique-se de que as permissões estejam definidas como você deseja (uma marca de seleção em
Alterar = gravável). Se você ativou compartilhamentos protegidos por senha, deverá ajustar as
configurações aqui para ter certeza de que o usuário do Ubuntu está incluído na permissão.
Adicionar um dispositivo de armazenamento para vincular a uma lista de
armazenamento
Para adicionar um dispositivo de armazenamento à lista de locais de armazenamento, defina os
respectivos parâmetros.
Na edição de um dispositivo de armazenamento, você pode aumentar o tamanho, mas não pode
reduzi-lo. Um dispositivo não poderá ser excluído se estiver armazenando dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.
2
Clique em Adicionar ao lado da tabela superior.
3
Na página Adicionar dispositivo de armazenamento, forneça as informações solicitadas.
4
Clique em OK para salvar as configurações.
O dispositivo será adicionado à lista de dispositivos de armazenamento disponíveis do ELM.
Você pode editar ou excluir dispositivos de armazenamento da tabela na página Listas de armazenamento.
Adicionar ou editar uma lista de armazenamento
Uma lista de armazenamento inclui uma ou mais alocações de armazenamento e um tempo de
armazenamento de dados. Adicione-os ao ELM para definir onde os registros de ELM serão
armazenados e por quanto tempo deverão ser retidos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento.
2
Clique em Adicionar ou em Editar ao lado da tabela inferior e preencha ou altere as informações
solicitadas.
3
Clique em OK.
Você pode editar os parâmetros depois de salvá-los e ainda excluir uma lista de armazenamento,
desde que essa lista e os dispositivos alocados para ela não estejam armazenando dados.
Mover uma lista de armazenamento
É possível mover uma lista de armazenamento de um dispositivo para outro.
Antes de iniciar
Configure o dispositivo de armazenamento para o qual você deseja mover a lista de
armazenamento como um espelho do dispositivo que detém a lista no momento (consulte
Adicionar armazenamento de dados espelhados do ELM).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
115
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione o dispositivo ELM que detém a lista de
armazenamento e clique no ícone Propriedades
.
2
Clique em Listas de armazenamento.
3
Na tabela Listas de armazenamento, clique nos dispositivos espelhados que estão na lista a ser movida.
4
Clique em Editar e, na lista suspensa Dispositivos de armazenamento de dados, selecione o dispositivo que
espelha a lista de armazenamento a ser movida.
Agora, ele passa a ser o dispositivo de armazenamento de dados principal.
5
Para espelhar o novo dispositivo de armazenamento de dados, selecione um dispositivo na lista
suspensa Dispositivo de armazenamento de dados espelhados e clique em OK.
Reduzir o tamanho da alocação de armazenamento
Se um dispositivo de armazenamento estiver cheio em virtude do espaço alocado para listas de
armazenamento, talvez seja necessário reduzir o espaço definido para cada alocação. Poderá ser
necessário alocar espaço nesse dispositivo para mais listas de armazenamento ou para o indexador de
texto completo.
Caso a redução do tamanho da alocação afete os dados, eles serão movidos para outras alocações na
lista, se houver espaço disponível. Se não houver espaço disponível, os dados mais antigos serão
excluídos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento.
2
Na tabela inferior, selecione a lista que será reduzida e clique em Reduzir tamanho.
3
Insira o valor desejado de redução do armazenamento e clique em OK.
Espelhamento do armazenamento de dados do ELM
Você pode configurar um segundo dispositivo de armazenamento do ELM para espelhar os dados
coletados no dispositivo principal.
Se o dispositivo principal ficar inoperante por alguma razão, o dispositivo de backup continuará
armazenando os dados que chegarem. Quando o dispositivo principal voltar a ficar on-line novamente,
será automaticamente sincronizado com o de backup e retomará o armazenamento dos dados que
chegam. Se o dispositivo principal ficar permanentemente inoperante, você poderá reatribuir o backup
para torná-lo principal no ESM e designar um outro dispositivo para espelhá-lo.
Quando ambos os dispositivos ficam inoperantes, é exibido um sinalizador de status de integridade
ao lado do dispositivo ELM na árvore de navegação de sistemas.
Uma lista de armazenamento espelhada pode perder conexão com seu dispositivo de armazenamento.
O motivo da perda pode ser:
116
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
•
Falha no servidor de arquivos ou na rede entre o ELM e o servidor de arquivos.
•
O servidor de arquivos ou a rede foram desligados para manutenção.
•
Um arquivo de alocação foi acidentalmente excluída.
Quando há um problema no espelho, os dispositivos de armazenamento mostram um ícone de aviso
na tabela Listas de armazenamento. Você pode usar depois a função Reconstruir para repará-lo.
Adicionar armazenamento de dados espelhados do ELM
Qualquer dispositivo de armazenamento adicionado à lista de dispositivos disponíveis que tenha o
espaço necessário pode ser usado para espelhar os dados salvos em um dispositivo de
armazenamento do ELM.
Antes de iniciar
Adicione ao ESM os dois dispositivos que você deseja usar para espelhar um ao outro.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.
2
Clique em Adicionar ao lado da tabela inferior
3
Na página Adicionar lista de armazenamento, insira as informações solicitadas e clique em Adicionar para
selecionar o dispositivo de armazenamento e o de espelhamento.
Um dispositivo pode ser atribuído a mais de uma lista por vez.
4
Clique em OK duas vezes.
Reconstruir uma lista de armazenamento espelhada
Se uma lista de armazenamento espelhada perder conexão com seus dispositivos de armazenamento,
você poderá usar a função Reconstruir para reparar isso.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento.
2
Passe o mouse sobre os dispositivos espelhados que exibem um ícone de aviso.
Uma dica de ferramenta informa que a alocação de ELM está sendo reconstruída ou que o
dispositivo espelhado precisa ser reconstruído.
3
Para reconstruir os dispositivos espelhados, clique nos dispositivos e em Reconstruir.
Quando o processo for concluído, você será notificado que a reconstrução da alocação foi
bem-sucedida.
Desativar um dispositivo de espelhamento
Para deixar de usar um dispositivo de espelhamento da lista de armazenamento, selecione um outro
dispositivo para substituí-lo ou selecione Nenhum.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
117
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione o ELM que mantém a lista de armazenamento de
espelhamento no momento na árvore de navegação de sistemas e clique no ícone Propriedades
.
2
Clique em Listas de armazenamento, selecione os dispositivos espelhados na tabela Lista de armazenamento e
clique em Editar.
3
Execute uma das seguintes ações:
4
•
Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados espelhados for aquele que
você deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo para
espelhar o dispositivo de armazenamento de dados ou selecione Nenhum.
•
Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados for aquele que você
deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo que atue
como o dispositivo de armazenamento de dados.
Clique em OK para salvar as alterações.
Se o dispositivo não for mais de espelhamento, ele continuará aparecendo na tabela Dispositivo de
armazenamento.
Configurar o armazenamento de dados externos
Existem três tipos de armazenamento externo que podem ser configurados para armazenar dados do
ELM: iSCSI, SAN e DAS. Quando conectar esses tipos de armazenamento externo ao ELM, você
poderá configurá-los para que armazenem dados do ELM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.
2
Clique na guia iSCSI, SAN ou DAS e siga os procedimentos necessários.
3
Clique em Aplicar ou OK.
Adicionar um dispositivo iSCSI
Para usar um dispositivo iSCSI para armazenamento no ELM, é preciso configurar conexões com o
dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.
2
Na guia iSCSI, clique em Adicionar.
3
Insira as informações solicitadas e clique em OK.
Se a conexão for bem-sucedida, o dispositivo e seus IQNs serão adicionados à lista Configuração do
iSCSI, bem como à lista Tipo de dispositivo na página Adicionar dispositivo de armazenamento (consulte
Adicionar um dispositivo de armazenamento).
Quando um IQN começa a armazenar logs do ELM, o destino do iSCSI não pode ser excluído. Devido
a essa limitação, não deixe de configurar o destino do iSCSI com espaço suficiente para
armazenamento no ELM.
118
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
4
Antes de usar um IQN para armazenamento no ELM, selecione-o na lista e clique em Formato.
5
Para verificar seu status durante a formatação, clique em Verificar status.
6
Para descobrir ou redescobrir os IQNs, clique no dispositivo iSCSI e em Descobrir.
Tentativas de atribuir mais de um dispositivo a um IQN podem resultar em perda de dados.
Formatar um dispositivo de armazenamento SAN para armazenar dados do ELM
Se você tem uma placa SAN no sistema, pode usá-la para armazenar dados do ELM.
Antes de iniciar
Instale uma placa SAN no sistema (consulte Instalar o adaptador qLogic 2460 SAN no Guia
de instalação do McAfee ESM ou contate o suporte da McAfee).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.
Clique na guia SAN e verifique o status dos volumes de SAN detectados.
•
Formatação obrigatória — O volume precisa ser formatado e não aparece na lista dos volumes
disponíveis na página Adicionar dispositivo de armazenamento.
•
Formatação — O volume está no processo de ser formatado e não aparece na lista de volumes
disponíveis.
•
Pronto — O volume é formatado e tem um sistema de arquivos reconhecível. Esses volumes
podem ser usados para armazenar dados do ELM.
Se houver algum volume que não esteja formatado e você desejar armazenar dados, clique nele e
em Formatar.
Quando um volume é formatado, todos os dados armazenados são excluídos.
4
Para verificar se a formatação está concluída, clique em Atualizar.
Se a formatação estiver concluída, o status muda para Pronto.
5
Para exibir os detalhes de um volume na parte inferior da página, clique no volume.
Agora você pode configurar o volume SAN formatado como um dispositivo para armazenamento no
ELM.
Atribuir um dispositivo DAS para armazenar dados
Você pode atribuir dispositivos DAS disponíveis para armazenar dados no ELM.
Antes de iniciar
Configure dispositivos DAS.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
119
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o ELM que será atribuído ao dispositivo DAS e clique
no ícone Propriedades
.
Em um dispositivo multifuncional, é possível atribuir o DAS ao ESM selecionando o ESM e clicando
no ícone Propriedades.
2
Clique em Armazenamento de dados e clique na guia DAS.
A tabela DAS contém os dispositivos disponíveis para armazenamento.
3
Na tabela, clique em um dos dispositivos que não foram atribuídos para armazenar dados do ELM
ou do ESM.
4
Clique em Atribuir e em Sim na página de aviso.
Depois de atribuir um dispositivo, não será possível mudar.
O ELM é reiniciado.
Redundância de ELM
Você pode fornecer redundância para o log, adicionando um ELM em espera ao ELM independente
atual no seu sistema.
Para ativar a redundância, configure os endereços IP e outras informações de rede em dois ELMs
(consulte Configurar redundância de ELM). O ELM em espera deve ter dispositivos de armazenamento
com espaço combinado suficiente para coincidir com o armazenamento no ELM ativo. Após a
instalação, a configuração nos dois ELMs é sincronizada, e o ELM em espera mantém a sincronização
de dados entre os dois dispositivos.
Há várias ações que você pode realizar ao trabalhar com redundância de ELM: alternar, retomar
serviço, suspender, remover e exibir status. Todas as ações estão disponíveis na página Propriedades do
ELM | Redundância de ELM .
Alternar
Se o ELM principal deixar de funcionar ou precisar ser substituído, selecione Alternar ELM. O ELM em
espera é ativado, e o sistema associa todos os dispositivos de log a ele. As ações de log e configuração
ficam bloqueadas durante o processo de alternância.
Retomar serviço
Se o ELM em espera deixar de funcionar, você deverá retomar seu serviço quando ele retornar. Se não
for detectada nenhuma alteração nos arquivos de configuração, a redundância continuará como antes.
Se o sistema detectar diferenças, a redundância continuará nas listas de armazenamento que não
tiverem problemas, mas será exibido um status de erro, informando que uma ou mais listas não foram
configuradas. Você deve corrigir essas listas manualmente.
Se o ELM em espera tiver sido substituído ou reconfigurado, ele será detectado pelo sistema, que
solicitará que você o recodifique. O ELM ativo sincronizará todos os arquivos de configuração com o
ELM em espera, e a redundância continuará como antes.
120
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Suspender
Você poderá suspender a comunicação com o ELM em espera se ele tiver deixado de funcionar ou isso
estiver prestes a acontecer por algum motivo. Todas as interrupções na comunicação e notificações de
erro da redundância são mascaradas. Quando o ELM em espera for retomado, siga o processo de
retomada do serviço.
Desativar redundância no ELM
Você pode desativar a redundância do ELM selecionando Remover. O ELM ativo salva uma cópia dos
arquivos de configuração de redundância. Se esse arquivo de backup for localizado na ativação da
redundância de ELM, você será solicitado a responder se deseja restaurar os arquivos de configuração
salvos.
Exibir status
Você pode exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo e o ELM em
espera selecionando Status.
Configurar redundância de ELM
Se tiver um dispositivo do ELM independente no sistema, você poderá fornecer redundância para o
log, adicionando um ELM em espera.
Antes de iniciar
Você deve ter um ELM independente instalado (consulte o Guia de instalação do McAfee
Enterprise Security Manager 9.5.0) e adicionado ao console do ESM (consulte Adicionar
dispositivos ao console do ESM). Você também deve ter um ELM em espera instalado, mas
não adicionado ao console. Verifique se não há dados no ELM em espera. Entre em contato
com o suporte da McAfee se precisar redefinir padrões de fábrica.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique no ELM e no ícone Propriedades
.
2
Na página Propriedades do ELM, clique em Redundância de ELM e em Ativar.
3
Digite o endereço IP e a senha do ELM em espera e clique em OK.
4
Na página Propriedades do ELM, clique em Listas de armazenamento e verifique se a guia Ativo está
selecionada.
5
Adicione dispositivos de armazenamento ao ELM ativo (consulte Adicionar um dispositivo de
armazenamento para vincular a uma lista de armazenamento).
6
Clique na guia Espera e adicione dispositivos de armazenamento que tenham espaço combinado
suficiente para coincidir com o armazenamento no ELM ativo.
7
Adicione uma ou mais listas de armazenamento a cada ELM (consulte Adicionar ou editar uma lista
de armazenamento).
A configuração nos dois ELMs agora está sincronizada, e o ELM em espera mantém a sincronização dos
dados entre os dois dispositivos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
121
3
Configuração do ESM
Configuração de dispositivos
Gerenciamento da compactação do ELM
Compacte os dados que entram no ELM para economizar espaço em disco ou processar mais registros
por segundo.
As três opções são Baixa (padrão), Média e Alta. Esta tabela mostra detalhes sobre cada nível.
Nível Taxa de compactação Percentual de compactação Percentual do máximo de
máxima
registros processados por
segundo
Baixa
14:1
72%
100%
Média
17:1
87%
75%
Alta
20:1
100%
50%
As taxas reais de compactação variam de acordo com o conteúdo dos registros.
•
Se você estiver mais preocupado em economizar espaço em disco, e menos com o número de
registros que poderá processar por segundo, opte pela compactação alta.
•
Se estiver mais preocupado com o processamento de mais registros por segundo do que em
economizar espaço em disco, opte pela compactação baixa.
Definir compactação do ELM
Selecione o nível de compactação para os dados recebidos no ELM a fim de economizar espaço em
disco ou processar mais registros.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |
Compactação.
2
Selecione o nível de compactação do ELM e clique em OK.
Você será notificado quando o nível for atualizado.
Exibir resultados de uma pesquisa ou verificação de integridade
Depois que uma pesquisa ou uma verificação de integridade estiver concluída, você poderá exibir os
resultados.
Antes de iniciar
Execute um trabalho de pesquisa ou de verificação de integridade que produza resultados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM.
2
Clique em Dados e selecione a guia Pesquisar registros e arquivos ou Verificação de integridade.
3
Realce o trabalho que deseja exibir na tabela Resultados da pesquisa e clique em Exibir.
A página Resultados de pesquisa no ELM exibe os resultados do trabalho.
Todas as pesquisas do ELM podem se perder se você remover mais de uma unidade VM extra do ESM
de uma vez. Para evitar perder resultados, exporte os resultados da pesquisa no ELM.
122
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Backup e restauração do ELM
Se houver alguma falha do sistema ou perda de dados, é preciso fazer backup das configurações
atuais nos dispositivos ELM. Todas as configurações, incluindo o banco de dados de registros do ELM,
são salvas. Não é realizado backup dos verdadeiros registros que estão armazenados no ELM.
É recomendável espelhar os dispositivos que armazenam os dados do registro no ELM e espelhar o
banco de dados de gerenciamento do ELM. O recurso de espelhamento fornece backup dos dados do
registro em tempo real.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM.
2
Certifique-se de selecionar Informações do ELM e clicar em Backup e restauração.
3
Siga um destes procedimentos:
Para...
Faça isto...
Fazer backup do ELM agora
Forneça as informações solicitadas e clique em Fazer backup
agora.
Fazer backup das configurações do
ELM automaticamente
Selecione a frequência e forneça as informações.
Restaurar backup agora
Clique em Restaurar backup agora. O banco de dados do ELM é
restaurado com as configurações de um backup anterior.
Restaurar dados de registro e banco de dados de gerenciamento do ELM
Para substituir um ELM, restaure os dados de registro e banco de dados de gerenciamento no novo
ELM. Neste trabalho, os dados de registro e banco de dados devem ser espelhados.
Para restaurar os dados de um antigo ELM em um novo ELM, não crie um novo ELM usando o assistente
Adicionar dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM para o ELM que deve ser
substituído.
Uma página de aviso informa que o sistema não consegue localizar o ELM.
2
Feche a página de aviso e clique em Conexão.
3
Insira o endereço IP do novo ELM e clique em Gerenciamento de chaves | Codificar dispositivo.
Você será informado quando o novo dispositivo for codificado corretamente.
4
Insira a senha a ser associada a este dispositivo e clique em Avançar.
5
Clique em Informações do ELM | Backup e restauração | Restaurar ELM.
6
Ressincronize cada dispositivo conectado ao ELM clicando em Sincronizar ELM na página Propriedades |
Configuração de cada dispositivo.
O banco de dados de gerenciamento e o armazenamento de dados do ELM são restaurados no novo
ELM. Esse processo pode levar várias horas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
123
3
Configuração do ESM
Configuração de dispositivos
Ativar pesquisas mais rápidas no ELM
O mecanismo de indexação de texto completo indexa registros do ELM. Quando ativado, agiliza a
pesquisa no ELM, pois limita o número de arquivos a serem pesquisados.
Antes de iniciar
Defina o dispositivo de armazenamento e o espaço alocado para o indexador. O número de
registros do ELM que podem ser indexados varia de acordo com o espaço alocado para o
indexador.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |
Índice de texto completo.
2
Faça as seleções necessárias na página Selecione o local do Indexador de texto completo.
3
Clique em OK para salvar as configurações.
Exibir uso do armazenamento do ELM
Exibir o uso do armazenamento no ELM pode ajudá-lo a tomar decisões referentes à alocação de
espaço no dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Gerenciamento do ELM.
2
Clique em Exibir uso.
A página Estatísticas de uso é aberta, mostrando as estatísticas do dispositivo e das listas de
armazenamento no ELM.
3
Clique em OK.
Migração do banco de dados do ELM
O banco de dados de gerenciamento do ELM armazena os registros que rastreiam os registros
enviados ao ELM. O volume de espaço em disco disponível no dispositivo ELM para armazenar o banco
de dados de gerenciamento depende do modelo.
Quando você adiciona o dispositivo pela primeira vez, o sistema verifica se há espaço em disco
suficiente para armazenar os registros. Se não houver, você deverá definir um local alternativo para o
armazenamento do banco de dados de gerenciamento. Se o dispositivo tem espaço em disco
suficiente, mas você prefere salvar o banco de dados em outro local, pode usar Migrar BD, na página
Propriedades do ELM, para configurar esse local.
A opção Migrar BD pode ser usada a qualquer momento. Entretanto, se você migrar o banco de dados
de gerenciamento quando ele contiver registros, a sessão do ELM ficará suspensa por várias horas até
a conclusão da migração, o que depende do número de registros existentes. É recomendável definir
esse local alternativo quando você configurar o dispositivo ELM pela primeira vez.
Definir um local de armazenamento alternativo
Para armazenar registros de banco de dados de gerenciamento do ELM fora do ELM, é preciso definir o
local de armazenamento alternativo. Também é possível selecionar um segundo dispositivo para
espelhar o que está armazenado.
124
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |
Migrar BD.
2
Selecione o dispositivo de armazenamento e um dispositivo de espelhamento.
3
Clique em OK.
Substituir um banco de dados de gerenciamento espelhado do ELM
Se um dispositivo de armazenamento de banco de dados de gerenciamento espelhado estiver com
algum problema, convém substituí-lo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o dispositivo ELM com o dispositivo de
armazenamento de banco de dados de gerenciamento que está com problema e clique no ícone
Propriedades
.
2
Clique em Configuração do ELM e selecione Migrar BD.
3
No campo Dispositivos de armazenamento de dados, selecione o dispositivo que aparece na lista suspensa
Dispositivo de armazenamento de dados espelhados.
4
Selecione um novo dispositivo no campo Dispositivo de armazenamento de dados espelhados ou selecione
Nenhum para interromper o espelhamento.
Se o dispositivo em questão não estiver na lista suspensa, adicione-o primeiramente à tabela
Dispositivo de armazenamento.
Recuperação de dados do ELM
Para recuperar dados do ELM, é necessário criar trabalhos de pesquisa e verificação de integridade na
página Dados.
Um trabalho de verificação de integridade verifica se os arquivos definidos foram alterados desde que
foram originalmente armazenados. Isso pode servir de alerta de modificação não autorizada de
arquivos críticos de conteúdo ou do sistema. Os resultados da verificação mostram quais arquivos
foram alterados. Se nenhum arquivo tiver sido alterado, você será notificado de que a verificação foi
bem-sucedida.
O sistema limita-se a um total de 50 pesquisas e trabalhos de verificação de integridade ao mesmo
tempo. Se houver mais de 50 no sistema, você será informado de que a pesquisa não pode ser
realizada. Se existirem pesquisas no sistema, será possível excluí-las para que uma nova pesquisa
seja realizada. Caso não existam pesquisas, o administrador do sistema excluirá as pesquisas ou os
trabalhos de verificação de integridade iniciados por outros usuários para que você possa executar a
pesquisa.
Depois que a pesquisa é iniciada, ela continua em execução até ser concluída ou até alcançar um dos
limites estabelecidos, mesmo que você feche a página Dados. É possível retornar a essa tela para
verificar o status, que é exibido na tabela Resultados da pesquisa.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
125
3
Configuração do ESM
Configuração de dispositivos
Criar um trabalho de pesquisa
Para procurar arquivos no ELM que correspondam a seus critérios, defina um trabalho de pesquisa na
página Dados. Nenhum dos campos desta tela é obrigatório. Entretanto, quanto melhor você definir a
pesquisa, mais provavelmente recuperará os dados requeridos em menos tempo.
Maior velocidade da pesquisa do ELM na versão 9.2.0. Para que esse aumento seja efetivo, ao fazer
upgrade para versões posteriores à 9.2.0 de versões anteriores, é preciso ativar o sistema Indexador de
texto completo (FTI - Full Text Indexer ).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados.
2
Na guia Pesquisar registros e arquivos, preencha as informações solicitadas e clique em Pesquisar.
Criar um trabalho de verificação de integridade
Você pode verificar se os arquivos foram alterados desde que foram armazenados originalmente
criando um trabalho de verificação de integridade na página Dados. Nenhum dos campos da guia
Verificação de integridade é obrigatório. Entretanto, quanto melhor você definir a pesquisa, maiores as
chances de verificar a integridade dos dados requeridos em menos tempo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados.
2
Clique na guia Verificação de integridade, faça as seleções solicitadas e clique em Pesquisar.
Configurações do Advanced Correlation Engine (ACE)
O McAfee Advanced Correlation Engine (ACE) identifica e pontua eventos de ameaça em tempo real,
usando lógica baseada em regra e em risco.
Identifique o que você considera importante (usuários ou grupos, aplicativos, servidores específicos ou
sub-redes) para ser alertado pelo ACE se o ativo for ameaçado. Trilhas de auditoria e reproduções
históricas são importantes para o cumprimento de regras, conformidade e perícias.
Configure o ACE usando modos históricos ou de tempo real:
•
Modo de tempo real — Os eventos são analisados assim que coletados para detecção imediata de
riscos e ameaças.
•
Modo histórico — Reproduz dados disponíveis coletados por um dos mecanismos de correlação,
ou ambos, para detecção de riscos e ameaças históricos. Quando o ACE descobre novos ataques de
dia zero, ele determina se a organização foi exposta a esse ataque anteriormente para detecção de
ameaças de dia subzero.
Os dispositivos ACE complementam os recursos de correlação de eventos existentes do ESM
fornecendo dois mecanismos de correlação dedicados. Defina cada dispositivo ACE com sua própria
política, conexão, configurações de recuperação de eventos e logs, e gerenciadores de risco.
126
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
•
3
Correlação de risco — Gera uma pontuação de risco usando uma correlação sem regras. A
correlação baseada em regra somente detecta padrões de ameaça conhecidos, exigindo
atualizações e ajustes de assinatura constantes para ser eficaz. A correlação sem regras substitui
assinaturas de detecção por uma configuração única: identifique o que é importante para os seus
negócios (como um determinado serviço ou aplicativo, grupo de usuários ou tipos de dados
específicos). A Correlação de risco então rastreia toda atividade relacionada a esses itens, criando uma
pontuação de risco dinâmica que aumenta ou diminui de acordo com a atividade em tempo real.
Quando uma pontuação de risco excede um determinado limite, o ACE gera um evento e emite um
alerta sobre as condições de ameaça crescentes. Ou o mecanismo tradicional de correlação
baseada em regra pode usar o evento como condição de um incidente maior. O ACE mantém uma
trilha de auditoria completa de pontuações de risco para permitir análises e investigações
completas das condições de ameaça ao longo do tempo.
•
Correlação baseada em regra — Detecta ameaças usando a correlação de eventos tradicional
baseada em regra para analisar as informações coletadas em tempo real. O ACE correlaciona todos
os logs, eventos e fluxos de rede com informações contextuais, como identidade, funções,
vulnerabilidades etc., para detectar padrões que indiquem uma ameaça maior.
Os appliances Event Receiver são compatíveis com correlação baseada em regra em toda a rede. O
ACE complementa essa funcionalidade com um recurso de processamento dedicado que
correlaciona volumes maiores de dados, suplementando relatórios de correlação existentes ou
descarregando-os completamente.
Defina cada dispositivo ACE com sua própria política, conexão, configurações de recuperação de
eventos e logs, e gerenciadores de risco.
Selecionar tipo de dados do ACE
O ESM coleta dados de evento e de fluxo. Selecione quais dados serão enviados para o ACE. O padrão
é somente dados de evento.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Configuração do ACE.
2
Clique em Dados e selecione Dados de evento, Dados de fluxo ou ambos.
3
Clique em OK.
Adicionar um gerenciador de correlação
Para usar a correlação de regra ou de risco, é necessário adicionar gerenciadores de correlação de
regra ou risco.
Antes de iniciar
Deve haver um dispositivo ACE no ESM (consulte Adicionar dispositivos ao console do
ESM).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Gerenciamento de
correlação.
2
Selecione o tipo de gerenciador que deseja criar e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
127
3
Configuração do ESM
Configuração de dispositivos
3
Se tiver selecionado Correlação de regra, preencha as guias Principal e Filtros. Se tiver selecionado
Correlação de risco, preencha as guias Principal, Campos, Limites e Filtros.
4
Clique em Finalizar.
Adicionar um gerenciador de correlação de risco
Você deve adicionar gerenciadores para ajudar a calcular os níveis de risco dos campos designados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Gerenciamento de correlação
de risco.
2
Clique em Adicionar e preencha as informações solicitadas em cada guia.
3
Clique em Finalizar e em Gravar para gravar os gerenciadores no dispositivo.
Adicionar pontuação de correlação de risco
É necessário adicionar instruções condicionais que atribuam uma pontuação a um campo de destino.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Pontuação de correlação de
risco.
2
Clique em Adicionar e preencha as informações necessárias.
3
Clique em OK.
Uso da correlação histórica
A opção de correlação histórica permite a correlação de eventos passados.
Quando uma nova vulnerabilidade é descoberta, é importante verificar os registros e eventos
históricos para saber se você foi explorado antes. Com o recurso de reprodução simples de rede do
ACE, os eventos históricos podem ser reproduzidos através do mecanismo de correlação sem regra
Correlação de risco e do mecanismo de correlação de eventos com base em regras padrão, e você pode
examinar os eventos históricos em relação ao cenário de ameaça atual. Isso pode ser útil nas
seguintes situações:
•
Você não tinha a correlação configurada no momento em que determinados eventos foram
disparados e percebe que a correlação poderia ter revelado informações valiosas.
•
Você está configurando uma nova correlação com base nos eventos disparados no passado e quer
testá-la para confirmar se ela fornece os resultados desejados.
Ao usar a correlação histórica, esteja ciente de que:
128
•
A correlação em tempo real é interrompida até a desativação da correlação histórica.
•
A distribuição de risco é distorcida pela agregação de evento.
•
Quando você muda o gerenciador de risco novamente para correlação de risco em tempo real, os
limites devem ser ajustados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Para configurar e executar a correlação histórica, é necessário:
1
Adicionar um filtro de correlação histórica.
2
Executar uma correlação histórica.
3
Fazer download e exibir os eventos históricos correlacionados.
Adicionar e executar correlação histórica
Para correlacionar eventos passados, você precisa configurar um filtro de correlação histórica e
executar a correlação.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Histórico.
2
Clique em Adicionar, preencha as informações solicitadas e clique em OK.
3
Selecione Ativar correlação histórica e clique em Aplicar.
A correlação em tempo real é interrompida até a desativação da correlação histórica.
4
Selecione os filtros que deseja executar e clique em Executar agora.
O ESM examina os eventos, aplica os filtros e empacota os eventos que se aplicam.
Fazer download e exibir os eventos de correlação histórica.
Depois de executar a correlação histórica, você poderá fazer download e exibir os eventos gerados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Eventos e registros | Obter
eventos.
Os eventos resultantes da execução da correlação histórica são obtidos por download no ESM.
2
Feche Propriedades de ACE.
3
Para exibir os dados:
a
Na árvore de navegação do sistema, selecione o dispositivo do ACE para o qual você acabou de
executar os dados históricos.
b
Na lista suspensa de períodos, na barra de ferramentas de exibição, selecione o período
especificado ao configurar a execução.
O painel de exibição mostra os resultados da consulta.
Configurações do Application Data Monitor (ADM)
O McAfee Application Data Monitor (ADM) rastreia todo o uso de dados confidenciais na rede,
analisando protocolos subjacentes, a integridade das sessões e o conteúdo dos aplicativos.
Ao detectar uma violação, o ADM preserva todos os detalhes da sessão do aplicativo para uso em
resposta a incidentes e perícias ou para exigências de auditoria e conformidade. Ao mesmo tempo, o
ADM permite a visibilidade de ameaças disfarçadas de aplicativos legítimos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
129
3
Configuração do ESM
Configuração de dispositivos
O ADM pode detectar quando informações confidenciais são transmitidas em anexos de e-mail,
mensagens instantâneas, transferências de arquivos, publicações em HTTP ou outros aplicativos.
Personalize os recursos de detecção do ADM definindo seus próprios dicionários de informações
confidenciais e pessoais. Dessa forma, o ADM poderá detectar esses tipos de dados confidenciais,
alertar a equipe apropriada e registrar a transgressão em log para manter uma trilha de auditoria.
O ADM monitora, decodifica e detecta anomalias nos seguintes protocolos de aplicativo:
•
Transferência de arquivo: FTP, HTTP, SSL (configuração e certificados somente)
•
E-mail: SMTP, POP3, NNTP, MAPI
•
Bate-papo: MSN, AIM/Oscar, Yahoo, Jabber, IRC
•
Webmail: Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail
•
P2P: Gnutella, bitTorrent
•
Shell: SSH (detecção somente), Telnet
O ADM aceita expressões de regras e as testa em relação ao tráfego monitorado, inserindo registros
na tabela de eventos do banco de dados para cada regra disparada. Ele armazena o pacote que
disparou a regra no campo de pacote da tabela de eventos. Ele também adiciona metadados do nível
do aplicativo às tabelas de consultas e dbsession do banco de dados para cada regra disparada. Ele
armazena uma representação em texto da pilha do protocolo no campo de pacote da tabela de
consultas.
O ADM pode gerar os seguintes tipos de evento:
•
Metadados – O ADM gera um evento de metadados para cada transação na rede e inclui detalhes,
como endereços, protocolo, tipo de arquivo, nome de arquivo. O aplicativo insere os eventos de
metadados na tabela de consulta e agrupa os eventos na tabela de sessão. Por exemplo, quando
uma sessão do FTP transfere três arquivos, o ADM os agrupa.
•
Anomalia de protocolo - As anomalias de protocolo são codificadas nos módulos de protocolo e
incluem eventos, como um pacote TCP (Protocolo de controle de transmissão) é curto demais para
conter um cabeçalho válido, e um servidor SMTP (Simple Mail Transfer Protocol) retorna um código
de resposta inválido. Os eventos de anomalia de protocolo são raros e são colocados na tabela de
eventos.
•
Disparo de regra – As expressões de regra geram eventos de disparo de regra, detectando
anomalias nos metadados gerados pelo mecanismo ICE (Internet Communications Engine). Esses
eventos podem incluir anomalias, como protocolos usados fora do horário normal ou uma
comunicação inesperada entre um servidor SMTP e o FTP. Os eventos de disparo de regra devem
ser raros e colocados na tabela de eventos.
A tabela de eventos contém um registro de cada anomalia de protocolo detectada ou evento de
disparo de regra. Os registros de evento são vinculados às tabelas de sessão e de consulta por meio
da ID de sessão, em que estão disponíveis mais detalhes sobre as transferências na rede (eventos de
metadados) que dispararam o evento. Além disso, cada evento é vinculado à tabela de pacotes em
que estão disponíveis os dados brutos do pacote que disparou o evento.
A tabela de sessões contém um registro para cada grupo de transferências na rede relacionadas (por
exemplo, um grupo de transferências de arquivos do FTP na mesma sessão). Os registros de sessão
são vinculados à tabela de consultas por meio da ID de sessão em que estão disponíveis mais detalhes
sobre cada uma das transferências na rede (eventos de metadados). Além disso, se uma transferência
dentro da sessão causar uma anomalia de protocolo ou disparar uma regra, haverá um vínculo à
tabela de eventos.
130
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
A tabela de consultas contém um registro de cada evento de metadados (transferências de conteúdo
que ocorrem na rede). Os registros de consulta são vinculados à tabela de sessões com o ID de
sessão. Se a transferência na rede representada pelo registro disparar uma anomalia de protocolo ou
regra, haverá um vínculo à tabela de eventos. Haverá também um vínculo à tabela de pacotes usando
o campo de texto no qual a representação textual do protocolo ou pilha de conteúdo completos são
encontrados.
Configurar o fuso horário do ADM
O dispositivo ADM é definido como GMT, mas o código ADM espera que o dispositivo seja configurado
com o seu fuso horário. Como resultado, as regras usam os gatilhos de hora como se você estivesse
em GMT e não quando você espera que usem.
Você pode configurar o ADM com o fuso horário esperado. Esse aspecto é levado em consideração na
avaliação das regras.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.
2
Clique em Fuso horário e selecione o seu fuso horário.
3
Clique em OK.
Exibir senha na Visualização de sessão
O Visualizador de sessão permite que você veja os detalhes das últimas 25.000 consultas do ADM em uma
sessão. As regras de alguns eventos podem ser relacionadas à senha. Você pode selecionar se as
senhas serão exibidas no Visualizador de sessão. Por padrão, as senhas não são exibidas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.
A opção Senhas indica que o registro está Desligado.
2
Clique em Senhas, selecione Ativar registro de senhas e clique em OK.
O sistema executa o comando e informa quando o processo é concluído.
Agora, a opção Senhas indica que o registro está Ligado.
Dicionários do Application Data Monitor (ADM)
Ao gravar regras para o ADM, use dicionários que traduzam chaves capturadas na rede para um valor
definido. Ou liste chaves sem um valor que assumam um booliano verdadeiro quando as chaves
estiverem presentes.
Os dicionários do ADM permitem especificar chaves de um arquivo rapidamente, em vez de precisar
gravar uma regra individual para cada palavra. Por exemplo, configure uma regra para selecionar
e-mails que contenham palavras específicas, compile um dicionário com palavras impróprias e importe
esse dicionário. Você pode criar uma regra como a seguinte para verificar a existência de e-mails com
conteúdo que inclua uma das palavras do dicionário:
protocol == email && naughtyWords[objcontent]
McAfee Enterprise Security Manager 9.5.0
Guia de produto
131
3
Configuração do ESM
Configuração de dispositivos
Ao gravar regras com o editor de regras do ADM, você pode selecionar o dicionário de referência da
regra.
Os dicionários aceitam até milhões de entradas.
A adição de um dicionário a uma regra envolve as seguintes etapas:
1
Configurar e salvar um dicionário que lista as chaves e, se necessário, os valores.
2
Gerenciamento do dicionário no ESM.
3
Atribuição do dicionário a uma regra.
Configuração de dicionário do ADM
Um dicionário é um arquivo de texto sem formatação que consiste em uma entrada por linha. Existem
dicionários de coluna única e de coluna dupla. As colunas duplas incluem uma chave e um valor.
As chaves podem ser IPv4, MAC, número, expressão regular e cadeia. Os tipos de valor são booleano,
IPv4, IPv6, MAC, número e cadeia. Um valor é opcional e assumirá booliano verdadeiro como padrão,
se não houver valor presente.
Os valores em um dicionário de coluna única ou dupla devem ser um dos tipos compatíveis com o
ADM: cadeia, expressão regular, número, IPv4, IPv6 ou MAC. Os dicionários do ADM devem seguir
estas diretrizes de formatação:
Tipo
Regras de sintaxe
Exemplos
Conteúdo
correspondente
Cadeia
• As cadeias devem estar
entre aspas duplas
“Conteúdo inválido”
Conteúdo inválido
“Ele disse: \”Conteúdo inválido
\””
Ele disse: “Conteúdo
inválido”
/[Aa]pple/
Apple ou apple
• As aspas duplas de uma
cadeia devem ser seguidas
por caracteres de escape
com barras invertidas antes
de cada uma das aspas
Expressão
regular
Números
• As expressões regulares
ficam entre barras simples
/apple/i
• As barras e os caracteres
/ [0-9]{1,3}\.[0-9]{1,3}\.
de expressão regular
[0-9]\.[0-9]/
reservados dentro da
/1\/2 de todos/
expressão regular devem
ser seguidos por caracteres
de escape com barras
invertidas
Apple ou apple
Endereços IP:
1.1.1.1
127.0.0.1
1/2 de todos
• Valores decimais (0-9)
Valor decimal
123
• Valores hexadecimais
(0x0-9a-f)
Valor hexadecimal
0x12ab
Valor octais
0127
• Valores octal (0-7)
132
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tipo
Regras de sintaxe
Exemplos
Conteúdo
correspondente
Boolianos
• Podem ser verdadeiros ou
falsos
Literais boolianos
verdadeiro
falso
• Todos em minúsculas
IPv4
• Podem ser escritos em
notação quádrupla
pontilhada padrão
• Podem ser escritos em
notação CIDR
192.168.1.1
192.168.1.1
192.168.1.0/24
192.168.1.[0 – 255]
192.168.1.0/255.255.255.0
192.168.1.[0 – 255]
• Podem ser escritos em
formato longo com
máscaras completas
As seguintes informações se aplicam aos dicionários:
•
Listas (vários valores separados por vírgula dentro de colchetes) não são permitidas nos
dicionários.
•
Uma coluna pode ser composta somente por um único tipo de ADM compatível. Isso significa que
tipos diferentes (cadeia, expressão regular, IPv4) não podem ser misturados e correspondidos
dentro de um único arquivo de dicionário do ADM.
•
Eles podem conter comentários. Todas as linhas que começam com o caractere sustenido (#) são
consideradas um comentário dentro de um dicionário do ADM.
•
Os nomes podem conter somente caracteres alfanuméricos e sublinhados, com tamanho máximo
de 20 caracteres.
•
Não há suporte para as listas dentro deles.
•
Em versões anteriores ao ADM 8.5.0, eles precisam ser editados ou criados fora do ESM com um
editor de texto de sua escolha. Eles podem ser importados ou exportados do ESM para facilitar a
modificação ou a criação de novos dicionários do ADM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
133
3
Configuração do ESM
Configuração de dispositivos
Exemplos de dicionário do ADM
O mecanismo do ADM pode corresponder o conteúdo do objeto ou qualquer outra métrica ou
propriedade a um dicionário de coluna única para verdadeiro ou falso (existe ou não existe no
dicionário).
Tabela 3-25 Exemplos de dicionário de coluna única
Tipo de dicionário
Exemplo
Dicionário de cadeia com
palavras de spam comuns
“Cialis”
“cialis”
“Viagra”
“viagra”
“site adulto”
“Site adulto”
“compre já! não perca tempo!”
Dicionário de expressão regular /(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
para palavras-chave de
user)/i
autorização
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i
/fund[^a-z0-9]{1,3}transaction/i
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i
Dicionário de cadeia contendo
valores do hash para
executáveis inválidos
conhecidos
"fec72ceae15b6f60cbf269f99b9888e9"
"fed472c13c1db095c4cb0fc54ed28485"
"feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
Endereços IP de ativos críticos
192.168.1.12
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240
134
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tabela 3-26 Exemplos de dicionário de coluna dupla
Tipo de dicionário
Exemplo
Dicionário de cadeia com
palavras de spam comuns e
categorias
“Cialis” “medicamento”
“cialis” “medicamento”
“Viagra” “medicamento”
“viagra” “medicamento”
“site adulto” “adulto”
“Site adulto” “adulto”
“compre já! não perca tempo!” “fraude”
Dicionário de expressão
regular para palavras-chave
de autorização e categorias
/(password|passwd|pwd)[^a-z0-9]{1,3}(admin|login|password|
user)/i “credentials”
/(customer|client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i
“pii”
/fund[^a-z0-9]{1,3}transaction/i “sox”
/fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i “sox”
Dicionário de cadeia contendo "fec72ceae15b6f60cbf269f99b9888e9" “cavalo de Troia”
valores do hash para
"fed472c13c1db095c4cb0fc54ed28485" “Malware”
executáveis inválidos
conhecidos e categorias
"feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “cavalo de Troia”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
Endereços IP de ativos
críticos e grupos
192.168.1.12 “Ativos críticos”
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Ativos críticos”
Gerenciar Dicionários de ADM
Depois de configurar e salvar um novo dicionário, é necessário importá-lo para o ESM. Você pode
também exportar, editar ou excluir o dicionário.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique em Ferramentas e selecione Gerenciador de dicionários do ADM.
A tela Gerenciar Dicionários de ADM lista os quatro dicionários padrão (rede de bots, foullanguage,
icd9_desc, e spamlist) e todos os dicionários que foram importados para o sistema.
2
Execute uma das ações disponíveis e clique em Fechar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
135
3
Configuração do ESM
Configuração de dispositivos
Consulta a um dicionário de ADM
Quando um dicionário é importado para o ESM, você pode consultá-lo ao gravar regras.
Antes de iniciar
Importe o dicionário para o ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, clique em Novo | Regra de ADM.
2
Adicione as informações solicitadas e arraste e solte um elemento lógico para a área Lógica da
expressão.
3
Arraste e solte o ícone Componente da expressão
no elemento lógico.
4
Na página Componente da expressão, selecione o dicionário no campo Dicionário.
5
Preencha os campos restantes e clique em OK.
Material de referência das regras do ADM
Este apêndice inclui material que pode ajudar você a adicionar as regras do ADM ao Editor de políticas.
Sintaxe de regras de ADM
As regras de ADM são muito semelhantes às expressões C.
A principal diferença é um conjunto mais extenso de literais (números, cadeias, expressões regulares,
endereços IP, endereços MAC e boolianos). Os termos de cadeia podem ser comparados com literais
de cadeia e Regex para testar seu conteúdo, mas eles podem também ser comparados com números
para testar o tamanho. Os termos numéricos, endereço IP e endereço MAC só podem ser comparados
com o mesmo tipo de valor de literal. A única exceção é que tudo pode ser tratado como booliano para
testar sua existência. Alguns termos podem ter vários valores, por exemplo, a regra a seguir seria
disparada nos arquivos PDF dentro de arquivos .zip : type = = application/zip && type = =
application/pdf.
Tabela 3-27
136
Operadores
Operador
Descrição
Exemplo
&&
Elemento lógico AND
protocol = = http && type = = image/gif
||
Elemento lógico OR
time.hour < 8 || time.hour > 18
^^
Elemento lógico XOR
email.from = = "a@b.com" ^^email.to = = "a@b.com"
!
NOT unário
! (protocol = = http | | protocol = = ftp)
==
Igual a
type = = application/pdf
!=
Diferente de
srcip ! = 192.168.0.0/16
>
Maior que
objectsize > 100M
>=
Maior ou igual a
time.weekday > = 1
<
Menor que
objectsize < 10 K
<=
Menor ou igual a
time.hour < = 6
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de dispositivos
3
Tabela 3-28 Literais
Literal
Exemplo
Número
1234, 0x1234, 0777, 16K, 10M, 2G
Cadeia
"uma cadeia"
Regex
/[A-Z] [a-z]+/
IPv4
1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0
MAC
aa:bb:cc:dd:ee:ff
Bool
verdadeiro, falso
Tabela 3-29 Compatibilidade do tipo de operador
Tipo
Operadores
Notas
Número = =, ! =, >, > =, <, < =
Cadeia
= =, ! =
Comparar conteúdo de cadeia com Cadeia/Expressão regular
Cadeia
>, > =, <, <=
Comparar tamanho da cadeia
IPv4
= =, ! =
MAC
= =, ! =
Bool
= =, ! =
A comparação com verdadeiro/falso também é compatível com a
comparação implícita com verdadeiro, por exemplo, a
comparação a seguir testa se o termo email.bcc ocorre:
email.bcc
Tabela 3-30 Gramática de expressão regular de ADM
Operadores básicos
|
Alternação (ou)
*
Zero ou mais
+
Um ou mais
?
Zero ou um
()
Agrupamento (a | b)
{}
Intervalo de repetição {x} ou {,x} ou {x,} ou {x,y}
[]
Intervalo [0-9a-z] [abc]
[^ ]
Intervalo exclusivo [^abc] [^0-9]
.
Qualquer caractere
\
Caractere de escape
Caracteres de escape
\d
Dígito [0-9]
\D
Não dígito [^0-9]
\e
Caracteres de escape (0x1B)
\f
Avanço de página (0x0C)
McAfee Enterprise Security Manager 9.5.0
Guia de produto
137
3
Configuração do ESM
Configuração de dispositivos
Caracteres de escape
\n
Avanço de linha (0x0A)
\r
Retorno de carro (0x0D)
\s
Espaço em branco
\S
Não é espaço em branco
\t
Tabulação (0x09)
\v
Tabulação vertical (0x0B)
\w
Palavra [A-Za-z0-9_]
\W
Não é palavra
\x00
Representação hexadecimal
\0000
Representação octal
^
Início de linha
S
Fim de linha
As âncoras de início e fim de linha (^ e $) não funcionam em objcontent.
Classes de caractere POSIX
138
[:alunum:]
Dígitos e letras
[:alpha:]
Todas as letras
[:ascii:]
Caracteres ASCII
[:blank:]
Espaço e tabulação
[:cntrl:]
Caracteres de controle
[:digit:]
Dígitos
[:graph:]
Caracteres visíveis
[:lower:]
Letras minúsculas
[:print:]
Caracteres e espaços visíveis
[:punct:]
Pontuação e símbolos
[:space:]
Todos os caracteres com espaço em branco
[:upper:]
Caracteres em maiúsculas
[:word:]
Caracteres de palavra
[:xdigit:]
Dígito hexadecimal
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tipos de termo de regra do ADM
Todos os termos de uma regra do ADM têm um tipo específico.
Cada termo é um endereço IP, um endereço MAC, um número, uma cadeia ou um booliano. Além
disso, há dois tipos extras de literal: expressões regulares e listas. Um termo de tipo específico
somente pode ser comparado, em geral, com um literal do mesmo tipo ou uma lista de literais do
mesmo tipo (ou uma lista de listas de...). Existem três exceções a essa regra:
1
Um termo de cadeia pode ser comparado com um literal numérico para testar seu tamanho. A
seguinte regra será disparada se uma senha contiver menos de oito caracteres (a senha é um
termo de cadeia): senha < 8
2
Um termo de cadeia pode ser comparado com uma expressão regular. A seguinte regra será
disparada se uma senha contiver somente letras minúsculas: senha == /^[a-z]+$/
3
Todos os termos podem ser testados com literais boolianos para testar se eles ocorrem. A seguinte
regra será disparada se um e-mail contiver um endereço CC (email.cc é um termo de cadeia):
email.cc == verdadeiro
Tipo
Descrição de formato
Endereços
IP
• Os literais de endereço IP são gravados em notação quádrupla pontilhada padrão e
não ficam entre aspas: 192.168.1.1
• Os endereços IP podem ter uma máscara gravada em notação CIDR padrão. Não
deve haver nenhum espaço em branco entre o endereço e a máscara:
192.168.1.0/24
• Os endereços IP podem também ter máscaras gravadas na forma longa:
192.168.1.0/255.255.255.0
Endereços
MAC
• Os literais de endereço MAC são gravados usando notação padrão, como os
endereços IP, eles não ficam entre aspas: aa:bb:cc:dd:ee:ff
Números
• Todos os números nas regras do ADM são números inteiros de 32 bits. Eles podem
ser gravados em decimal: 1234
• Eles podem ser gravados em hexadecimal: 0xabcd
• Eles podem ser gravados em octal: 0777
• Eles podem ter um multiplicador anexado para multiplicar por 1024 (K), 1048576
(M) ou 1073741824 (G): 10 M
Cadeias
• As cadeias ficam entre aspas duplas: "esta é uma cadeia"
• As cadeias podem usar sequências de caracteres de escape C padrão: "\tEsta é uma
\"cadeia\" que contém\x20sequências de caracteres de escape\n"
• Na comparação de um termo com uma cadeia, o termo inteiro deve corresponder à
cadeia. Se uma mensagem de e-mail tiver um endereço de origem de
alguém@algumlugar.com, a seguinte regra não será disparada: e-mail.de ==
“@algumlugar.com”
• Para corresponder somente uma parte do termo, deverá ser usado um literal de
expressão regular. Os literais de cadeia devem ser usados quando possível, porque
são mais eficazes.
Todos os termos de URL e endereço de e-mail são normalizados antes da
correspondência, por isso, não é necessário considerar itens com comentários dentro
dos endereços de e-mail.
Boolianos
• Os literais boolianos são verdadeiros e falsos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
139
3
Configuração do ESM
Configuração de dispositivos
Tipo
Descrição de formato
Expressões
regulares
• Os literais de expressão regular usam a mesma notação como linguagens, como
Javascript e Perl, colocando a expressão regular entre barras: /[a-z]+/
• As expressões regulares podem ser seguidas de sinalizadores modificadores padrão,
embora "i" seja o único reconhecido no momento (não faz distinção de maiúsculas e
minúsculas): /[a-z]+/i
• Os literais de expressão regular devem usar a sintaxe POSIX Extended. Atualmente,
as extensões Perl funcionam para todos os termos, exceto para o termo de conteúdo,
mas isso poderá mudar em versões futuras.
• Na comparação de um termo com uma expressão regular, a expressão regular
corresponde a qualquer subcadeia dentro do termo, a menos que operadores âncora
sejam aplicados dentro da expressão regular. A seguinte regra é disparada quando
um e-mail é visto com um endereço “alguem@algumlugar.com”: e-mail.de == /
@algumlugar.com/
Listas
• Os literais de lista consistem em um ou mais literais entre colchetes e separados por
vírgula: [1, 2, 3, 4, 5]
• As listas podem conter qualquer tipo de literal, inclusive outras listas: [192.168.1.1,
[10.0.0.0/8, 172.16.128.0/24]]
• As listas devem conter somente um tipo de literal. Não é válido misturar cadeias e
números, cadeias e expressões regulares, endereços IP e endereços MAC.
• Quando uma lista é usada com qualquer operador relacional que não seja diferente
de (!=), a expressão será verdadeira se o termo corresponder a algum literal da
lista. A seguinte regra será disparada se o endereço IP de origem corresponder a
algum endereço IP da lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]
• Isso equivale a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• Quando usada com o operador diferente de (!=), a expressão será verdadeira se o
termo não corresponder a todos os literais da lista. A seguinte regra será disparada
se o endereço IP de origem não for 192.168.1.1 ou 192.168.1.2: srcip !=
[192.168.1.1, 192.168.1.2]
• Isso equivale a: srcip != 192.168.1.1 && srcip != 192.168.1.2
• As listas podem também ser usadas com outros operadores relacionais, embora isso
não faça muito sentido. A seguinte regra será disparada se o tamanho do objeto for
superior a 100 ou se for superior a 200: objectsize > [100, 200]
• Isso equivale a: objectsize > 100 || objectsize > 200
Referências de métrica de regra do ADM
Seguem abaixo as listas de referências de métrica para expressões de regra do ADM, que estão
disponíveis na página Componente da expressão quando você adiciona uma regra de ADM.
Para as propriedades comuns e anomalias comuns, o valor de tipo parâmetro que você pode inserir
para cada um está mostrado entre parênteses após a referência de métrica.
Propriedades comuns
140
Propriedade ou termo
Descrição
Protocolo (número)
O protocolo do aplicativo (HTTP, FTP, SMTP)
Conteúdo do objeto (cadeias)
O conteúdo de um objeto (texto dentro de um documento,
mensagem de e-mail, mensagem de bate-papo). A
correspondência de conteúdo não está disponível para dados
binários. Os objetos binários podem, entretanto, ser detectados
usando o Tipo de objeto (objtype)
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Propriedade ou termo
Descrição
Tipo de objeto (número)
Especifica o tipo de conteúdo conforme determinado pelo ADM
(Documentos do Office, Mensagens, Vídeos, Áudio, Imagens,
Arquivos, Executáveis)
Tamanho do objeto (número)
Tamanho do objeto. Os multiplicadores numéricos K, M e G podem
ser adicionados após o número (10 K, 10 M, 10 G)
Objeto do Hash (cadeia)
O hash do conteúdo (atualmente MD5)
Endereço IP de origem do objeto O endereço IP de origem do conteúdo. O endereço IP pode ser
(número)
especificado como 192.168.1.1, 192.168.1.0/24,
192.168.1.0/255.255.255.0
Endereço IP de destino do objeto O endereço IP de destino do conteúdo. O endereço IP pode ser
(número)
especificado como 192.168.1.1, 192.168.1.0/24,
192.168.1.0/255.255.255.0
Porta de origem do objeto
(número)
A porta TCP/UDP de origem do conteúdo
Porta de destino do objeto
(número)
A porta TCP/UDP de destino do conteúdo
Endereço IP v6 de origem do
objeto (número)
O endereço IP v6 de origem do conteúdo
Endereço IPv6 de destino do
objeto (número)
O endereço IPv6 de destino do conteúdo
Endereço MAC de origem do
objeto (nome Mac)
O endereço MAC de origem do conteúdo (aa:bb:cc:dd:ee:ff)
Endereço MAC de destino do
objeto (nome Mac)
O endereço MAC de destino do conteúdo (aa:bb:cc:dd:ee:ff)
Endereço IP de origem do fluxo
(IPv4)
Endereço IP de origem do fluxo. O endereço IP pode ser
especificado como 192.168.1.1, 192.168.1.0/24,
192.168.1.0/255.255.255.0
Endereço IP de destino do fluxo
(IPv4)
Endereço IP de destino do fluxo. O endereço IP pode ser
especificado como 192.168.1.1, 192.168.1.0/24,
192.168.1.0/255.255.255.0
Porta de origem do fluxo
(número)
Porta TCP/UDP de origem do fluxo
Porta de destino do fluxo
(número)
Porta TCP/UDP de destino do fluxo
Endereço IPv6 de origem do
fluxo (número)
Endereço IPv6 de origem do fluxo
Endereço IPv6 de destino do
fluxo (número)
Endereço IPv6 de destino do fluxo
Endereço MAC de origem do
fluxo (nome Mac)
Endereço MAC de origem do fluxo
Endereço MAC de destino do
fluxo (nome Mac)
Endereço MAC de destino do fluxo
VLAN (número)
ID da LAN virtual
Dia da semana (número)
O dia da semana. Os valores válidos são de 1 a 7; em que 1 é
segunda-feira.
Hora do dia (número)
A hora do dia definida como GMT. Os valores válidos são 0 a 23.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
141
3
Configuração do ESM
Configuração de dispositivos
Propriedade ou termo
Descrição
Tipo de conteúdo declarado
(cadeia)
Tipo do conteúdo conforme especificado pelo servidor. Na teoria,
Tipo de objeto (objtype) é sempre o tipo real e o Tipo de conteúdo
declarado (content-type) não é confiável, porque ele pode ser
falsificado pelo servidor/aplicativo.
Senha (cadeia)
Senha usada pelo aplicativo na autenticação.
URL (cadeia)
URL do site. Aplica-se somente ao protocolo HTTP.
Nome do arquivo (cadeia)
Nome do arquivo que está sendo transferido.
Nome de exibição (cadeia)
Nome do host (cadeia)
Nome do host especificado na pesquisa de DNS.
Anomalias comuns
•
Usuário desconectado (Booliano)
•
Erro de autorização (Booliano)
•
Êxito na autorização (Booliano)
•
Falha na autorização (Booliano)
Propriedades específicas de protocolo
Além de fornecer propriedades que são comuns na maioria dos protocolos, o ADM fornece
propriedades específicas de protocolo que podem ser usadas com regras de ADM. Todas as
propriedades específicas de protocolo estão disponíveis também na página Componente de expressão ao
adicionar uma regra de ADM.
Exemplos de propriedades específicas de protocolo
Essas propriedades se aplicam a estas tabelas:
* Somente detecção
** Sem descriptografia, captura certificados X.509 e dados criptografados
*** Via módulo RFC822
Tabela 3-31 Módulos de protocolo de transferência de arquivo
FTP
HTTP
SMB*
SSL**
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do host
Nome do host
Nome do host
Nome do host
URL
Referer
URL
Todos os cabeçalhos HTTP
142
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-32 Módulos de protocolo de e-mail
DeltaSync
MAPI
NNTP
POP3
SMTP
Cópia oculta***
Cópia oculta
Cópia oculta***
Cópia oculta***
Cópia oculta***
Com cópia***
Com cópia
Com cópia***
Com cópia***
Com cópia***
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
De***
De
De***
De***
De***
Nome do host
Nome do host
Nome do host
Nome do host
Nome do host
Assunto***
Assunto
Assunto***
Assunto***
Para***
Para***
Para
Para***
Para***
Assunto***
Nome do usuário
Nome do usuário
Tabela 3-33 Módulos de protocolo de Webmail
AOL
Gmail
Hotmail
Yahoo
Nome do anexo
Nome do anexo
Nome do anexo
Nome do anexo
Cópia oculta***
Cópia oculta***
Cópia oculta***
Cópia oculta***
Com cópia***
Com cópia***
Com cópia***
Com cópia***
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do host
Nome do host
Nome do host
Nome do host
De***
De***
De***
De***
Assunto***
Assunto***
Assunto***
Assunto***
Para***
Para***
Para***
Para***
Anomalias de protocolo
Além das propriedades comuns e propriedades específicas de protocolo, o ADM detecta também
centenas de anomalias em protocolos de transporte, de aplicativos e de nível inferior. Todas as
propriedades de anomalia de protocolo são de tipo Booliano e estarão disponíveis na página Componente
de expressão quando você estiver adicionando uma regra de ADM.
Tabela 3-34
IP
Termo
Descrição
ip.too-small
O pacote IP é pequeno demais para conter um cabeçalho válido.
ip.bad-offset
O deslocamento de dados IP ultrapassa o final do pacote.
ip.fragmented
O pacote IP está fragmentado.
ip.bad-checksum
A soma de verificação do pacote IP não corresponde aos dados.
ip.bad-length
O campo de totlen do pacote IP ultrapassa o final do pacote.
Tabela 3-35 TCP
Termo
Descrição
tcp.too-small
O pacote TCP é pequeno demais para conter um cabeçalho
válido.
tcp.bad-offset
O deslocamento de dados do pacote TCP ultrapassa o final do
pacote.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
143
3
Configuração do ESM
Configuração de dispositivos
Tabela 3-35 TCP (continuação)
Termo
Descrição
tcp.unexpected-fin
Sinalizador FIN de TCP definido em estado não estabelecido.
tcp.unexpected-syn
Sinalizador SYN de TCP definido em estado estabelecido.
tcp.duplicate-ack
Dados de ACKs do pacote TCP que já foram confirmados.
tcp.segment-outsidewindow
O pacote TCP está fora da janela (janela menor do módulo TCP,
não a janela real).
tcp.urgent-nonzero-withouturg- flag O campo de urgência TCP é diferente de zero, mas o sinalizador
URG não foi definido.
Tabela 3-36 DNS
Termo
Descrição
dns.too-small
O pacote DNS é pequeno demais para conter um cabeçalho válido.
dns.question-name-past-end
O nome da pergunta DNS ultrapassa o final do pacote.
dns.answer-name-past-end
O nome da resposta DNS ultrapassa o final do pacote.
dns.ipv4-address-length-wrong
Endereço IPv4 da resposta DNS não tem 4 bytes de comprimento.
dns.answer-circular-reference
A resposta DNS contém referência circular.
Configurações do Database Event Monitor (DEM)
O McAfee Database Event Monitor (DEM) consolida a atividade de banco de dados em um repositório
de auditoria central e fornece normalização, correlação, análise e geração de relatórios dessa
atividade. Se a atividade do servidor de banco de dados ou rede coincidir com padrões conhecidos que
indiquem acesso de dados maliciosos, o DEM gerará um alerta. Além disso, todas as transações serão
registradas em log para serem usadas na conformidade.
O DEM permite gerenciar, editar e ajustar regras de monitoramento de banco de dados na mesma
interface que fornece análise e geração de relatórios. Você pode ajustar perfis de monitoramento de
banco de dados específicos facilmente (as regras que serão impostas, as transações que serão
registradas em log), reduzindo os falsos positivos e melhorando a segurança como um todo.
O DEM faz auditoria de forma não invasiva das interações dos seus usuários e aplicativos com os seus
bancos de dados, monitorando pacotes de rede semelhantes a sistemas de detecção de intrusão. Para
que você possa monitorar toda a atividade de servidor de banco de dados na rede, coordene a
distribuição inicial do DEM com as suas equipes de rede, segurança, conformidade e bancos de dados.
Suas equipes de rede usam portas de expansão em switches, “taps” (derivações) de rede ou hubs
para replicar tráfego de banco de dados. Esse processo permite que você escute ou monitore o tráfego
em seus servidores de banco de dados e crie um log de auditoria.
Visite o site da McAfee para obter informações sobre versões e plataformas de servidor de banco de
dados compatíveis.
Sistema operacional
144
Banco de dados
Appliance do DEM
Agente do DEM
Windows (todas as versões) Microsoft SQL Server¹
MSSQL 7, 2000, 2005,
2008, 2012
MSSQL 2000 (SP4),
2005, 2008
Windows, UNIX/Linux
(todas as versões)
Oracle 8.x, 9.x, 10 g,
11 g (c), 11 g R2³
Oracle 8.0.3+, 9.x,
10.x, 11.x
Oracle²
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Sistema operacional
Banco de dados
Appliance do DEM
Agente do DEM
Sybase
11.x, 12.x, 15.x
11.x, 12.x, 15.x
DB2
8.x, 9.x, 10.x
7.1.x, 8.x, 9.x
Informix (disponível na
versão 8.4.0 e versões
posteriores)
11.5
--
MySQL
Sim, 4.x, 5.x, 6.x
Sim, 4.1.22.x,
5.0.3x
PostgreSQL
7.4.x, 8.4.x, 9.0.x,
9.1.x
--
Teradata
12.x, 13.x, 14.x
--
Cache do InterSystems
2011.1.x
--
UNIX/Linux (todas as
versões)
Greenplum
8.2.15
--
Vertica
5.1.1-0
--
Mainframe
DB2/zOS
Todas as versões
Opção de agente do
parceiro
AS400
DB2
Todas as versões
--
Windows, UNIX/Linux
(todas as versões)
1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível na
versão 8.3.0 e versões posteriores.
2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível na versão 8.4.0 e
versões posteriores.
3 O Oracle 11 g está disponível na versão 8.3.0 e versões posteriores.
As informações a seguir se aplicam a esses servidores e versões:
•
Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de
banco de dados.
•
O MySQL é compatível somente com plataformas Windows de 32 bits.
•
A descriptografia de pacote é compatível com MSSQL e Oracle.
Atualizar licença do DEM
O DEM é enviado com uma licença padrão. Se você alterar os recursos do DEM, a McAfee enviará uma
nova licença em uma mensagem de email e você precisa atualizá-la.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.
2
Clique em Licença | Atualizar licença, cole as informações enviadas para você pela McAfee no campo.
3
Clique em OK.
O sistema atualiza a licença e informa quando está concluído.
4
Distribuir a política para o DEM.
Sincronizar arquivos de configuração DEM
Quando os arquivos de configuração DEM estão fora de sincronia com o dispositivo DEM, você precisa
gravar os arquivos de configuração no DEM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
145
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.
2
Clique em Arquivos de sincronização.
Uma mensagem exibe o status da sincronização.
Definir configurações avançadas do DEM
Essas configurações avançadas alteram ou aumentam o desempenho do DEM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.
2
Clique em Avançada e defina as configurações ou desmarque as opções se começar a experimentar
uma carga pesada no DEM.
3
Clique em OK.
Aplique as configurações do DEM
As alterações feitas nas configurações do DEM precisam ser aplicadas ao DEM. Se você não aplicar
alguma alteração de configurações, a opção Aplicar na Configuração do DEM permite que você faça isso em
todas as configurações do DEM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.
2
Clique em Aplicar.
Uma mensagem informa quando as configurações forem gravadas no DEM.
Definição de ações para eventos do DEM
As configurações do Gerenciamento de ações no DEM definem ações e operações para eventos, que são
usadas nas regras de filtragem e na política de acesso a dados do DEM. Você pode adicionar regras
personalizadas e definir Operação nas ações padrão e personalizada.
O DEM vem com ações padrão, que você pode ver clicando em Editar global na página Gerenciamento de
ações e com estas operações padrão:
•
nenhuma
•
scripts
•
ignorar
•
redefinir
•
descartar
Se você selecionar Script como a operação, um nome de alias (SCRIPT ALIAS) será necessário,
apontando para o script (SCRIPT NAME) que precisa ser executado quando o evento crítico acontecer.
O script passa por duas variáveis de ambiente, ALERT_EVENT e ALERT_REASON. ALERT_EVENT
contém uma lista de métricas separada por dois pontos. O DEM oferece um script bash de amostra /
home/auditprobe/conf/sample/process_alerts.bash para demonstrar como a ação crítica pode ser
capturada em um script.
146
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Ao trabalhar com ações e operações, tenha isso em mente:
•
Ações são listadas em ordem de prioridade.
•
Um evento não age enviando uma interceptação ou página SNMP a não ser que você especifique
isso como a ação de alerta.
•
Quando uma regra se qualifica para mais de um nível de alerta, somente o nível mais alto de alerta
é acionável.
•
Eventos são gravados em um arquivo de eventos, independentemente da ação. A única exceção é
uma operação de Descarte.
Adicionar uma ação do DEM
Se você adicionar uma ação ao gerenciamento de ações do DEM, ela aparecerá na lista de ações
disponíveis de uma regra do DEM no Editor de políticas. Você poderá selecioná-la como a ação de uma
regra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique no ícone Editor de políticas
Gerenciador de ações do DEM.
e clique em Ferramentas |
A página Gerenciamento de ações do DEM lista as ações existentes na ordem de prioridade.
Não é possível alterar a ordem de prioridade das ações padrão.
2
Clique em Adicionar e insira um nome e uma descrição para a ação.
Não é possível excluir uma ação personalizada depois que ela é adicionada.
3
Clique em OK.
A nova ação será adicionada à lista de Gerenciamento de ações do DEM.
A operação padrão de uma ação personalizada é Nenhum. Para alterar essa configuração, consulte
Definir a operação de uma ação do DEM.
Editar uma ação personalizada do DEM
Depois de ter adicionado uma ação à lista de gerenciamento de ações do DEM, poderá ser necessário
editar o nome ou alterar a prioridade dela.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na árvore de navegação do sistema, clique no ícone Editor de políticas
Gerenciador de ações do DEM.
e clique em Ferramentas |
Clique na ação personalizada que você precisa alterar e siga um destes procedimentos:
•
Para alterar a ordem de prioridade, clique nas setas para cima ou para baixo até que esteja na
posição correta.
•
Para alterar o nome ou a descrição, clique em Editar.
Clique em OK para salvar suas configurações.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
147
3
Configuração do ESM
Configuração de dispositivos
Definir a operação para uma ação DEM
Todas as ações de regra tem uma operação padrão. Quando você adiciona uma ação DEM
personalizada, a operação padrão é Nenhuma. Você pode alterar a operação de qualquer ação para
Ignorar, Descartar, Script ou Redefinir.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de ação.
2
Destaque a ação que deseja editar e clique em Editar.
3
Selecione uma operação e clique em OK.
Trabalhar com máscaras de dados confidenciais
As máscaras de dados confidenciais impedem a exibição não autorizada de dados confidenciais que
possam estar presentes no registro do evento, substituindo esses dados por uma cadeia genérica,
chamada de máscara. Três máscaras de dados confidenciais padrão são adicionadas ao banco de
dados do ESM quando você adiciona um dispositivo DEM ao sistema, mas você pode adicionar novos e
editar ou remover existentes.
Há três máscaras padrão:
•
Nome da máscara confidencial: máscara de número de cartão de crédito
Expressão: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
Índice de subcadeia: \0
Padrão de máscara: ####-####-####-####
•
Nome de máscara confidencial: mascarar os 5 primeiros caracteres do número do seguro social
Expressão: (\d\d\d-\d\d)-\d\d\d\d
Índice de subcadeia: \1
Padrão de máscara: ###-##
•
Nome de máscara confidencial: mascarar a senha de usuário na instrução SQL
Expressão: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
Índice de subcadeia: \2
Padrão de máscara: ********
Gerenciar máscaras de dados confidenciais
Para proteger as informações confidenciais inseridas no sistema, você pode adicionar máscaras de
dados confidenciais e editar ou remover as existentes.
Tarefa
Para obter definições de opções, clique em ? na interface.
148
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Máscaras de dados
confidenciais.
2
Selecione uma opção e insira as informações necessárias.
3
Clique em OK e clique em Gravar para adicionar as configurações no DEM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Gerenciamento da identificação do usuário
Grande parte da segurança está baseada em um princípio simples de que os usuários precisam ser
identificados e diferenciados uns dos outros. Ainda assim, nomes de usuário genéricos frequentemente
são usados para acessar o banco de dados. O gerenciamento do identificador oferece uma forma de
capturar o nome do usuário real, se ele existe em qualquer lugar da consulta, usando padrões REGEX.
Os aplicativos podem ser manipulados de forma relativamente fácil para se aproveitarem desse
recurso de segurança. Duas regras de identificador definidas são adicionadas ao banco de dados do
ESM quando você adiciona um dispositivo DEM ao sistema.
•
Nome da regra do identificador: obter o nome do usuário na instrução SQL
Expressão: select\s+username=(\w+)
Aplicativo: Oracle
Índice de subcadeia: \1
•
Nome da regra do identificador: obter o nome do usuário no procedimento armazenado
Expressão: sessionStart\s+@appname='(\w+)', @username='(\w+)',
Aplicativo: MSSQL
Índice de subcadeia: \2
A correlação de usuário avançado é possível pela correlação do DEM, do aplicativo, do servidor Web, do
sistema e dos registros de identidade de gerenciamento de acesso no ESM.
Adicionar uma regra do identificador de usuário
Para associar as consultas do banco de dados aos indivíduos, você pode usar as regras do identificador
do usuário existentes ou adicionar uma nova regra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de
identificador.
2
Clique em Adicionar e insira as informações solicitadas.
3
Clique em OK e clique em Gravar para gravar as configurações no DEM.
Sobre servidores de banco de dados
Os servidores de banco de dados monitoram a atividade do banco de dados. Se a atividade em um
servidor de banco de dados corresponder a um padrão conhecido que indique o acesso de dados
maliciosos, um alerta será gerado. Cada DEM pode monitorar um máximo de 255 servidores de banco
de dados.
O DEM no momento é compatível com os seguintes servidores e versões de banco de dados:
Sistema operacional
Banco de dados
Appliance do DEM
Agente do DEM
Windows (todas as
versões)
Microsoft SQL Server¹
MSSQL 7, 2000, 2005,
2008, 2012
MSSQL 2000 (SP4),
2005, 2008
Windows, UNIX/Linux
(todas as versões)
Oracle²
Oracle 8.x, 9.x, 10g,
11g³, 11g R2
Oracle 8.0.3+, 9.x,
10.x, 11.x
Sybase
11.x, 12.x, 15.x
11.x, 12.x, 15.x
McAfee Enterprise Security Manager 9.5.0
Guia de produto
149
3
Configuração do ESM
Configuração de dispositivos
Sistema operacional
Banco de dados
Appliance do DEM
Agente do DEM
DB2
8.x, 9.x, 10.x
7.1.x, 8.x, 9.x
Informix (consulte a
nota 4)
11.5
--
MySQL
Sim, 4.x, 5.x, 6.x
Sim, 4.1.22.x, 5.0.3x
PostgreSQL
7.4.x, 8.4.x, 9.0.x, 9.1.x --
Teradata
12.x, 13.x, 14.x
--
Cache do InterSystem
2011.1.x
--
UNIX/Linux (todas as
versões)
Greenplum
8.2.15
--
Vertica
5.1.1-0
--
Mainframe
DB2/zOS
Todas as versões
Opção de agente do
parceiro
AS 400
DB2
Todas as versões
--
1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível nas
versões 8.3.0 e versões posteriores.
2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível nas versões 8.4.0
e versões posteriores.
3 O Oracle 11g está disponível na versão 8.3.0 e versões posteriores.
4 A compatibilidade com Informix está disponível na versão 8.4.0 e versões posteriores.
•
Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de
banco de dados.
•
Os agentes do DEM são compatíveis com todas as versões de sistema operacional Windows, UNIX e
Linux.
•
Os agentes do DEM requerem a máquina virtual java (JVM).
•
O MySQL é compatível somente com plataformas Windows de 32 bits.
•
A descriptografia de pacote é compatível com MSSQL e Oracle.
Gerenciar servidores de banco de dados
A página Servidor de banco de dados é o ponto inicial para o gerenciamento das configurações de todos os
servidores de bancos de dados de seu dispositivo DEM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de
dados.
2
Selecione uma das opções disponíveis.
3
Clique em OK.
Gerenciar notificações de descoberta do banco de dados
O DEM tem um recurso de detecção de banco de dados que oferece uma lista de exceção de
servidores de banco de dados que não estão sendo monitorados. Isso permite que um administrador
de segurança descubra novos servidores de bancos de dados adicionados ao ambiente e portas de
150
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
ouvinte ilegais abertas para acessar dados dos bancos de dados. Quando essa opção está ativada,
você recebe uma notificação de alerta que aparece na exibição Análise de evento. Você então pode
escolher se quer adicionar o servidor aos que estão sendo monitorados em seu sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de
dados | Ativar.
Você será notificado quando estiver ativado.
2
Clique em OK para fechar as Propriedades do DEM .
3
Para exibir as notificações, clique no dispositivo DEM na árvore de navegação do sistema e
selecione Exibições de eventos | Análise de eventos.
4
Para adicionar o servidor a seu sistema, selecione a exibição Análise de eventos e clique no ícone Menu
e selecione Adicionar servidor.
Configurações do DESM (ESM distribuído)
O DESM (ESM distribuído) fornece uma arquitetura distribuída que permite a um ESM pai se conectar
e reunir dados de até 100 dispositivos. O pai efetua pull de dados do dispositivo com base em filtros
definidos por você. Além disso, você pode fazer uma busca detalhada dos dados que se originaram e
permanecem no ESM do dispositivo.
O DESM deve aprovar o ESM pai para permitir que ele efetue pull de eventos. O pai pode definir
filtros, sincronizar origens de dados e enviar seus tipos personalizados por push. Ele somente pode
obter regras ou eventos do DESM quando for aprovado.
Se você entrar com direitos de administrador no DESM, será exibida esta notificação: “Este ESM foi
adicionado como um ESM distribuído em outro servidor. Aguardando aprovação para se conectar." Ao
clicar em Aprovar ESMs hierárquicos, você pode selecionar o tipo de comunicação que o ESM pai pode ter
com o DESM.
O ESM pai não gerencia dispositivos que pertencem ao ESM do dispositivo. O ESM pai mostra a Árvore
de sistemas do ESM do dispositivo com a qual está diretamente conectado. Ele não efetua pull de
eventos do ESM filho dos dispositivos nem os exibe. Barras de ferramentas estão desativadas para
todos os filhos do DESM.
O pai não gerencia dados que residem no ESM do dispositivo. Em vez disso, um subconjunto do
dispositivo dos dados do ESM é transferido e armazenado no ESM pai, com base nos filtros que você
definir.
Adicionar filtros DESM
Os dados transferidos do ESM do dispositivo para o DESM pai dependem de filtros definidos pelo
usuário. Salvar esses filtros equivale a aplicar o filtro no ESM do dispositivo para que os hashes ou
conjuntos de bits possam ser gerados. Como o objetivo do recurso DESM é permitir a reunião de
dados específicos do ESM do dispositivo (e não TODOS os dados), você deve definir filtros para os
dados que serão recuperados pelo ESM do dispositivo.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
151
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do DESM e clique em Filtros.
2
Insira os dados solicitados e clique em OK.
Configurações do ePolicy Orchestrator
É possível adicionar um dispositivo do ePolicy Orchestrator ao ESM, com seus aplicativos listados como
filhos na árvore de navegação do sistema. Depois de ter se autenticado, você poderá acessar algumas
funções do ESM e atribuir marcas do ePolicy Orchestrator a endereços IP de origem ou destino
diretamente e a eventos gerados por alarmes.
É necessário associar o ePolicy Orchestrator a um Receiver porque o pull dos eventos é efetuado a
partir do Receiver, não do ePolicy Orchestrator.
Você deve ter privilégios de leitura no banco de dados mestre e no banco de dados do ePolicy
Orchestrator para usar o ePolicy Orchestrator.
®
Se o dispositivo do McAfee ePO tiver um servidor McAfee Threat Intelligence Exchange, ele será
adicionado automaticamente quando você adicionar o dispositivo McAfee ePO ao ESM (consulte
Integração do Threat Intelligence Exchange).
Iniciar o ePolicy Orchestrator
Se você tiver um dispositivo ou uma origem de dados do ePolicy Orchestrator no ESM e o endereço IP
do ePolicy Orchestrator na Rede local, poderá iniciar a interface do ePolicy Orchestrator no ESM.
Antes de iniciar
Adicione um dispositivo ou uma origem de dados do ePolicy Orchestrator ao ESM.
Esse recurso está disponível no ePolicy Orchestrator 4.6 e versões posteriores.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Selecione uma exibição na árvore de navegação de sistemas.
2
Selecione um resultado de um componente do gráfico de barra, lista, pizza ou tabela que retorna
dados de IPs de origem e de destino.
3
No menu do componente
, clique em Ação | Iniciar o ePO.
•
Se você tiver somente um dispositivo ou uma origem de dados do ePolicy Orchestrator no
sistema e tiver selecionado um IP de origem ou um IP de destino na etapa 1, o ePolicy
Orchestrator será iniciado.
•
Se você tiver mais de um dispositivo ou uma origem de dados do ePolicy Orchestrator no
sistema, selecione o dispositivo que deseja acessar, e o ePolicy Orchestrator será iniciado.
•
Se você selecionou um evento ou fluxo em um componente de tabela na etapa 1, escolha se
deseja acessar o endereço IP de origem ou de destino, e o ePolicy Orchestrator será iniciado.
Autenticação do dispositivo McAfee ePO
A autenticação é necessária para usar a marcação ou as ações do McAfee ePO ou do McAfee Real Time
for McAfee ePO.
Há dois tipos de autenticação:
152
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
•
Conta global individual – Se você pertencer a um grupo com acesso ao dispositivo do McAfee ePO,
poderá usar esses recursos depois de inserir as credenciais globais.
•
Separar conta para cada dispositivo por usuário — Você precisa de privilégios para exibir o
dispositivo na árvore de dispositivos.
Quando você usar ações, marcas ou o McAfee Real Time for McAfee ePO, use o método selecionado de
autenticação. Se as credenciais não forem encontradas ou forem inválidas, você será solicitado a
inserir credenciais válidas, que deverão ser salvas para futura comunicação com o dispositivo.
Relatórios em execução, enriquecimento de dados e listas de observação dinâmicas em segundo plano
por meio do McAfee Real Time for McAfee ePO usam as credenciais do McAfee ePO originalmente
fornecidas.
Configuração de autenticação de conta separada
A autenticação de conta global é a configuração padrão. Há duas etapas a serem realizadas para
configurar a autenticação de conta separada.
1
Verifique se a opção Requer autenticação do usuário está selecionada ao adicionar o dispositivo do McAfee
ePO ao ESM ou ao definir suas configurações de conexão (consulte Adicionar dispositivos ao
console do ESM ou Alterar a conexão com o ESM).
2
Insira suas credenciais na página Opções (consulte Adicionar credenciais de autenticação do McAfee
ePO).
Adicionar credenciais de autenticação do McAfee ePO
Antes de usar as marcações ou ações do McAfee ePO ou o McAfee Real Time for McAfee ePO, é
necessário adicionar as credenciais de autenticação ao ESM.
Antes de iniciar
Instale o dispositivo do McAfee ePO no ESM (consulte Adicionar dispositivos ao console do
ESM).
Contate o administrador do sistema se não tiver o nome do usuário e a senha para acessar
o dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do sistema do console do ESM, clique em opções e em Credenciais do ePO.
2
Clique no dispositivo e em Editar.
3
Fornece o nome do usuário e a senha, e clique em Testar conexão.
4
Clique em OK.
Atribuir marcas do ePolicy Orchestrator ao endereço IP
A guia Marcação do ePO lista as marcas disponíveis. Você poderá atribuir marcas a eventos gerados por
um alarme e exibi-las, se um alarme tiver marcas do ePolicy Orchestrator. Além disso, poderá
selecionar uma ou mais marcas na página e aplicá-las a um endereço IP.
Para acessar a funcionalidade de marcação, é necessário ter as permissões Aplicar, excluir e limpar marcas e
Agentes de ativação; exibir Log de atividades do agente no ePolicy Orchestrator.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
153
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades de ePO e clique em Marcação.
2
Forneça as informações solicitadas e clique em Atribuir.
As marcas selecionadas são aplicadas ao endereço IP.
Aquisição de dados do McAfee Risk Advisor
É possível especificar vários servidores ePolicy Orchestrator dos quais serão obtidos os dados do
McAfee Risk Advisor. Os dados são obtidos por meio de uma consulta no banco de dados do SQL
Server do ePolicy Orchestrator.
A consulta do banco de dados gera uma lista de pontuação comparativa entre IP e reputação e fornece
valores constantes para a reputação baixa e valores de reputação alta. Todas as listas de ePolicy
Orchestrator e McAfee Risk Advisor são mescladas, e os IPs duplicados obtêm a pontuação mais alta.
Essa lista mesclada é enviada, com valores baixos e altos, para quaisquer dispositivos do ACE usados
para pontuar os campos SrcIP e DstIP.
Quando você adiciona o ePolicy Orchestrator, o sistema perguntará se deseja configurar os dados do
McAfee Risk Advisor. Se você clicar em Sim, a origem de enriquecimento de dados e duas regras de
pontuação ACE (se aplicável) serão criadas e implementadas. Para exibi-las, vá para as páginas
Enriquecimento de dados e Pontuação de correlação de risco. Para usar as regras de pontuação, é necessário criar
um gerenciador de correlação de risco.
Ativar a aquisição de dados do McAfee Risk Advisor
Quando você ativa a aquisição de dados do McAfee Risk Advisor no ePolicy Orchestrator, é gerada uma
lista de pontuação e enviada a qualquer dispositivo do ACE que seja usado para pontuar os campos
SrcIP e DstIP.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de ePO | Gerenciamento de dispositivose clique
em Ativar.
Você será informado quando a aquisição for ativada.
2
Clique em OK.
Realizar ações do McAfee Real Time for McAfee ePO
Execute ações do McAfee Real Time for McAfee ePO nos resultados de uma pergunta do ESM e do
componente que contêm um endereço IP na exibição.
Antes de iniciar
Crie e execute uma pergunta do McAfee Real Time for McAfee ePO (consulte Dashboard de
consulta do McAfee ePO para McAfee Real Time for McAfee ePO).
154
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, clique no ícone de menu
em um componente de exibição que mostre os
resultados de uma pergunta do McAfee Real Time for McAfee ePO.
2
Destaque Ações e clique em Ações do Real Time for ePO.
3
Na guia Dispositivos, selecione os dispositivos do McAfee ePO nos quais realizará a ação.
4
Na guia Ações, clique em uma ação na lista de ações disponíveis para os dispositivos selecionados.
5
Na guia Filtros, especifique um conjunto de filtros para aplicar à pergunta e clique em Finalizar.
Os filtros não estão disponíveis nos componentes ou no dashboard do McAfee ePO.
Integração do Threat Intelligence Exchange
O Threat Intelligence Exchange verifica a reputação de programas executáveis em terminais
conectados a esses arquivos.
Quando o dispositivo McAfee ePO é adicionado ao ESM, o sistema detecta automaticamente se um
servidor Threat Intelligence Exchange está conectado ao dispositivo. Se estiver, o ESM começa a
escutar os eventos de log e DXL.
Quando o servidor Threat Intelligence Exchange é detectado, as listas de observação do Threat
Intelligence Exchange, enriquecimento de dados e regras de correlação são adicionadas
automaticamente, e os alarmes do Threat Intelligence Exchange são ativados. Você receberá uma
notificação visual, que inclui um link para o resumo de alterações feitas. Você também receberá
notificação se o servidor Threat Intelligence Exchange for adicionado ao servidor McAfee ePO depois
que o dispositivo tiver sido adicionado ao ESM.
Quando os eventos do Threat Intelligence Exchange forem gerados, você poderá exibir seu histórico
de execução (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de
configuração) e selecione as ações que você deseja realizar para os dados maliciosos.
Regras de correlação
Seis regras de correlação são otimizadas para dados do Threat Intelligence Exchange. Elas geram
eventos que você pode pesquisar e classificar.
•
TIE — Reputação do GTI alterada de boa para má
•
TIE — Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts
•
TIE — Nome do arquivo malicioso encontrado em um número cada vez maior de hosts
•
TIE — Vários arquivos maliciosos encontrados em um único host
•
TIE — Reputação do TIE alterada de boa para má
•
TIE — Aumento de arquivos maliciosos encontrados em todos os hosts
McAfee Enterprise Security Manager 9.5.0
Guia de produto
155
3
Configuração do ESM
Configuração de dispositivos
Alarmes
O ESM tem dois alarmes que podem ser disparados quando eventos importantes do Threat
Intelligence Exchange são detectados.
•
Limite de arquivos incorretos do TIE excedido é disparado a partir da regra de correlação TIE – Arquivo malicioso
(SHA-1) encontrado em um número cada vez maior de hosts.
•
Arquivo desconhecido do TIE executado é disparado a partir de um evento do TIE específico e adiciona
informações à lista de observação IPs de origem de dados do TIE.
Lista de observação
A lista de observação IPs de origem de dados do TIE mantém uma lista de sistemas que dispararam o alarme
Arquivo desconhecido do TIE executado. É uma lista de observação estática sem expiração.
Histórico de execução do Threat Intelligence Exchange
Você pode exibir o histórico de execução de qualquer evento do Threat Intelligence Exchange
(consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração), como
uma lista dos endereços IP que tentaram executar o arquivo. Nessa página, você pode selecionar um
item e realizar uma destas ações:
•
Criar uma nova lista de observação.
•
Adicionar as informações a uma lista negra.
•
Anexar as informações a uma lista de
observação.
•
Exportar as informações para um
arquivo .csv.
•
Criar um novo alarme.
Exibir histórico de execução do Threat Intelligence Exchange e ações de
configuração
A página do histórico de execução do Threat Intelligence Exchange exibe uma lista de sistemas que
executaram o arquivo associado ao evento selecionado por você.
Antes de iniciar
Deve haver um dispositivo do ePolicy Orchestrator com um servidor Threat Intelligence
Exchange no ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema do console do ESM, clique no dispositivo do ePolicy
Orchestrator.
2
Na lista de suspensa de exibições, selecione Exibições de eventos | Análise de evento e clique no evento.
3
156
Clique no ícone do menu
e selecione Ações | Histórico de execução do TIE.
4
Na página Histórico de execução do TIE, exiba os sistemas que executaram o arquivo do Threat
Intelligence Exchange.
5
Para adicionar esses dados ao seu fluxo de trabalho, clique em um sistema e no menu suspenso
Ações e selecione uma opção para abrir sua página do ESM.
6
Configure a ação que tiver selecionado (consulte a Ajuda online para obter instruções).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Consultar dispositivos do McAfee ePO sobre um relatório ou uma exibição
Você pode consultar vários dispositivos do McAfee ePO sobre um relatório ou uma exibição se eles
estiverem integrados ao McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos do McAfee ePO a serem consultados estão integrados ao McAfee
Real Time for McAfee ePO.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique no sistema, clique no ícone Propriedades
seguida clique em Relatórios.
e, em
2
Clique em Adicionar, preencha as seções 1 a 4 e clique em Adicionar na seção 5.
3
No editor de Layout de relatório, arraste e solte um componente da Tabela, do Gráfico de barras ou do Gráfico
de pizza.
4
No Assistente de consulta, selecione Real Time for McAfee ePO na lista suspensa e selecione o elemento ou a
pergunta para a consulta.
5
Clique em Avançar, clique em Dispositivos e selecione os dispositivos do McAfee ePO para consulta.
6
(Opcional) Clique em Filtros, adicione valores de filtros para a consulta e clique em OK.
7
Se você tiver selecionado Pergunta personalizada do ePO na lista suspensa, clique em Campos, selecione
os elementos que deseja incluir na pergunta e clique em OK.
8
Clique em Finalizar para fechar o Assistente de consulta, defina as propriedades no painel Propriedades e
salve o relatório.
Consultar os dispositivo do McAfee ePO sobre enriquecimento de dados
Você pode consultar vários dispositivos do McAfee ePO sobre enriquecimento de dados se eles
estiverem integrados ao McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos do McAfee ePO a serem consultados estão integrados ao McAfee
Real Time for McAfee ePO.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
em Enriquecimento de dados.
e clique
2
Clique em Adicionar, digite um nome e selecione as opções desejadas na guia Principal.
3
Na guia Origem, selecione o McAfee Real Time for McAfee ePO no campo Tipo e selecione os
dispositivos no campo Dispositivo.
4
Defina as configurações restantes nas guias Consulta, Pontuação e Destino, e clique em Finalizar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
157
3
Configuração do ESM
Configuração de dispositivos
Consultar dispositivos McAfee ePO no dashboard do McAfee Real Time for
McAfee ePO
Você pode realizar uma consulta de vários dispositivos McAfee ePO na exibição do dashboard do
McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos McAfee ePO a serem consultados estão integrados com o
McAfee Real Time for McAfee ePO.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique nos dispositivos McAfee ePO a serem consultados.
2
No console do ESM, clique na lista de exibições e selecione McAfee Real Time for McAfee ePO.
3
Selecione os filtros no painel Filtros:
4
a
Na seção Elementos, clique no campo aberto e selecione os elementos para a consulta.
b
Na seção Filtros, selecione o tipo de filtro e digite o filtro no campo aberto.
c
Selecione a ação do filtro e digite o valor.
Clique no ícone Executar consulta
.
Configurações do Nitro Intrusion Prevention System (Nitro
IPS)
O dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta tentativas sofisticadas de
intrusão na rede, registrando e impedindo-as ativamente. O dispositivo Nitro IPS inclui um gerenciador
de dados incorporado (usado para administração, análise e aquisição de dados) e análise avançada de
intrusões, como a detecção de anomalias.
O dispositivo aprova, descarta e registra em log pacotes de forma seletiva e conforme eles chegam,
com base em um conjunto de regras definidas pelo usuário que são especificadas pela linguagem de
regras padrão do setor. Cada dispositivo Nitro IPS também contém um componente de firewall
totalmente funcional controlado por regras de firewall padrão no setor, o que oferece recursos de
inspeção de pacotes de baixo nível e um log do sistema padrão no setor.
Assistente de detecção de anomalias
A detecção de anomalias está acessível a qualquer IPS do Nitro ou dispositivo virtual, mas é útil
somente para aqueles que coletam dados de fluxo. O Assistente de detecção de anomalias com base em taxa
mostra uma lista com a descrição de todas as variáveis disponíveis no dispositivo selecionado.
Algumas regras de firewall são baseadas em taxa. Uma regra com base em taxa é uma regra que
dispara um alerta somente se o tráfego da rede exceder os limites definidos pelas variáveis de
categoria de firewall no Editor de políticas. Os valores padrão para essas variáveis podem não fazer
sentido para o tráfego da rede, por isso o Assistente de detecção de anomalias com base em taxa oferece a
capacidade de analisar os gráficos dos dados de fluxo da rede, por ter relação com esses parâmetros.
Então, você pode selecionar os valores padrão, especificar seu próprio valor ou preferir que o ESM
analise os dados e tente fazer a estimativa mais próxima de quais devem ser esses valores com base
no histórico do tráfego da rede. Cada rede é diferente, portanto recomendamos que você esteja
familiarizado com o histórico de seu tráfego. Para isso, reveja os relatórios de análise visual e escolha
os valores mais adequados às suas necessidades.
158
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
O assistente realiza muitos cálculos complexos a fim de chegar aos valores sugeridos para os
parâmetros de anomalia com base em taxa e fornecer uma análise visual dos padrões de tráfego de
sua rede. Caso seu IPS do Nitro, dispositivo virtual, seu Receptor e sua origem de dados tenham
grande quantidade de dados de fluxo, o ideal é que você limite o intervalo de tempo usado nesses
cálculos. Use a atividade de rede normal por alguns dias ou por uma semana como base para o cálculo
desses valores. Usar um período mais longo pode fazer com que os cálculos demorem mais do que o
desejado.
Veja abaixo uma lista com as regras de firewall para anomalias com base em taxa e as variáveis que
afetam sua operação:
Regra
Variáveis
Large inbound byte rate
LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
Large inbound bytes
LARGE_INBOUND_BYTES_LIMIT
Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,
LARGE_IB_CONN_RATE_LIMIT
Large inbound packet rate
LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
Pacote de entrada grande
LARGE_INBOUND_PACKETS_LIMIT
Large outbound byte rate
LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
Large outbound packet rate
LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
Large outbound packets
LARGE_OUTBOUND_PACKETS_LIMIT
Long connection duration
LONG_DURATION_SECONDS
Editar as variáveis de detecção de anomalias
O Assistente de detecção de anomalias com base em taxa lista as variáveis de detecção de anomalias e oferece
diversas opções para você analisar os dados de detecção de anomalias com base em taxa.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um IPS do Nitro ou um dispositivo virtual que colete
dados de fluxo e clique no ícone Propriedades
.
2
Clique em Editar no campo Assistente de detecção de anomalias.
3
Execute uma das funções disponíveis e clique em OK.
Gerar um Relatório de análise
O Relatório de análise fornece uma análise visual de diversos aspectos do tráfego de sua rede.
Este relatório é útil para se ter uma ideia dos padrões do tráfego de sua rede, por meio de uma
inspeção visual. Os dados coletados podem ajudá-lo a tomar decisões ao escolher os valores dos
parâmetros de regras de anomalia com base em taxa.
Para gerar um relatório, o dispositivo deve ter pelo menos 10.000 fluxos gerados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
159
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um IPS do Nitro que esteja coletando dados de fluxo
e clique no ícone Propriedades
.
2
Clique em Editar no campo Assistente de detecção de anomalias.
3
Clique em Análise | Relatório de análisee selecione o intervalo de tempo e a variável para o relatório.
4
Clique em OK.
O relatório será gerado. As escalas vertical e horizontal podem ser ampliadas ou reduzidas. Basta
clicar e arrastar os ícones circulares nos eixos do gráfico, se houver.
Acessar regras padrão e de firewall
As regras são adicionadas e mantidas no Editor de políticas. No entanto, é possível ler, gravar, exibir,
exportar e importar regras padrão e de firewall a partir do IPS ou dos dispositivos virtuais do IPS.
As regras não devem ser mantidas regularmente a partir dessa página. Alterar as regras desse modo
faz com que as configurações de políticas de dispositivos fiquem dessincronizadas com as configurações
do Editor de políticas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Regras de firewall ou em
Regras padrão.
2
Selecione uma das opções e clique em OK.
Lista negra do IPS ou dispositivo virtual
A lista negra bloqueia o fluxo de tráfego no dispositivo antes que ele seja analisado pelo mecanismo
de inspeção profunda de pacote.
Com o Editor de lista negra, é possível gerenciar manualmente as configurações de origens bloqueadas,
destinos bloqueados e configurações de exclusão do dispositivo. Também é possível selecionar se o
dispositivo ficará ou não sujeito às configurações da Lista negra global. A caixa de seleção Incluir lista negra
global na parte superior do editor deve estar selecionada caso você deseje que o dispositivo inclua
essas configurações.
A página Editor de lista negra inclui três guias:
•
Origens bloqueadas — Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo.
•
Destinos bloqueados — Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo.
•
Exclusões — Fornece imunidade contra adição automática em qualquer uma das listas negras.
Endereços IP críticos (por exemplo, servidor DNS e outros, ou estações de trabalho do
administrador do sistema) podem ser adicionados às exclusões para garantir que nunca sejam
colocados automaticamente na lista negra, independente de quais eventos possam gerar.
As entradas nas guias Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o
efeito da lista negra em uma porta de destino específica.
160
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Os hosts também podem ser adicionados ou removidos manualmente da lista negra. Quando uma das
guias do Editor de lista negra está selecionada, é possível adicionar ou modificar uma entrada. Entre os
campos que requerem a inclusão de uma entrada, estão: Endereço IP, Porta (versão 6.2.x e versões
posteriores) e Duração (permanente ou temporária). Há também o campo opcional Descrição.
Ao adicionar entradas, lembre-se de que:
•
As opções Adicionar e Modificar são ativadas com base nas informações que você altera. Quando você
altera um endereço IP ou porta, a opção Adicionar é ativada. Se você alterar a duração ou a
descrição, a opção Modificar será ativada.
•
As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na
lista negra em todas as portas ou uma porta específica.
•
As entradas que usam um intervalo de endereços IP com máscara devem ser configuradas com a
porta definida para qualquer (0) e a duração deve ser permanente.
•
As entradas devem ser adicionadas de modo temporário (especificado em minutos, horas ou dias)
ou permanente. No entanto, as entradas adicionadas em Exclusões devem ser permanentes.
•
Embora essas listas requeiram um formato de endereço IP, há uma ferramenta incluída que ajuda a
dar significado a esses endereços. Após a inserção de um endereço IP ou nome de host no campo
Endereço IP, o botão ao lado do controle terá as opções Resolver ou Pesquisar, com base no valor
inserido. Selecionar Resolver resolverá o nome de host inserido e preencherá o campo Endereço IP com
essas informações, além de mover o nome de host para o campo Descrição. Selecionar Pesquisar fará
uma pesquisa no endereço IP e preencherá o campo Descrição com os resultados da pesquisa.
Alguns sites têm mais de um endereço IP, ou têm endereços IP que nem sempre são os mesmos;
portanto, não confie na ferramenta para garantir o bloqueio de alguns sites.
Você pode selecionar o endereço IP na lista e exibir os eventos gerados por eles em um relatório de
resumo. Isso permite que você veja os eventos disparados por infratores, eventos adicionados à lista
negra, ou outros ataques que os infratores possam ter provocado antes de serem colocados na lista
negra.
O Editor de lista negra também permite aplicar, recarregar e remover eventos.
Gerenciar a lista negra do IPS
Você poderá gerenciar a lista negra do IPS no Editor de lista negra. É possível adicionar, modificar ou
excluir itens, gravar alterações na lista negra, ler informações novas e atualizadas a partir do
dispositivo, exibir eventos gerados pelos endereços IP infratores e pesquisar ou resolver um nome do
host ou endereço IP.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra | Editor.
2
Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões.
3
Execute as ações necessárias e clique em Fechar.
Configurar inclusão automática na lista negra
A página Configurações de inclusão automática na lista negra permite gerenciar as configurações de inclusão
automática na lista negra para esse dispositivo.
As configurações de inclusão automática na lista negra são executadas com base no dispositivo.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
161
3
Configuração do ESM
Configuração de dispositivos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra | Configurações.
2
Defina as configurações conforme o necessário e clique em OK.
Configurações do McAfee Vulnerability Manager
O McAfee Vulnerability Manager pode ser adicionado ao ESM como um dispositivo, permitindo que
você inicie uma varredura no McAfee Vulnerability Manager a partir do ESM. Isso pode ser útil caso
você tenha comprado um dispositivo McAfee Vulnerability Manager e queira executá-lo a partir do
ESM.
O McAfee Vulnerability Manager deve estar associado a um Receptor, pois o pull de eventos é efetuado
a partir do Receptor e não do McAfee Vulnerability Manager.
Obter certificado e senha do McAfee Vulnerability Manager
Você deve obter o certificado e a senha do McAfee Vulnerability Manager antes de configurar as
conexões de McAfee Vulnerability Manager. Essa tarefa não é executada no ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No servidor que está executando o Foundstone Certificate Manager, execute o Foundstone
Certificate Manager.exe.
2
Clique na guia Criar certificados SSL.
3
No campo Endereço de host, digite o nome do host ou o endereço IP do sistema que hospeda a
interface da Web para o McAfee Vulnerability Manager e clique em Resolver.
4
Clique em Criar certificado usando Nome Comum para gerar a senha e um arquivo zip.
5
Faça upload do arquivo zip e copie a senha gerada.
Executar varreduras do McAfee Vulnerability Manager
A página Varreduras exibe todas as varreduras de vulnerabilidade que estão sendo executadas ou foram
executadas a partir do McAfee Vulnerability Manager, bem como seus status. Quando você abrir essa
página, um API verificará se há credenciais padrão de login da Web. Se houver, a lista de varreduras é
preenchida com base nas credenciais e atualizada a cada 60 segundos. Você também pode iniciar uma
nova varredura a partir dessa página.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Varreduras.
2
Clique em Nova varredura e insira as informações solicitadas.
3
Clique em OK.
Quando a varredura estiver finalizada, ela será adicionada à lista de varreduras.
162
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de dispositivos
Configurar a conexão do McAfee Vulnerability Manager
Você deve configurar as conexões do McAfee Vulnerability Manager com o banco de dados para efetuar
pull dos dados de avaliação de vulnerabilidade a partir do McAfee Vulnerability Manager, e com a
interface de usuário da Web para executar varreduras no McAfee Vulnerability Manager.
Antes de iniciar
Você deve obter o certificado e a senha do McAfee Vulnerability Manager
A alteração dessas configurações não afeta o dispositivo. Afeta somente o modo como o dispositivo se
comunica com o ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Conexão.
2
Preencha as informações solicitadas e clique em OK.
Configurações do McAfee Network Security Manager
O McAfee Network Security Manager pode ser adicionado ao ESM como um dispositivo, permitindo que
você acesse as funções a partir do ESM. Esse recurso é útil se você tiver comprado um dispositivo e
desejar acessá-lo a partir do ESM.
Ao adicionar um dispositivo do McAfee Network Security Manager ao ESM, os sensores do dispositivo
serão listados como filhos do dispositivo na árvore de navegação do sistema. O dispositivo deve estar
associado a um Receptor, pois o pull de eventos é efetuado a partir do Receptor, e não do McAfee
Network Security Manager.
Adicionar uma entrada à lista negra
O McAfee Network Security Manager aplica a lista negra por meio de sensores. A página Lista negra
exibe as entradas da lista negra que foram definidas para o sensor selecionado. Nessa página, é
possível adicionar, editar e excluir itens da lista negra.
Você deve ser superusuário para utilizar a função de lista negra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de NSM, clique em Lista negra e selecione um
sensor.
2
Para aplicar as entradas da lista negra global ao sensor, selecione Incluir lista negra global.
O item de lista negra global será adicionado à lista. Caso haja endereços IP duplicados, o endereço
da lista negra global sobrescreverá o endereço do McAfee Network Security Manager.
Se você selecionar essa opção, não poderá desfazer a ação automaticamente. Os itens deverão ser
excluídos manualmente.
3
Clique em Adicionar, preencha as informações solicitadas e clique em OK.
A entrada ficará visível na lista negra até que sua duração expire.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
163
3
Configuração do ESM
Configuração de serviços auxiliares
Adicionar ou excluir uma entrada da lista negra removida
Qualquer entrada iniciada no ESM com duração ainda válida, mas que não é retornada na lista de
entradas da lista negra quando o McAfee Network Security Manager (Manager) é consultado, é exibida
com o status Removida e o ícone do sinalizador.
Essa condição ocorre se a entrada foi removida, mas a remoção não foi iniciada no ESM. Você pode
readicionar essa entrada ou excluí-la da lista negra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades de NSM e clique em Lista negra.
2
Selecione a entrada removida na lista de entradas da lista negra e clique em Adicionar ou Excluir.
3
Clique em Aplicar ou OK.
Configuração de serviços auxiliares
Os serviços auxiliares incluem servidores Remedy, servidores do protocolo NTP e servidores DNS.
Configure esses servidores para se comunicar com o ESM.
Conteúdo
Informações gerais do sistema
Definir configurações do servidor Remedy
Definição de configurações de mensagem
Configurar NTP em um dispositivo
Definir configurações de rede
Sincronização da hora do sistema
Instalar um novo certificado
Configurar perfis
Configuração de SNMP
Informações gerais do sistema
Na página Propriedades do sistema | Informações do sistema você pode ver informações gerais sobre o sistema
e o status de várias funções. Na página Registro do sistema, você pode ver eventos que ocorreram no
sistema ou nos dispositivos.
Você pode consultar essas informações ao falar com o suporte da McAfee sobre o seu sistema, ao
configurar recursos como agregação de eventos ou fluxos, ou para verificar o status de uma
atualização de regras ou backup do sistema.
164
•
Sistema, ID de cliente, Hardware e Número de série fornecem informações sobre o sistema e seu atual status
operacional.
•
O Status do banco de dados é exibido quando o banco de dados está executando outras funções (por
exemplo, uma reconstrução de banco de dados ou em segundo plano), assim como o status dessas
funções. Um status OK significa que o banco de dados está operando normalmente.
•
O Relógio do sistema mostra a data e hora em que as Propriedades do sistema foram abertas ou atualizadas
pela última vez.
•
Atualização de regras, Eventos, fluxos e logs e Backup e restauração mostram a última vez que as regras foram
atualizadas; eventos, fluxos e logs foram recuperados; e um backup e restauração foi executado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Configuração de serviços auxiliares
•
Quando no modo FIPS, Autoteste FIPS e Status mostram a última vez que um autoteste FIPS foi
executado e o seu status.
•
Exibir relatórios exibe os relatórios Contagem de tipos de dispositivo do ESM e Hora do evento.
3
Definir configurações do servidor Remedy
Se tiver um sistema Remedy configurado, mas é necessário definir as configurações de reparação para
que o ESM possa se comunicar com ele.
Antes de iniciar
Configuração de seu sistema Remedy.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações
personalizadas | Remedy.
2
Na página Configuração do Remedy, digite as informações de seu sistema Remedy e clique em OK.
Quando você seleciona Enviar evento ao Remedy
na exibição Análise de evento, o email é preenchido com
as informações que você inseriu nesta página.
Definição de configurações de mensagem
Ao definir as configurações de ação para um alarme ou configurar o método de entrega de um
relatório, você pode optar por enviar uma mensagem. Para isso, é preciso conectar o ESM ao seu
servidor de e-mail e configurar os destinatários para quem deseja enviar e-mails, SMS, SNMP ou
mensagens de syslog.
As notificações de alarme podem ser enviadas usando o protocolo SNMP v1. O SNMP usa o User
Datagram Protocol (UDP) como o protocolo de transporte para passar dados entre os gerenciadores e
agentes. Em uma configuração típica de SNMP, um agente como o ESM pode enviar eventos ao
servidor SNMP (normalmente chamado de Estação de Gerenciamento de Rede [NMS]) utilizando
pacotes de dados conhecidos como interceptações. Isso pode ser útil quando você desejar receber
relatórios de eventos do ESM do mesmo modo que as notificações são recebidas de outros agentes da
rede. Devido às limitações de tamanho dos pacotes de interceptação do SNMP, cada linha do relatório
é enviada em uma interceptação separada.
Os relatórios de CSV de consultas gerados pelo ESM também podem ser enviados usando-se o syslog.
Os relatórios de CSV de consultas são enviados em uma linha por mensagem de syslog, com os dados
de cada linha dos resultados da consulta organizados em campos separados por vírgula.
Conecte seu servidor de e-mail
Configure as definições para conectar-se a seu servidor de e-mail, para poder enviar alarmes e
mensagens de relatório.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
165
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, clique em Configurações de e-mail e
insira o host e a porta de seu servidor de e-mail.
2
Forneça as informações solicitadas para conectar-se ao seu servidor de e-mail.
3
Clique em Aplicar ou OK para salvar as configurações.
Consulte também
Gerenciar destinatários na página 166
Gerenciar destinatários
As mensagens de alarmes ou relatórios podem ser enviadas em diversos formatos. Cada formato tem
uma lista de destinatários que você pode gerenciar. Os endereços de e-mail podem ser agrupados
para que você possa enviar uma mensagem a vários destinatários de uma vez só.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de e-mail.
2
Clique em Configurar destinatários e selecione a guia na qual deseja adicioná-los.
3
Clique em Adicionar e adicione as informações solicitadas.
4
Clique em OK.
O destinatário será adicionado ao ESM e você poderá selecioná-lo em qualquer lugar do ESM onde
destinatários são utilizados.
Configurar NTP em um dispositivo
Sincronize a hora do dispositivo com o ESM usando um servidor NTP (Network Time Protocol).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | NTP.
3
Preencha as informações solicitadas e clique em OK.
Tarefas
•
Exibir o status dos servidores NTP na página 166
Exiba o status de todos os servidores NTP no ESM.
Exibir o status dos servidores NTP
Exiba o status de todos os servidores NTP no ESM.
Antes de iniciar
Adicione servidores NTP ao ESM ou a dispositivos (consulte Sincronização da hora do
sistema ou Configurar NTP em um dispositivo).
166
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, execute uma das seguintes ações:
•
Selecione Propriedades do sistema | Informações do sistema e clique em Relógio do sistema.
•
Na árvore de navegação do sistema, selecione um dispositivo, clique no ícone Propriedades e
selecione Configuração | NTP.
Clique em Status, exiba os dados do servidor NTP e clique em Fechar.
Consulte também
Sincronização da hora do sistema na página 173
Configurar NTP em um dispositivo na página 40
Definir configurações de rede
Configure o modo como o ESM se conecta à sua rede, adicionando o gateway do servidor e os
endereços IP do servidor DNS do ESM, definindo as configurações do servidor proxy, configurando o
SSH e adicionando rotas estáticas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de rede.
2
Preencha as informações para configurar a conexão com a sua rede.
3
Clique em Aplicar ou OK.
Tarefas
•
Configurar a porta IPMI no ESM ou em dispositivos na página 170
Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos.
•
Definir controle de tráfego de rede no ESM na página 171
Defina um valor de saída máximo para o ESM.
•
Configurar DHCP na página 172
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de
configuração de rede, como endereços IP para interfaces e serviços.
•
Configurar o DHCP na VLAN na página 172
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de
configuração de rede, como endereços IP para interfaces e serviços.
Gerenciamento de interfaces de rede
A comunicação com um dispositivo pode ocorrer utilizando-se interfaces públicas e privadas dos
caminhos de tráfego. Isso significa que o dispositivo estará invisível na rede, já que não requer um
endereço IP.
Interface de gerenciamento
Alternadamente, administradores de rede podem configurar uma interface de gerenciamento com um
endereço IP para comunicação entre o ESM e o dispositivo. Estes recursos de dispositivo requerem o
uso de uma interface de gerenciamento:
•
Controle total de cartões de rede de desvio
•
Uso de sincronização de hora NTP
McAfee Enterprise Security Manager 9.5.0
Guia de produto
167
3
Configuração do ESM
Configuração de serviços auxiliares
•
Syslog gerado pelo dispositivo
•
Notificações SNMP
Os dispositivos são equipados com pelo menos uma interface de gerenciamento, o que fornece ao
dispositivo um endereço IP. Com um endereço IP, o dispositivo pode ser acessado diretamente pelo
ESM sem o direcionamento da comunicação para outro nome do host ou endereço IP de destino.
Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a
rede pública e sua segurança pode ser comprometida.
Para um dispositivo em execução no modo Nitro IPS, deve haver duas interfaces para cada caminho
de tráfego de rede. Para o modo de detecção de intrusão, deve haver um mínimo de duas interfaces
de rede no dispositivo. Você pode configurar mais de uma interface de rede de gerenciamento no
dispositivo.
Placa de rede de desvio
Um dispositivo no modo de desvio permite a passagem de todo o tráfego, inclusive tráfego malicioso.
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, duas no Nitro IPS e em outro dispositivo) com as mesmas configurações; do contrário,
você poderá ter um problema de negociação no modo de desvio (consulte Configurar placas de rede
de desvio).
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
Configurar interfaces de rede
Configurações de interface determinam como o ESM se conecta com o dispositivo. Você deve defini-las
para cada dispositivo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique na opção Configuração do dispositivo e depois em Interfaces.
3
Insira os dados conforme solicitado e clique em Aplicar.
.
Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que
as alterações são aplicadas, o dispositivo é reinicializado, o que causa a perda de todas as sessões.
Adicionar VLANs e aliases
Adicione redes locais virtuais (VLANs) e aliases (pares atribuídos de endereço IP e máscara de rede
que são adicionados se houver um dispositivo de rede com mais de um endereço IP) a uma interface
ACE ou ELM.
168
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração do dispositivo, clique em Interfaces e em Avançada.
3
Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK.
4
Selecione a VLAN para a qual deseja adicionar o alias e clique em Adicionar alias.
5
Insira as informações solicitadas e clique em OK.
.
Adicionar rotas estáticas
Uma rota estática é um conjunto de instruções sobre como acessar um host ou uma rede que não
esteja disponível pelo gateway padrão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Configuração | Interfaces.
3
Ao lado da tabela Rotas estáticas, clique em Adicionar.
4
Insira as informações e clique em OK.
.
Placa de rede de desvio
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, no IPS Nitro e outro dispositivo) para as mesmas configurações; do contrário, você
pode ter um problema de negociação no modo de desvio.
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
Configurar placas de rede de desvio
Nos dispositivos IPS, é possível definir as configurações de placa de rede de desvio para permitir a
passagem de todo o tráfego.
Os dispositivos ADM e DEM estão sempre no modo IDS. É possível exibir o tipo e o status da placa de
rede de desvio, mas não é possível alterar suas configurações.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
169
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
.
2
Clique em Configuração | Interfaces.
3
Na página Configurações da interface de rede, vá para a seção Configuração de placa de rede de desvio, na parte
inferior.
4
Exiba o tipo e o status ou, em um IPS, altere as configurações.
5
Clique em OK.
Configuração de porta IPMI no ESM ou em dispositivos
É possível configurar a porta IPMI no ESM ou em qualquer um dos seus dispositivos.
Isso permite executar várias ações:
•
Conecte o NIC (Network interface controller) do IPMI em um switch para que ele fique disponível
para o software IPMI.
•
Acesse uma KVM (Kernel-based Virtual Machine) baseada em IPMI.
•
Defina a senha de IPMI para o usuário padrão após o upgrade para o ESM 9.4.0.
•
Acesse os comandos IPMI como ligar e status de energia.
•
Redefina a placa IPMI.
•
Realize uma redefinição a quente e a frio.
Configurar a porta IPMI no ESM ou em dispositivos
Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema ou qualquer dispositivo e clique no ícone
Propriedades
2
3
.
Acesse a guia Configurações de rede Avançado.
•
No ESM, clique em Configurações de rede | Avançado.
•
Em um dispositivo, clique na opção Configuração e em Interfaces | Avançado
Selecione Ativar configurações de IPMI e digite a VLAN, o endereço IP, a máscara de rede e o gateway do
IPMI.
Se Ativar configurações de IPMI estiver esmaecido no BIOS do dispositivo, será necessário atualizar o
BIOS do sistema. Instale o SSH no dispositivo e abra o arquivo /etc/areca/system_bios_update/
Contents‑README.txt.
4
Clique em Aplicar ou em OK.
Se estiver fazendo upgrade do seu dispositivo, você pode receber uma mensagem orientando a
alterar a senha ou recodificar o dispositivo. Se essa mensagem for exibida, altere a senha do
sistema ou recodifique o dispositivo para definir uma nova senha para configurar a IPMI.
170
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
Definir controle de tráfego de rede no ESM
Defina um valor de saída máximo para o ESM.
Esse recurso é útil quando há restrições de banda larga e você precisa controlar a quantidade de
dados que pode ser enviada por cada ESM. As opções são Kb (quilobits), Mb (megabits) e Gb
(gigabits) por segundo.
Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de
dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
Clique em Configurações de rede e na guia Tráfego.
A tabela listará os controles existentes.
3
Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e
máscara, defina a taxa e clique em OK.
Se você definir a máscara como zero (0), todos os dados enviados serão controlados.
4
Clique em Aplicar.
A velocidade do tráfego de saída do endereço de rede especificado é controlada.
Trabalhar com nomes de host
O nome do host de um dispositivo é, normalmente, mais útil do que o endereço IP. É possível
gerenciar os nomes de host para associá-los a seus respectivos endereços IP.
Na página Hosts, pode-se adicionar, editar, remover, pesquisar, atualizar e importar nomes de host,
além de definir em quanto tempo o nome do host aprendido automaticamente expira.
Ao exibir os dados de um evento, você pode mostrar os nomes de host associados aos endereços IP
do evento clicando no ícone Mostrar nomes de host
, localizado ao final da exibição de componentes. Se
os eventos existentes não estiverem marcados com um nome do host, o sistema faz uma busca na
tabela de hosts do ESM e marca os endereços IP com seus respectivos nomes do host. Se os
endereços IP não estiverem listados na tabela de hosts, o sistema realiza uma pesquisa de Sistema de
Nomes de Domínio (DNS) para localizá-los. Os resultados da pesquisa são mostrados na exibição e
adicionados à tabela de hosts. Na tabela de hosts, esses dados são marcados como Aprendidos
automaticamente e expiram depois do período designado no campo As entradas expiram após, localizado abaixo
da tabela de hosts na página Propriedades do sistema | Hosts. Se os dados já expiraram, outra pesquisa de
DNS será realizada na próxima vez que você selecionar a opção Mostrar nomes de host em uma exibição.
A tabela de hosts lista os nomes de host adicionados e aprendidos automaticamente e seus endereços
IP. É possível adicionar informações à tabela de hosts manualmente, digitando um nome do host e seu
endereço IP individualmente ou importando uma lista delimitada por tabulação de nomes do host e
endereços IP. Quanto mais dados forem adicionados dessa maneira, menos tempo será gasto em
pesquisas de DNS. Se você adicionar um nome do host manualmente, ele não expirará, mas poderá
ser editado ou removido.
Gerenciar nomes de host
Realizar todas as ações necessárias para gerenciar os nomes de host na página Hosts, como adicionar,
editar, importar, remover ou pesquisar. Também é possível definir o tempo de expiração para hosts
aprendidos automaticamente.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
171
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Hosts.
2
Selecione uma opção e digite a informação solicitada.
3
Clique em Aplicar ou OK.
Configurar DHCP
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de
rede, como endereços IP para interfaces e serviços.
Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado
automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá
ativar e desativar serviços do DHCP no [ESM], Receiver sem ser de HA, ACE e ELM se você tiver
direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua
rede.
Os aliases são desativados quando o DHCP é ativado.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone
Propriedades
2
3
.
Execute uma das seguintes ações:
•
Para o ESM, clique em Configurações de rede e na guia Principal.
•
Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia
Rede.
Clique em Instalação no campo Interface 1 e selecione DHCP.
Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma
reinicialização do servidor ESM.
4
Clique em OK.
Configurar o DHCP na VLAN
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de
rede, como endereços IP para interfaces e serviços.
Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado
automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá
ativar e desativar serviços do DHCP nas VLANs, ESM, Receiver sem ser de HA, ACE e ELM se você tiver
direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua
rede.
172
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone
Propriedades
2
.
Execute uma das seguintes ações:
•
Para o ESM, clique em Configurações de rede e na guia Principal.
•
Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia
Rede.
3
Clique em Instalação no campo Interface 1 e em Avançada.
4
Clique em Adicionar VLAN, digite a VLAN e selecione DHCP.
5
Clique em OK para voltar à página Configurações de rede e em Aplicar.
Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma
reinicialização do servidor ESM.
Sincronização da hora do sistema
Como as atividades geradas pelo ESM e seus dispositivos possuem marca de hora, é importante que o
ESM e os dispositivos sejam sincronizados para manter um período de referência constante para os
dados reunidos. Você pode configurar a hora do sistema do ESM ou selecionar que o ESM e os
dispositivos sejam sincronizados com um servidor NTP.
Configurar hora do sistema
Antes de iniciar
Se você deseja adicionar servidores NTP ao ESM, configure os servidores NTP e obtenha
suas chaves de autorização e IDs chave.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema
está selecionado.
2
Clique em Relógio do sistema (GMT), defina as configurações e clique em OK.
Os endereços de servidor NTP nos dispositivos de classe IPS devem ser endereços IP.
As informações do servidor são salvas no arquivo de configuração. Depois disso, você pode acessar a
lista de servidores NTP novamente e verificar seus status.
Sincronizar relógios do dispositivo
Você pode sincronizar os relógios do dispositivo com o relógio do ESM para que os dados gerados
pelos múltiplos sistemas reflitam a mesma configuração de hora.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
173
3
Configuração do ESM
Configuração de serviços auxiliares
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema ou Propriedades do dispositivo e
clique em Sincronizar no campo Sincronizar relógio do dispositivo.
Você será informado quando a sincronização for concluída ou se houver um problema.
2
Clique em Atualizar para atualizar os dados na página Informações do sistema ou Informações do dispositivo.
Instalar um novo certificado
O ESM é fornecido com um certificado de segurança autoassinado padrão para esm.mcafee.local. A
maioria dos navegadores da Web exibe um aviso de que não foi possível confirmar a autenticidade do
certificado. Quando você obtém o par de certificados de chave SSL que deseja usar com o ESM, deve
instalá-lo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Gerenciamento de chaves, clique em Certificado.
3
Faça as seleções e clique em Fechar.
Configurar perfis
Defina perfis do tráfego baseado em syslog para poder executar configurações que compartilham
informações comuns sem precisar inserir os detalhes sempre. Também é possível adicionar um perfil
de comando remoto (URL ou script) e usá-lo em uma exibição e um alarme.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de perfil.
2
Para adicionar um perfil, clique em Adicionar na guia Perfis do sistema e forneça os dados do perfil.
3
Para adicionar um comando remoto, clique na guia Comando remoto e forneça as informações
solicitadas.
4
Clique em OK.
Configuração de SNMP
Defina as configurações usadas pelo ESM para enviar o link ativado e desativado e as interceptações
de partida a frio/quente, ambas a partir do ESM e de cada dispositivo; recupere tabelas de interface e
de sistema II da MIB (Base de informações de gerenciamento) e permita a descoberta do ESM com o
comando snmpwalk.
O SNMPv3 é compatível com as opções NoAuthNoPriv, AuthNoPriv e AuthPriv, usando MD5 ou SHA
(Secure Hash Algorithm) para autenticação e DES (Data Encryption Standard) ou AES (Advanced
Encryption Standard) para criptografia (MD5 e DES não estão disponíveis no modo de conformidade
FIPS).
As solicitações do SNMP podem ser feitas a um ESM para ESM, Receiver e informação de integridade
do Nitro IPS, e as interceptações SNMPv3 podem ser enviadas para um ESM para serem adicionadas a
uma lista negra com um ou mais de seus dispositivos Nitro IPS gerenciados. Todos os appliances da
174
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
McAfee podem ser configurados para enviar links ativados e desativados das interceptações e enviar
interceptações de inicialização a quente e frio para um ou mais destinos de sua escolha (consulte
SNMP e a MIB da McAfee).
Defina as configurações de SNMP
Defina as configurações usadas pelo ESM para o tráfego de entrada e saída de SNMP. As consultas do
SNMP podem ser realizadas somente por usuários cujos nomes não incluam espaços.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configuração de SNMP.
2
Insira as informações necessárias nas guias Solicitações do SNMP e Interceptações de SNMP.
3
Clique em OK.
Definir interceptação SNMP para notificação de queda de energia
Selecione uma interceptação SNMP para ser notificado de falhas gerais em hardware e quedas de
energia no DAS para impedir que o sistema desligue devido a uma queda de energia.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
2
Clique em Configuração de SNMP, na guia Interceptações de SNMP e selecione Falha geral de hardware.
3
Clique em Aplicar ou em OK.
.
Quando houver falha no fornecimento de energia, uma interceptação SNMP será enviada e um
sinalizador de status de integridade aparecerá ao lado do dispositivo na árvore de navegação do
sistema.
Você pode adicionar um alarme para ser disparado quando ocorrer uma falha (consulte Adicionar um
alarme de notificação de queda de energia).
Criar uma interceptação SNMP como ação em um alarme
É possível enviar interceptações SNMP como ação em um alarme.
Antes de iniciar
Prepare o Receptor de interceptação SNMP (somente necessário se você não tiver um
Receptor de interceptação SNMP).
Para obter definições de opções, clique em ? na interface.
Tarefa
1
Crie um perfil de SNMP para informar ao ESM para onde enviar as interceptações SNMP.
a
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
b
Clique em Gerenciamento de perfil e selecione Interceptação SNMP no campo Tipo de perfil.
c
Preencha os campos restantes e clique em Aplicar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
175
3
Configuração do ESM
Configuração de serviços auxiliares
2
3
Configurar SNMP no ESM.
a
Em Propriedades do sistema, clique em Configuração de SNMP e clique na guia Interceptações SNMP.
b
Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1.
c
Clique em Aplicar.
Defina um alarme com Interceptação SNMP como ação.
a
Em Propriedades do sistema, clique em Alarmes e em Adicionar.
b
Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionando
Correspondência de evento interna como o tipo de condição, e clique na guia Ações.
c
Selecione Enviar mensagem e clique em Configurar para selecionar ou criar um modelo de mensagens
SNMP.
d
Selecione SNMPTrap básico no campo SNMP ou clique em Modelos e, em seguida, clique em Adicionar.
e
Selecione um modelo existente ou clique em Adicionar para definir um novo modelo.
f
Retorne para a página Configurações de alarme e prossiga com a configuração do alarme.
Adicionar um alarme de notificação de queda de energia
Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar.
Antes de iniciar
Configure uma interceptação SNMP de falha geral de hardware (consulte Configurar
interceptação SNMP para notificação de queda de energia).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Alarmes, em Adicionar, adicione os dados solicitados na guia Resumo e clique na guia
Condição.
3
No campo Tipo, selecione Correspondência de evento interna.
4
No campo Campo, selecione ID de assinatura e digite 306-50086 no campo Valore(s).
5
Preencha as informações restantes em cada guia conforme necessário e clique em Concluir.
Um alarme é disparado quando há falha em uma fonte de energia.
O SNMP e a MIB da McAfee
Vários aspectos da linha de produtos McAfee podem ser acessados através do SNMP. A MIB da McAfee
define os OIDs (identificadores de objeto) para cada objeto ou característica de interesse.
A MIB define grupos de objeto para:
176
•
Alertas — Um ESM pode gerar e enviar interceptações de alerta usando o Encaminhamento de
evento. Um Receptor pode receber interceptações de alerta configurando uma origem de dados
SNMP da McAfee.
•
Fluxos — Um Receptor pode receber interceptações de fluxo ao configurar uma origem de dados
SNMP da McAfee.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
•
Solicitações de integridade do ESM — Um ESM pode receber e responder às solicitações de
integridade referentes ao si próprio e aos dispositivos que ele gerencia.
•
Lista negra — Um ESM pode receber entradas de definição de interceptações para listas negras e
listas de quarentena, que ele então aplica aos dispositivos IPS do Nitro gerenciado pelo ESM.
A MIB da McAfee também define convenções textuais (tipos enumerados) para valores, tais como:
•
a ação executada quando um alerta foi recebido
•
estado e direção do fluxo
•
tipos de origem de dados
•
ações da lista negra
A MIB da McAfee está sintaticamente em conformidade com a SMI (Structure of Management
Information) do SNMPv2. Os produtos da McAfeeque usam o SNMP podem ser configurados para
funcionar com SNMPv1, SNMPv2c e SNMPv3, incluindo autenticação e controle de acesso.
As solicitações de integridade são feitas com a operação GET de SNMP. A operação GET de SNMP é
usada por aplicativos de gerenciador de SNMP para recuperar valores dos objetos gerenciados
mantidos pelo agente SNMP (nesse caso, o ESM). Os aplicativos geralmente executam uma solicitação
GET do SNMP fornecendo o nome do host do ESM, e OIDs, juntamente com a instância específica do
OID.
O ESM volta com um valor retornado ou um erro. Por exemplo, uma solicitação de integridade e
resposta para a integridade de IPS do Nitro com o ID 2 de IPS do Nitro pode ficar assim:
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.2.1.2
Interno
Nome do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.2.2
2
Identificador único do ESM
do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.3.2
1
A comunicação com o IPS
do Nitro está disponível (1)
ou indisponível (0)"
1.3.6.1.4.1.23128.1.3.2.4.2
OK
Status do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.5.2
desligado
Status de NICs de desvio do
IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.6.2
IPS do Nitro
Modo IPS do Nitro (IDS ou
IPS do Nitro)
1.3.6.1.4.1.23128.1.3.2.7.2
percentual
2
Carregamento de CPU
instantâneo de percentual
combinado
1.3.6.1.4.1.23128.1.3.2.8.2
MB
1010
RAM do IPS do Nitro total
1.3.6.1.4.1.23128.1.3.2.9.2
MB
62
RAM disponível
1.3.6.1.4.1.23128.1.3.2.10.2
MB
27648
Espaço HDD total
particionado para banco de
dados do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.11.2
MB
17408
Espaço HDD livre disponível
para banco de dados do IPS
do Nitro
McAfee Enterprise Security Manager 9.5.0
Guia de produto
177
3
Configuração do ESM
Configuração de serviços auxiliares
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.2.12.2
segundos
desde
1970-1-1
120793661
Hora do sistema atual no
IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.13.2
7.1.3
20070518091421a
Informações de versão do
IPS do Nitro e buildstamp
1.3.6.1.4.1.23128.1.3.2.14.2
ABCD:1234
ID de máquina do IPS do
Nitro
1.3.6.1.4.1.23128.1.3.2.15.2
IPS do Nitro
Número do modelo do IPS
do Nitro
00:00:00.0
(GMT)
1.3.6.1.4.1.23128.1.3.2.16.2
alertas por
minuto
140
Taxa de alertas (por
minuto) nos últimos 10
minutos
1.3.6.1.4.1.23128.1.3.2.17.2
fluxos por
minuto
165
Velocidade de fluxos (por
minuto) nos últimos 10
minutos
Usando o exemplo acima, o gerenciador de SNMP faz uma solicitação ao agente de SNMP, o ESM. Os
números significam:
•
1.3.6.1.4.1.23128 — O número comercial da McAfee atribuído pela IANA (Internet Assigned
Numbers Authority)
•
1.3.2 — Uma solicitação de integridade do IPS do Nitro
•
O segundo ao último número (1-17 no exemplo acima) — Para solicitar os vários aspectos de
integridade do IPS do Nitro
•
O último número (2) — A instância específica do OID, o ID do IPS do Nitro
O ESM responde preenchendo as associações do OID com os resultados da solicitação de integridade.
As tabelas a seguir mostram o significado dos OIDs do ESM e do Receptor.
Tabela 3-37 Integridade do ESM
OID de solicitação e resposta Unidades
178
Valor da
resposta
Significado
1.3.6.1.4.1.23128.1.3.1.1
percentual
4
Carregamento de CPU
instantâneo de percentual
combinado
1.3.6.1.4.1.23128.1.3.1.2
MB
3518
RAM total
1.3.6.1.4.1.23128.1.3.1.3
MB
25
RAM disponível
1.3.6.1.4.1.23128.1.3.1.4
MB
1468006
Espaço HDD total
particionado para banco de
dados do ESM
1.3.6.1.4.1.23128.1.3.1.5
MB
1363148
Espaço HDD livre disponível
para banco de dados do ESM
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Configuração de serviços auxiliares
Tabela 3-37 Integridade do ESM (continuação)
OID de solicitação e resposta Unidades
Valor da
resposta
Significado
1283888714
Hora atual do sistema no ESM
1.3.6.1.4.1.23128.1.3.1.7
8.4.2
Versão e carimbo de
compilação do ESM
1.3.6.1.4.1.23128.1.3.1.8
4EEE:6669
ID de máquina do ESM
1.3.6.1.4.1.23128.1.3.1.9
ESM
Número do modelo do ESM
1.3.6.1.4.1.23128.1.3.1.6
segundos
desde
1970-1-1
00:00:0.0
(GMT)
Tabela 3-38 Integridade do Receptor
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.3.1
Receptor
Nome do Receptor
1.3.6.1.4.1.23128.1.3.3.2
2689599744
Identificador único do ESM
do Receptor
1.3.6.1.4.1.23128.1.3.3.3
1
Indica que a comunicação
com o Receptor está
disponível (1) ou
indisponível (0)
1.3.6.1.4.1.23128.1.3.3.4
OK
Indica o status do Receptor
1.3.6.1.4.1.23128.1.3.3.5
percentual
2
Carregamento de CPU
instantâneo de percentual
combinado
1.3.6.1.4.1.23128.1.3.3.6
MB
7155
RAM total
1.3.6.1.4.1.23128.1.3.3.7
MB
5619
RAM disponível
1.3.6.1.4.1.23128.1.3.3.8
MB
498688
Espaço HDD total
particionado para banco de
dados do Receptor
1.3.6.1.4.1.23128.1.3.3.9
MB
472064
Espaço HDD livre
disponível para banco de
dados do Receptor
1.3.6.1.4.1.23128.1.3.3.10
segundos
desde
1970-1-1
00:00:0.0
(GMT)
1283889234
Hora do sistema atual no
Receptor
1.3.6.1.4.1.23128.1.3.3.11
7.1.3
20070518091421a
Versão e buildstamp do
Receptor
1.3.6.1.4.1.23128.1.3.3.12
5EEE:CCC6
ID da máquina do Receptor
1.3.6.1.4.1.23128.1.3.3.13
Receptor
Número do modelo do
Receptor
McAfee Enterprise Security Manager 9.5.0
Guia de produto
179
3
Configuração do ESM
Configuração de serviços auxiliares
Tabela 3-38 Integridade do Receptor (continuação)
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.3.14
alertas por
minuto
1
Taxa de alertas (por
minuto) nos últimos 10
minutos
1.3.6.1.4.1.23128.1.3.3.15
fluxos por
minuto
2
Velocidade de fluxos (por
minuto) nos últimos 10
minutos
Os eventos, os fluxos e as entradas de lista negra são enviados usando solicitações de informe ou
interceptações SNMP. Uma interceptação de alerta enviada por um ESM configurado para fazer
Encaminhamento de evento é ilustrada a seguir:
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.1
780
ID de alerta do ESM
1.3.6.1.4.1.23128.1.1.2
6136598
ID de alerta de dispositivo
1.3.6.1.4.1.23128.1.1.3
IPS do Nitro interno
Nome do dispositivo
1.3.6.1.4.1.23128.1.1.4
2
ID de dispositivo
1.3.6.1.4.1.23128.1.1.5
10.0.0.69
IP de origem
1.3.6.1.4.1.23128.1.1.6
27078
Porta de origem
1.3.6.1.4.1.23128.1.1.7
AB:CD:EF:01:23:45
MAC de origem
1.3.6.1.4.1.23128.1.1.8
10.0.0.68
IP de destino
1.3.6.1.4.1.23128.1.1.9
37258
Porta de destino
1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF
MAC de destino
1.3.6.1.4.1.23128.1.1.11 17
Protocolo
1.3.6.1.4.1.23128.1.1.12 0
VLAN
1.3.6.1.4.1.23128.1.1.13 Direção
1.3.6.1.4.1.23128.1.1.14 20
Contagem de eventos
1.3.6.1.4.1.23128.1.1.15 1201791100
Primeira vez
1.3.6.1.4.1.23128.1.1.16 1201794638
Última vez
1.3.6.1.4.1.23128.1.1.17 288448
Última vez (microssegundos)
1.3.6.1.4.1.23128.1.1.18 2000002
ID de assinatura
1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Descrição da assinatura
180
1.3.6.1.4.1.23128.1.1.20 5
Ação realizada
1.3.6.1.4.1.23128.1.1.21 1
Gravidade
1.3.6.1.4.1.23128.1.1.22 201
Tipo de origem de dados ou resultado
1.3.6.1.4.1.23128.1.1.23 0
ID de assinatura normalizado
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento do banco de dados
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0
IP de origem IPv6
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0
IP de destino IPv6
1.3.6.1.4.1.23128.1.1.26
Aplicativo
1.3.6.1.4.1.23128.1.1.27
Domínio
1.3.6.1.4.1.23128.1.1.28
Host
1.3.6.1.4.1.23128.1.1.29
Usuário (origem)
1.3.6.1.4.1.23128.1.1.30
Usuário (destino)
1.3.6.1.4.1.23128.1.1.31
Comando
1.3.6.1.4.1.23128.1.1.32
Objeto
1.3.6.1.4.1.23128.1.1.33
Número de sequência
1.3.6.1.4.1.23128.1.1.34
Indica se foi gerado em ambiente
confiável ou não confiável
1.3.6.1.4.1.23128.1.1.35
ID da sessão que gerou o alerta
Os números significam:
•
1.3.6.1.4.1.23128 — O número empresarial da McAfee atribuído pela IANA
•
1.1 — Uma solicitação de integridade do IPS do Nitro
•
O número final (1-35) — Para relatar as várias características do alerta
Para obter todos os detalhes da definição MIB da McAfee, consulte https://x.x.x.x/BrowseReference/
NITROSECURITY-BASE-MIB.txt, onde x.x.x.x é o endereço IP de seu ESM.
Gerenciamento do banco de dados
Gerenciar o banco de dados do ESM para fornecer informações e configurações conforme você
configura recursos em seu sistema.
Você pode gerenciar as configurações de indexação do banco de dados, exibir e imprimir informações
sobre a utilização da memória do banco de dados de eventos e fluxos, configurar locais de
armazenamento de partições inativa, configure a política de retenção de dados de eventos e fluxos e
configure como o banco de dados aloca o espaço para dados de fluxo e de eventos.
Se tiver mais do que quatro CPUs em uma VM, você pode usar o espaço de armazenamento adicional
para armazenamento do sistema, armazenamento de dados e armazenamento de alto desempenho.
Se você remover mais de uma unidade do da VM ESM de uma vez, todas as buscas ELM podem ser
perdidas. Para evitar isso, exporte os resultados da pesquisa ELM antes de executar este processo.
Consulte também
Gerenciar a indexação do acumulador na página 184
Gerenciar configurações de indexação de banco de dados na página 184
Configurar limites de retenção de dados na página 183
Exibir utilização de memória do banco de dados na página 185
McAfee Enterprise Security Manager 9.5.0
Guia de produto
181
3
Configuração do ESM
Gerenciamento do banco de dados
Configurar o armazenamento de dados do ESM
Há três tipos de armazenamento externo que podem ser configurados para armazenar os dados do
ESM: Internet Small Computer System Interface (iSCSI), Storage Area Network (SAN) e
Direct-attached storage (DAS). Depois que eles forem conectados ao ESM, você poderá configurá-los
para armazenar dados do ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Armazenamento de dados.
2
Clique nas guias, selecione uma ação e preencha as informações solicitadas.
3
Clique em Cancelar para fechar a página.
Consulte também
Configurar limites de retenção de dados na página 183
Configurar o armazenamento de dados da VM do ESM
Se a sua VM do ESM tem mais de quatro CPUs, a opção Dados de VM fica disponível na página Banco de
dados, permitindo que você use o armazenamento adicional que tem disponível no armazenamento do
sistema, no armazenamento de dados e no armazenamento de alto desempenho da VM.
Cada lista suspensa na página Alocação de dados inclui as unidades de armazenamento disponíveis
montadas na VM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Dados
de VM.
2
Em cada campo, selecione a unidade na qual deseja que os dados sejam armazenados. Cada
unidade poderá ser solucionada somente uma vez.
3
Clique em OK.
Aumentar o número de índices de acumulador disponíveis
Em função do número de índices de padrão ativados no ESM, somente é possível adicionar cinco
índices a um campo de acumulador. Se mais de cinco forem necessários, é possível desativar os
índices que não estão em uso no momento, como sessionid, src/dst mac, src/dst port, src/dst zone,
src/dst geolocation, até no máximo 42.
Tarefa
Para obter definições de opções, clique em ? na interface.
O ESM usa índices padrão ao gerar consultas, relatórios, alarmes e exibições. Se você desativar algum
deles e tentar gerar uma consulta, relatório, alarme ou exibição que o use,você será notificado de que
não é possível processar, pois o índice está desativado. Não é informado qual índice está afetando o
processo. Em função dessa limitação, não desative os índices padrão a menos que considere
absolutamente necessário.
182
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados.
2
Clique em Configurações e clique na guia Indexação do acumulador.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento do banco de dados
3
Na lista suspensa, clique em Índices padrão e selecione Mostrar índices padrão.
Os índices padrão são listados na área Ativado.
4
Clique nos índices padrão a serem desativados e clique na seta para movê-los para a área Disponível.
O número que consta na instrução restantes no canto superior direito da página aumenta a cada
índice padrão desativado.
Agora é possível ativar mais de cinco índices de acumulador para o campo de acumulador selecionado
(consulte Gerenciar a indexação do acumulador).
Configurar o arquivo de partições inativas
O ESM divide os dados em partições. Quando uma partição atinge seu tamanho máximo, ela se torna
inativa e é excluída. Você pode configurar um local de armazenamento para partições inativas de
modo que elas não sejam excluídas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Arquivamento.
2
Preencha os campos, que podem variar dependendo do tipo que você selecionar.
3
Clique em OK para salvar as configurações.
Conforme as partições se tornam inativas, elas são copiadas para este local e são listadas nas guias
Partições de evento e Partições de fluxo.
Configurar limites de retenção de dados
Se tiver uma configuração que está enviando dados históricos para o sistema, você pode selecionar o
tempo pelo qual deseja que os eventos e os fluxos sejam mantidos, assim como limitar a quantidade
de dados históricos inseridos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Retenção de dados.
2
Selecione por quanto tempo deseja que os eventos e fluxos sejam retidos e se deseja restringir os
dados históricos.
3
Clique em OK.
Consulte também
Configurar o armazenamento de dados do ESM na página 182
Definir limites de alocação de dados
O número máximo de registros de eventos e fluxos que são mantidos pelo sistema é um valor fixo. A
alocação de dados permite que você defina a quantidade de espaço a ser alocado para cada um e
quantos registros serão pesquisados para otimizar a consulta.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
183
3
Configuração do ESM
Gerenciamento do banco de dados
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Alocação de dados.
2
Clique nos marcadores nas linhas numeradas e arraste-os até os números desejados ou clique nas
setas nos campos Eventos e Fluxos.
3
Clique em OK.
Gerenciar configurações de indexação de banco de dados
Configure opções para a indexação de campos de dados específicos no banco de dados. Se os dados
não forem indexados, eles serão armazenados, mas não serão exibidos nos resultados de consulta.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Configurações.
2
Para alterar as configurações atuais nas colunas Eventos e Fluxos, clique no item que deseja alterar e
selecionar uma nova configuração na lista suspensa.
3
Se você selecionar Personalizado nas colunas Porta, a tela Valores da porta abre para que você possa
selecionar ou adicionar um novo valor de porta.
4
Clique em OK.
Gerenciar a indexação do acumulador
Se tiver campos personalizados que efetuam pull de dados numéricos de uma origem, a indexação do
acumulador poderá executar somas ou fazer médias desses dados ao longo do tempo. Você pode
acumular vários eventos e fazer a média do valor deles ou gerar um valor de tendência.
Antes de iniciar
Configure um tipo personalizado de indexação de acumulador (consulte Criar tipos
personalizados).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados.
2
Clique em Configurações e clique na guia Indexação do acumulador.
3
Selecione os indexes e clique em OK.
Você agora pode configurar uma consulta de acumulador para exibir os resultados.
Consulte também
Gerenciar consultas na página 271
Criar tipos personalizados na página 284
184
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Trabalhar com usuários e grupos
Exibir utilização de memória do banco de dados
Exibir e imprimir tabelas que detalham como a memória de banco de dados está sendo usada.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Uso de
memória.
As tabelas Eventos e Fluxos listam a utilização da memória do banco de dados.
2
Para imprimir os relatórios, clique no ícone Imprimir
.
Trabalhar com usuários e grupos
Usuários e grupos devem ser adicionados ao sistema para terem acesso ao ESM, seus dispositivos,
políticas e privilégios associados.
Quando está no modo FIPS, o ESM tem quatro funções de usuário possíveis: Usuário, Usuário avançado,
Administrador de chave e certificado e Administrador de auditoria. Quanto está no modo FIPS, há dois tipos de
conta de usuário: Administrador do sistema e Usuário geral.
A página Usuários e grupos tem duas seções:
•
Usuários — Nomes de usuários, o número de sessões abertas no momento para cada usuário e os
grupos aos quais pertencem.
•
Grupos – Nomes de grupos e uma descrição dos privilégios atribuídos a cada um.
Você pode classificar as tabelas clicando em Nome do usuário, Sessões ou Nome do grupo.
Privilégios de grupo
Ao configurar um grupo, você define os privilégios dos membros do grupo. Se você selecionar Limitar
acesso deste grupo na página Privilégios de Adicionar grupo (Propriedades do sistema | Adicionar grupo), o acesso a
estes recursos será limitado.
•
Alarmes — Os usuários do grupo não têm acesso a destinatários, arquivos ou modelos de
gerenciamento de alarme. Eles não podem criar, editar, remover, ativar ou desativar alarmes.
•
Gerenciamento de casos — Os usuários podem acessar todos os recursos, exceto Organização.
•
ELM — Os usuários podem realizar pesquisas aprimoradas do ELM, mas não podem salvá-las nem
acessar as propriedades do dispositivo ELM.
•
Relatórios – Os usuários somente podem executar um relatório que envia o resultado por e-mail para
eles.
•
Listas de observação — Os usuários não podem adicionar uma lista de observação dinâmica.
•
Asset Managere Editor de políticas — Os usuários não podem acessar nenhum desses recursos.
•
Zonas — Os usuários somente podem exibir zonas às quais eles têm acesso em sua lista de zonas.
•
Propriedades do sistema — Os usuários podem acessar somente Relatórios e Listas de observação.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
185
3
Configuração do ESM
Trabalhar com usuários e grupos
•
Filtros — Os usuários não podem acessar as guias de filtro Normalização de cadeia, Active Directory, Ativos,
Grupos de ativos ou Marcas.
•
Barra de ferramentas de ações — Os usuários não podem acessar o gerenciamento de dispositivos,
o gerenciamento de vários dispositivos ou o Visualizador de streaming de eventos.
Adicionar um usuário
Se você tem privilégios de administrador do sistema, pode adicionar usuários ao sistema para que eles
tenham acesso ao ESM e seus dispositivos, políticas e privilégios associados. Depois de adicionados,
as configurações do usuário podem ser editadas ou removidas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.
2
Digite a senha de administrador do sistema e clique em OK.
3
Na seção Usuários, clique em Adicionar e preencha as informações necessárias.
4
Clique em OK.
Os usuários serão adicionados ao sistema com os privilégios atribuídos aos grupos aos quais
pertencem. Os nomes de usuário aparecem na seção Usuários da página Usuários e Grupos. Um ícone
aparece ao lado de cada nome do usuário, indicando se a conta está ativada ou não. Se um usuário
tiver privilégios de administrador, um ícone de rei
aparece ao lado do nome.
Selecione configurações do usuário
A página Configurações do usuário possibilita a alteração de várias configurações padrão. Você pode alterar
o fuso horário, o formato de data, a senha, a exibição padrão e o idioma do console. Você também
pode escolher se deseja ou não mostrar origens de dados desativadas, a guia Alarmes e a guia Casos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do sistema do console ESM, clique em opções.
2
Verifique se a opção Configurações do usuário foi selecionada.
3
Altere as configurações conforme o necessário e clique em OK.
A aparência do console é alterada com base nas suas configurações.
Configuração de segurança
Use a segurança de login para definir as configurações de login padrão, configurar a lista de controle
de acesso (ACL) e definir as configurações de CAC (Common Access Card). Você também pode ativar
a autenticação para o RADIUS (Remote Authentication Dial In User Service), o Active Directory e o
186
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Trabalhar com usuários e grupos
LDAP (Lightweight Directory Access Protocol), disponíveis somente com privilégios de administrador
do sistema.
Recursos de segurança do ESM
A família de soluções do IPS do Nitro da McAfee foi projetada para ser difícil de ser encontrada em
uma rede e mais difícil ainda de ser atacada. Por padrão, os dispositivos IPS do Nitro não têm pilha de
IP, por isso, os pacotes não podem ser destinados diretamente ao IPS do Nitro.
A comunicação com um IPS do Nitro é obtida por meio da tecnologia McAfee Secure Encrypted
Management (SEM). SEM é um canal criptografado AES (Advanced Encryption Standard) em banda
que reduz o risco de ataques de reprodução ou a intermediários.
Um dispositivo PS do Nitro se comunica somente quando é endereçado por um ESM autorizado através
do canal SEM. Ele não inicia comunicações sozinho. A comunicação entre um ESM e o console de ESM é
enviada também por um AES.
O ESM recupera atualizações de software e assinatura criptografadas e autenticadas do servidor
central da McAfee a partir de um mecanismo de comunicação criptografada. Os mecanismos, baseados
em hardware e software, servem para ter certeza de que os dispositivos são gerenciados somente por
um ESM devidamente autorizado.
Definir as configurações de login padrão
Ajuste as configurações para os procedimentos de login padrão estabelecendo quantas tentativas de
login podem ser feitas em um período específico, por quanto tempo o sistema pode ficar inativo, as
definições de senha e se deseja mostrar ou não o último ID de usuário no momento do login.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Configure as opções na guia Padrão.
3
Clique em OK ou Aplicar.
Definir configurações de senha de logon
É possível definir várias configurações para a senha de logon no sistema.
Antes de iniciar
É necessário ter direitos de administrador do sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de
login.
2
Clique na guia Senhas, selecione as opções desejadas e clique em Aplicar ou em OK.
Definir as configurações de autenticação RADIUS
Configure o ESM para autenticar usuários em um servidor RADIUS.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
187
3
Configuração do ESM
Trabalhar com usuários e grupos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Selecione a guia RADIUS e preencha os campos referentes ao servidor primário. Ter um servidor
secundário é opcional.
3
Clique em OK ou Aplicar.
Quando o servidor estiver ativado, todos os usuários, exceto o administrador do sistema, farão a
autenticação com o servidor RADIUS. Se a autenticação estiver desativada, os usuários que estão
configurados para autenticação com o RADIUS não poderão acessar o ESM.
Configurar a lista de controle de acesso
Configurar uma lista de endereços IP com permissão para acessar o ESM ou que estão bloqueados
para acesso.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Clique em Configurações de ACL e adicione os endereços IP à lista.
3
Clique em OK para salvar as configurações e feche a Lista de controle de acesso.
É possível editar ou remover endereços IP da lista de ACL.
Configurações do CAC
Você pode fazer a autenticação no ESM fornecendo suas credenciais do CAC por meio do navegador,
em vez de inserir um nome do usuário e senha.
Os CACs contêm um certificado de cliente que identifica o usuário, semelhante ao modo como um
certificado de servidor identifica um site. Caso ative o recurso CAC, pressupomos que esteja
familiarizado com a autenticação com base em CAC. Você sabe quais navegadores são compatíveis
com essa funcionalidade e conhece o EDI-PI (Electronic Data Interchange Personal Identifier)
associado aos CACs.
Ocasionalmente, os certificados serão revogados. As listas de revogação de certificados (CRL)
possibilitam aos sistemas reconhecer essas revogações. Você pode fazer upload manual de um
arquivo .zip contendo arquivos CRL.
O ActivClient é o único middleware CAC compatível com Windows. Para usar a autenticação CAC no
ESM a partir do Windows usando o Internet Explorer, o ActivClient deve estar instalado no computador
cliente. Quando o ActivClient estiver instalado, ele será usado para gerenciar as credenciais do CAC
em vez do gerenciador de cartão inteligente no Windows. É provável que o software ActivClient já
esteja instalado se o cliente costuma acessar outros sites compatíveis com CAC. Instruções sobre
como configurar o ActivClient e onde fazer download do software podem ser obtidas em http://
militarycac.com/activclient.htm ou na intranet de sua organização.
Ao usar a validação do CAC para autenticidade de aplicativos, a segurança do sistema fica dependente
da segurança da Autoridade de Certificação (CA). Caso a CA esteja comprometida, os logins
compatíveis com CAC também ficarão comprometidos.
Configurar o login do CAC
Para configurar o login do CAC, você deverá ativar o recurso de login do CAC, fazer upload da cadeia
de certificados raiz da CA e ativar o usuário CAC definindo o nome do usuário para o EDI-PI de dez
188
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Trabalhar com usuários e grupos
dígitos do proprietário do cartão. Feito isso, os proprietários dos cartões podem acessar o ESM em um
navegador compatível com CAC sem que seja solicitado um nome do usuário e senha.
O [ESM] é compatível com o leitor de cartões Gemalto. Ligue para o Suporte da McAfee se precisar de
assistência com o leitor de cartões.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, clique em Segurança de login e
selecione a guia CAC.
2
Insira as informações, selecione as opções solicitadas e clique em OK.
3
Ative cada um dos usuários CAC.
a
Em Propriedades do sistema, clique em Usuários e grupos e insira a senha do sistema.
b
Na tabela Usuários, destaque o nome do usuário e clique em Editar.
c
Substitua o nome no campo Nome de usuário pelo EDI-PI de dez dígitos.
d
(Opcional) Insira o nome do usuário no campo Alias do usuário e clique em OK.
Definir as configurações de autenticação do Active Directory
Você pode configurar o ESM para autenticar usuários para um Active Directory. Quando essa opção
estiver ativada, todos os usuários, exceto o administrador do sistema, farão a autenticação com o
Active Directory. Se a autenticação estiver desativada, os usuários que estão configurados para
autenticação com o Active Directory não poderão acessar o sistema.
Antes de iniciar
•
Configure um Active Directory que possa ser acessado a partir do ESM.
•
Crie um grupo (consulte Configurar grupos de usuários) com o mesmo nome do grupo
do Active Directory que tem acesso ao ESM. Por exemplo, se o nome do grupo for "Usuários
da McAfee", você deverá acessar Propriedades do sistema | Usuários e grupos e adicionar um
grupo chamado "Usuários da McAfee".
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Clique na guia Active Directory e selecione Ativar autenticação do Active Directory.
3
Clique em Adicionar e adicione as informações solicitadas para configurar a conexão.
4
Clique em OK na página Conexão do Active Directory.
Configurar credenciais de usuário para o McAfee ePO
É possível limitar o acesso a um dispositivo McAfee ePO configurando credenciais de usuário.
Antes de iniciar
O dispositivo McAfee ePO não deve ser configurado para requerer autenticação de usuário
global (consulte Configurar autenticação de usuário global).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
189
3
Configuração do ESM
Trabalhar com usuários e grupos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação de sistemas do console do ESM, clique em opções e selecione Credenciais do
ePO.
2
Clique no dispositivo e em Editar.
Se na coluna de status do dispositivo constar Não obrigatório, o dispositivo será definido para
autenticação de usuário global. É possível alterar o status do dispositivo na página Conexão (consulte
Alterar a conexão com o ESM).
3
Digite o nome do usuário e a senha, teste a conexão e clique em OK.
Para acessar o dispositivo, os usuários precisam do nome do usuário e da senha que foram
adicionados.
Desativar ou reativar um usuário
Se um usuário exceder o número de tentativas de login permitidas dentro do período definido em
Segurança de login, use esse recurso para reativar a conta. Você também pode usar esse recurso se
precisar bloquear o acesso de usuários temporariamente ou permanentemente sem excluí-los do
sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.
2
Na tabela Usuários, destaque o nome do usuário e clique em Editar.
3
Selecione ou desmarque Desativar conta e clique em OK.
O ícone ao lado do nome do usuário em Usuários e Grupos reflete o status da conta.
Autenticar usuários para um servidor LDAP
Você pode configurar o ESM para autenticar usuários para um servidor LDAP.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Clique na guia LDAP.
3
Preencha os campos e clique em Aplicar ou OK.
Quando essa opção estiver ativada, todos os usuários, exceto o administrador do sistema, deverão
fazer a autenticação com o servidor LDAP. Se a autenticação for desativada, os usuários que estão
configurados para autenticação LDAP não poderão acessar o sistema.
Configurar grupos de usuários
Grupos são compostos por usuários que herdam as configurações do grupo. Quando um grupo é
adicionado, os dispositivos, as políticas e os privilégios devem ser atribuídos.
190
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Backup e restauração das configurações do sistema
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Usuários e Grupos |
Adicionar.
2
Preencha as informações solicitadas em cada guia e clique em OK.
O grupo será adicionado à tabela Grupos na página Usuários e Grupos.
Adicionar um grupo com acesso limitado
Para restringir o acesso de usuários específicos a recursos do ESM, crie um grupo que inclua esses
usuários. Essa opção limita o acesso a alarmes, gerenciamento de casos, ELM, relatórios, listas de
observação, gerenciamento de ativos, editor de políticas, zonas, propriedades do sistema, filtros e a
barra de ferramenta de ações (consulte Trabalhar com usuários e grupos). Todos os outros recursos
são desativados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
2
Clique em Usuários e grupos e digite a senha do sistema.
3
Siga um destes procedimentos:
4
.
•
Se o grupo já estiver configurado, selecione-o na tabela Grupo e clique em Editar.
•
Se você estiver adicionando um grupo, clique em Adicionar ao lado da tabela Grupos, preencha o
nome e a descrição, e selecione os usuários.
Clique em Privilégios e selecione Limitar acesso deste grupo.
A maioria dos privilégios é desativada.
5
Na lista de privilégios restantes, selecione os privilégios que você deseja atribuir ao grupo.
6
Clique em cada guia e defina o resto das configurações do grupo.
Backup e restauração das configurações do sistema
Salve as configurações atuais do sistema de forma automática ou manual para que elas possam ser
restauradas em caso de falha do sistema ou perda de dados. Você também pode configurar e salvar as
configurações atuais em um ESM redundante.
Um backup padrão salva todas as configurações, incluindo as de política e de arquivos SNMP, de rede
e SSH. Ao adicionar um novo dispositivo ESM, Backup e restauração é ativado para fazer backup a cada 7
dias. Você pode fazer backup de eventos, fluxos e logs recebidos pelo sistema. O primeiro backup de
dados de evento, fluxo ou log salva somente os dados do início do dia atual. Os backups seguintes
salvam dados a partir do horário do último backup.
Se você fizer backup de eventos, fluxos ou logs no ESM, o espaço em disco do ESM será reduzido.
Recomendamos que você periodicamente faça download ou exclua arquivos de backup do ESM local.
Para restaurar o sistema, você pode selecionar um ou mais arquivos de backup do ESM, um
computador local ou um local remoto para reverter todas as suas configurações e seus dados a um
estado anterior. Ao executar essa função, todas as alterações realizadas nas configurações após a
McAfee Enterprise Security Manager 9.5.0
Guia de produto
191
3
Configuração do ESM
Backup e restauração das configurações do sistema
criação do backup são perdidas. Por exemplo, se você estiver executando um backup diário e desejar
restaurar os dados dos últimos três dias, selecione os três últimos arquivos de backup. Os eventos,
fluxos e registros dos três últimos arquivos de backup são adicionados aos que estão atualmente no
ESM. Todas as configurações são então substituídas pelas contidas no backup mais recente.
Fazer backup das configurações do ESM e dos dados do sistema
Existem várias maneiras de fazer backup dos dados do ESM. Quando um novo ESM é adicionado, a
opção Backup e restauração é ativada para fazer backup a cada sete dias. É possível desativá-la ou alterar
as configurações padrão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema |
Backup e restauração.
2
Defina as configurações de qualquer um destes itens:
3
•
Backup automático
•
Backup manual
•
ESM redundante
•
Restaurar o sistema para um backup anterior
Clique em OK para fechar a página Backup e restauração.
Consulte também
Restaurar configurações do ESM na página 192
Trabalhar com arquivos de backup no ESM na página 193
Restaurar configurações do ESM
Em caso de falha do sistema ou perda de dados, você pode restaurar o sistema para um estado
anterior selecionando um arquivo de backup.
Tarefa
Se o banco de dados contiver o máximo de registros permitidos e os registros sendo restaurados
estiverem fora da faixa dos dados atuais no ESM, os registros não serão restaurados. Para salvar e
acessar dados fora dessa faixa, você deve ter o arquivamento de partições inativas configurado
(consulte Configurar limites de retenção de dados).
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema |
Backup e restauração | Restaurar o backup.
2
Selecione o tipo de restauração que você precisa executar.
3
Selecione o arquivo que deseja restaurar ou insira as informações para o local remoto e clique em
OK.
A restauração de um backup pode levar muito tempo, com base no tamanho do arquivo de
restauração. O ESM permanecerá off-line até que toda a restauração seja concluída. Durante esse
tempo, o sistema tentará reconectar a cada 5 minutos. Quando o processo for concluído, a página
Login aparecerá.
192
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Backup e restauração das configurações do sistema
3
Consulte também
Configurar limites de retenção de dados na página 183
Restaurar arquivos de configuração com backup
Você pode restaurar o SSH, Rede, SNMP e outros arquivos de configuração cujo backup foi feito no
ESM para cada dispositivo.
Antes de iniciar
Faça backup dos arquivos de configuração no ESM (consulte Fazer backup das
configurações do ESM e dados do sistema).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades
.
Clique na opção Configuração do dispositivo, em Restaurar configuração e em Sim, na página de
confirmação.
Trabalhar com arquivos de backup no ESM
Os arquivos de backup que foram salvos no ESM podem ser obtidos por download, excluídos ou
exibidos. Você pode também fazer upload de arquivos e adicioná-los à lista de arquivos de backup.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo.
2
Na lista suspensa Selecionar tipo, selecione Arquivos de backup.
3
Selecione uma ação que deseja executar.
4
Clique em OK.
Consulte também
Fazer backup das configurações do ESM e dos dados do sistema na página 192
Gerenciar a manutenção do arquivo
O ESM armazena arquivos de backup, atualização de software, registro de alarme e registro de
relatório. Você pode fazer download, upload e remover arquivos de cada uma dessas listas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo.
2
No campo Selecionar tipo de arquivo, selecione Arquivos de backup, Arquivos de atualização do software, Arquivos de
registro do alarme ou Arquivos de relatório.
3
Selecione os arquivos e clique em uma das opções.
4
Clique em Aplicar ou OK.
Consulte também
Fazer backup das configurações do ESM e dos dados do sistema na página 192
McAfee Enterprise Security Manager 9.5.0
Guia de produto
193
3
Configuração do ESM
Backup e restauração das configurações do sistema
ESM redundante
O recurso de ESM redundante permite salvar as configurações atuais do ESM em ESM redundantes,
que podem ser convertidos no ESM primário caso haja uma falha no sistema ou perda de dados. Esse
recurso só está disponível para usuários com privilégios de administrador do sistema.
Quando um ESM redundante é configurado, as configurações e os dados de política do ESM primário
são automaticamente sincronizados a cada cinco minutos com o ESM redundante. Para configurar um
ESM redundante, é necessário definir as configurações do dispositivo redundante, que recebe as
configurações e os dados do dispositivo primário, e definir as configurações do dispositivo primário,
que envia as configurações e os dados de backup para o dispositivo redundante. O ESM redundante
deve ser configurado para que o ESM primário possa conectar-se a ele.
O recurso de redundância do ESM não está disponível em um dispositivo combinado ESMREC.
Configurar ESM redundantes
Para salvar suas configurações de sistema em um ESM redundante, você deve configurar cada ESM
para que eles se comuniquem entre si.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema |
Backup e restauração | Redundância.
2
No campo Tipo de ESM, verifique se a opção Primário está selecionada.
3
Insira as informações do ESM primário e selecione ou adicione ESMs redundantes.
É possível adicionar no máximo cinco ESMs redundantes.
4
Selecione o botão de seleção Redundante e digite o endereço IP do ESM primário e selecione a porta
SSH.
5
Clique em OK.
Você será avisado de que é necessário reiniciar o serviço, fazendo com que todos os usuários
percam a conexão com o ESM.
6
Clique em Sim para prosseguir com a sincronização.
Substituir um ESM redundante
Se um ESM redundante parar de funcionar, você pode substituí-lo por um novo.
Antes de iniciar
Adicione o novo ESM redundante ao sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
194
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações
do sistema está selecionada.
2
Clique em Backup e restauração | Redundância, selecione Primário e digite o novo endereço IP redundante
no campo Endereço IP do ESM redundante.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento do ESM
3
Selecione Redundante e certifique-se de que o endereço IP do ESM IP primário esteja correto.
4
Selecione Primário e clique em Conectar para verificar se os dois dispositivos estão se comunicando.
5
Selecione Sincronizar todo o ESM e clique em OK.
Gerenciamento do ESM
É possível executar várias operações para gerenciar o software, os logs, o certificado, os arquivos de
recurso e chaves de comunicação do ESM.
Guia
Opção
Definição
Configuração
Gerenciar logs
Configure os tipos de eventos que são registrados no log de eventos.
Hierarquia do ESM
Configure as opções de dados ao trabalhar com dispositivos ESM
hierárquicos.
Ocultação
Defina configurações globais para mascarar dados selecionados em
qualquer registro de alerta enviado no encaminhamento de evento ou
enviado para um ESM pai.
Registro em log
Envie eventos internos ao ELM para armazenamento. Esses dados
podem ser usados para auditoria.
Localidade do
sistema
Selecione o idioma do sistema a ser usado nos registros em log de
eventos, como monitor de integridade e log de dispositivo.
Mapa de nomes
Desmarque as portas e protocolos para que eles exibam números
brutos em vez de nomes. Por exemplo, se você desmarcar Porta de
origem ou Porta de destino, http:80 será exibido como 80. Se você
selecionar Protocolos, o número bruto 17 será exibido como udp.
Certificado
Instale um novo certificado SSL (Secure Socket Layer).
Gerar SSH
novamente
Gere novamente o par de chaves SSH públicas ou privadas para se
comunicar com todos os dispositivos.
Exportar todas as
chaves
Exporte as chaves de comunicação de todos os dispositivos do
sistema, em vez de exportar uma de cada vez.
Gerenciamento
de chaves
Restaurar todas as Restaure as chaves de comunicação de todos os dispositivos ou dos
chaves
dispositivos selecionados, que foram exportadas com a função Exportar
todas as chaves.
Manutenção
Atualizar ESM
Atualize o software ESM a partir de um servidor de regras e
atualizações da McAfee ou um engenheiro de segurança da McAfee.
Dados do ESM
Faça download de um arquivo .tgz que contenha as informações
relacionadas ao status do ESM. Esse status pode auxiliar o Suporte
da McAfee a solucionar problemas.
Gerenciador de
tarefas
Exiba as consultas em execução no ESM e as interrompa, se
necessário.
Encerrar
Encerre o ESM. Você é avisado de que essa ação faz com que todos
os usuários percam a comunicação com o ESM.
Reinicializar
Interrompa e reinicie o ESM. Você é avisado de que essa ação faz
com que todos os usuários percam a comunicação com o ESM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
195
3
Configuração do ESM
Gerenciamento do ESM
Guia
Opção
Definição
Terminal
Esse recurso se destina somente a usuários avançados.
Insira comandos do Linux no ESM. O terminal é somente um
emulador de modo de lote parcial e nem todos os comandos estão
disponíveis.
• O terminal não mantém um diretório de trabalho atual.
• Não é possível usar o comando cd para ir para outro diretório.
• Devem ser usados nomes de caminho completo.
• Os operadores > ou >> não funcionam; todos os resultados são
retornados para a tela.
Obter recursos
Se você comprou recursos adicionais, ative-os no ESM fazendo
download de um arquivo criptografado que contém informações sobre
os recursos que são atualmente compatíveis com o ESM.
Configurar
recursos
Instale o arquivo obtido por download com a opção Obter recursos.
Conectar
Ao ligar para obter suporte, conceda acesso ao suporte da McAfee ao
seu sistema.
Essa opção não está em conformidade com o FIPS e não fica
disponível em operações no modo FIPS.
Exibir estatísticas
Acesse as informações a seguir para qualquer dispositivo ESM:
• Estatísticas de utilização do espaço de troca e da memória.
• Utilização de CPU.
• Atividade de alternância de sistemas.
• Estatísticas de taxa de transferência e entrada/saída.
• Médias de carga e tamanho da fila.
Consulte também
Acessar um dispositivo remoto na página 200
Gerar chave SSH novamente na página 198
Gerenciar destinatários na página 166
Tipos de eventos na página 197
Gerenciar registros na página 196
Instalar um novo certificado na página 174
Configurar o registro do ESM na página 198
Mascarar endereços IP na página 197
Exportar e restaurar chaves de comunicação na página 198
Comandos do Linux disponíveis na página 201
Usar comandos do Linux na página 201
Gerenciar registros
São vários os tipos de eventos gerados no ESM. Você pode selecionar aqueles que deseja salvar no
registro de eventos.
196
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento do ESM
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Clique em Gerenciar registros e selecione os tipos de evento que deseja registrar.
3
Clique em OK.
Tipos de eventos
Estes são os tipos de registro de eventos gerados no ESM.
Tipo de evento
Eventos registrados
Autenticação
Login, logout e alterações na conta de usuário.
Para estar em conformidade com as normas FIPS, o Modo de autenticação está
sempre definido como Nenhum.
Backup
Processo de backup de banco de dados.
Lista negra
As entradas da lista negra enviadas ao dispositivo.
Dispositivo
Quaisquer alterações no dispositivo ou comunicações dele, como obter
eventos, fluxos e registros.
Encaminhamento de evento Alterações ou erros no encaminhamento de evento.
Monitor de integridade
Eventos de status do dispositivo.
Notificações
Alterações ou erros de notificação.
Política
Gerenciamento e aplicação de políticas.
Servidor de regras
Download e validação de regras obtidas por download do servidor de regras.
No modo FIPS, as regras não devem ser atualizadas através do servidor de
regras.
Sistema
Alterações na configuração do sistema e registro de sobreposição de tabela.
Exibições
Alterações nas exibições e consultas.
Mascarar endereços IP
Você pode optar por mascarar dados específicos em registros de eventos enviados no
encaminhamento de evento ou a um ESM pai.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de ESM |
Hierarquia do ESM.
2
Selecione Ocultar nos ESMs cujos dados você deseja mascarar.
A página Seleção de campos de ocultação é aberta.
3
Selecione os campos que deseja mascarar.
4
Clique em OK.
Após essa configuração, se um ESM pai solicitar um pacote de um ESM filho, os dados selecionados
serão mascarados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
197
3
Configuração do ESM
Gerenciamento do ESM
Configurar o registro do ESM
Se houver um dispositivo ELM no sistema, você poderá configurar o ESM de forma que os dados do
evento interno que ele gera sejam enviados ao dispositivo ELM. Para isso, é necessário configurar a
lista de registro padrão.
Antes de iniciar
Adicione um dispositivo ELM ao sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Configuração, clique em Registro.
3
Faça as seleções solicitadas e clique em OK.
Alterar o idioma dos registros de eventos
Quando você efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registros
de eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos.
Você pode alterar essa configuração de idioma.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Gerenciamento de ESM.
2
Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK.
Exportar e restaurar chaves de comunicação
Exporte as chaves de comunicação de todos os dispositivos do sistema para um único arquivo. Uma
vez exportadas as chaves de comunicação, você poderá restaurá-las quando precisar.
•
Na árvore de navegação do sistema, selecione Propriedades do sistema | Gerenciamento de ESMe clique na
guia Gerenciamento de chaves.
Para...
Faça isto...
Exportar todas as
chaves de
comunicação
1 Clique em Exportar todas as chaves.
2 Defina a senha para o arquivo de chaves e clique em OK.
3 Selecione o local de salvamento do arquivo e clique em Salvar.
Restaurar todas as
chaves de
comunicação
1 Clique em Restaurar todas as chaves.
2 Localize o arquivo que você configurou quando exportou as chaves e
clique em Abrir.
3 Clique em Fazer upload e digite a senha definida.
4 Selecione os dispositivos que precisam ser restaurados e clique em OK.
Gerar chave SSH novamente
Gere novamente o par de chaves SSH pública ou privada para se comunicar com todos os dispositivos.
198
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
Gerenciamento do ESM
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Gerenciamento de chaves, clique em Gerar SSH novamente.
Você é avisado que a nova chave substitui a antiga.
3
Clique em Sim.
Quando a chave é gerada novamente, ela substitui o par de chaves antigo em todos os dispositivos
gerenciados pelo ESM.
Gerenciador de tarefas de consulta
Se você tiver direitos de administrador ou de mestre, poderá acessar o Gerenciador de tarefas, que exibe a
lista de consultas em execução no ESM. A partir dali, você poderá fechar consultas específicas se elas
afetarem o desempenho do sistema. Consultas de longa data têm maior possibilidade de afetar o
desempenho.
A tentativa desse recurso é solucionar problemas de tempo de execução do ESM, e não fechar
consultas. Use esse recurso com assistência do suporte da McAfee.
As características do gerenciador de tarefas são:
•
É possível fechar relatório, exibir, adicionar à lista de observação, executar e exportar, executar
alarme e consultas de API externas no sistema. Não é possível fechar consultas do sistema.
•
Quando você clica em uma consulta, os detalhes são exibidos na área Detalhes da consulta.
•
Por padrão, a lista é atualizada automaticamente a cada cinco segundos. Se você selecionar uma
consulta e a lista for atualizada automaticamente, ela permanecerá selecionada e os detalhes serão
atualizados. Se a consulta estiver concluída, ela não aparecerá mais na lista.
•
Caso não deseje que a lista seja atualizada automaticamente, cancele a seleção de Atualizar lista
automaticamente.
•
Para exibir as tarefas do sistema, que são tarefas ainda não identificadas, cancele a seleção de
Ocultar tarefas do sistema.
•
É possível classificar as colunas da tabela.
•
É possível selecionar e copiar os dados na área Detalhes da consulta.
•
Se for possível fechar uma consulta, ela terá um ícone de exclusão
você clica nele, uma caixa de seleção solicita confirmação.
na última coluna. Quando
Gerenciar consultas em execução no ESM
O Gerenciador de tarefas exibe uma lista de consultas que estão em execução no ESM. É possível exibir seu
status e excluir qualquer uma que afete o desempenho do sistema.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
199
3
Configuração do ESM
Gerenciamento do ESM
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Gerenciamento de ESM, clique na guia Manutenção e, em seguida, clique em Gerenciador de tarefas.
3
Revise e tome medidas em relação à lista de consultas em execução.
Atualizar ESM primário ou redundante
Se você estiver atualizando um ESM primário ou redundante, siga estas etapas específicas para evitar
a perda do evento, do fluxo e dos dados de log.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Desative a coleta de alertas, fluxos e logs.
a
Na árvore de navegação de sistemas, selecione Informações do sistema e clique em Eventos, fluxos e
registros.
b
Desmarque a opção Verificação automática a cada.
2
Atualize o ESM primário.
3
Atualize o ESM redundante. Isso levará mais tempo se houver arquivos de redundância para
processar.
4
Ative a coleta de alertas, fluxos e logs selecionando a opção Verificação automática a cada mais uma vez.
Se houver falha na atualização, consulte Atualizar para a versão 9.3.
Acessar um dispositivo remoto
Se um dispositivo for configurado em um local remoto, use a opção Terminal e execute comandos do
Linux para ver o dispositivo. Esse recurso é destinado a usuários avançados e deve ser usado sob a
supervisão do pessoal do suporte da McAfee em situações de emergência.
Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Manutenção, clique em Terminal.
3
Insira a senha do sistema e clique em OK.
4
Insira os comandos do Linux, conforme o necessário, e exporte para salvar o conteúdo em um
arquivo.
A exportação não inclui resultados que foram limpos da página Terminal durante a sessão de terminal
atual.
5
200
Clique em Fechar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
Gerenciamento do ESM
3
Consulte também
Comandos do Linux disponíveis na página 201
Usar comandos do Linux
Você pode usar a opção Terminal para inserir comandos do Linux no ESM. Esse recurso se destina a
usuários avançados. Use-o somente sob orientação do suporte da McAfee em caso de emergência.
Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Clique na guia Manutenção, clique em Terminal, digite a senha do sistema e clique em OK.
3
Digite os comandos do Linux (consulte Comandos do Linux disponíveis).
4
Clique em Limpar para excluir o conteúdo da página, se necessário.
5
(Opcional) Clique em Exportar para salvar o conteúdo em um arquivo.
A exportação não inclui resultados que foram limpos da página de terminal durante a sessão de
terminal atual.
Comandos do Linux disponíveis
Estes são os comandos disponíveis na página Terminal:
Comandos da página Terminal
•
getstatsdata
•
echo
•
ps
•
date
•
grep
•
ethtool
•
ifconfig
•
df
•
kill
•
tar
•
sensors
•
netstat
•
service
•
sar
•
cat
•
tail
•
rm
•
locate
•
iptables
•
tcpdump -c -w
•
updatedb
•
ip6tables
•
cp
Estes são os comandos disponíveis que são modificados antes da execução:
Esse comando...
Alterado para...
II
ll--classify
ping
ping -c 1
McAfee Enterprise Security Manager 9.5.0
Guia de produto
201
3
Configuração do ESM
Uso de uma lista negra global
Esse comando...
Alterado para...
ls
ls--classify
top
top -b -n 1
ping6
ping6 -c 1
Para obter informações sobre o comando getstatsdata, consulte Reunir dados estatísticos para
solucionar problemas no Apêndice D. Para obter informações sobre todos os outros comandos,
consulte http://www.linuxmanpages.com.
Uso de uma lista negra global
Uma lista negra é um meio de bloquear o tráfego quando flui por um IPS do Nitro ou dispositivo
virtual antes de ser analisado pelo mecanismo de inspeção de pacote detalhada.
Você pode usar a opção Lista negra do IPS do Nitro para configurar uma lista negra de dispositivos
individuais do IPS do Nitro no ESM. Com a Lista negra global, você pode configurar uma lista negra que se
aplique a todos os dispositivos IPS do Nitro gerenciados pelo ESM. Esse recurso permite somente
entradas permanentes de lista negra. Para configurar entradas temporárias, use a opção Lista negra do
IPS do Nitro.
Cada dispositivo IPS do Nitro e virtual pode usar a lista negra global. O recurso fica desativado em
todos os dispositivos até você ativá-lo.
A página Editor de lista negra global inclui três guias:
•
Origens bloqueadas — Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo.
•
Destinos bloqueados — Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo.
•
Exclusões — Fornece imunidade de ser automaticamente adicionado a qualquer uma das listas
negras. Os endereços IP críticos (por exemplo, DNS e outros servidores ou estações de trabalho
dos administradores de sistema) podem ser adicionados às exclusões para garantir que nunca
sejam colocados automaticamente na lista negra, independentemente dos eventos que eles
possam gerar.
As entradas em Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o efeito da
lista negra em uma porta de destino específica.
Ao adicionar entradas:
202
•
Adicionar é ativada quando você altera o endereço IP ou a porta.
•
As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na
lista negra todas as portas ou uma porta específica.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
O que é enriquecimento de dados
•
As entradas que usam um intervalo mascarado de endereços IP devem ser configuradas com a
porta definida como qualquer (0) e a duração deve ser permanente.
•
Embora essas listas requeiram o formato de endereço IP, existem algumas ferramentas incluídas
que ajudam a aumentar o significado desses endereços. Depois de digitar um endereço IP ou o
nome do host no campo Endereço IP, o botão ao lado desse controle terá as opções Resolver ou
Pesquisar com base no valor inserido. Se ele informar Resolver, clique nele para resolver o nome do
host inserido, preencher o campo Endereço IP com essas informações e mover o nome do host para o
campo Descrição. Caso contrário, se você clicar em Pesquisar, será realizada uma pesquisa do
endereço IP e o campo Descrição será preenchido com os resultados dessa pesquisa.
Alguns sites têm mais de um endereço IP ou têm endereços IP que nem sempre são iguais. Não
dependa desta ferramenta para garantir o bloqueio de alguns sites.
Configurar uma lista negra global
Configure uma lista negra global que seja comum a todos os dispositivos selecionados, para não
precisar inserir as mesmas informações em vários dispositivos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Lista negra global.
2
Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões e gerencie as entradas da lista
negra.
3
Selecione os dispositivos que devem usar a lista negra global.
4
Clique em Aplicar ou OK.
O que é enriquecimento de dados
Você pode enriquecer eventos enviados pela origem de dados upstream com contexto que não seja o
do evento original (como um endereço de e-mail, número de telefone ou informações de localização
do host). Esses dados enriquecidos se tornam parte do evento analisado e são armazenados com o
evento exatamente como ocorre com os campos originais.
Defina origens de enriquecimento de dados definindo como se conectar ao seu banco de dados e
acessar uma ou duas colunas de tabela no banco de dados. Defina os dispositivos que receberão os
dados e como enriquecer esses dados, tanto de eventos como de fluxos.
Você também pode editar ou remover origens de enriquecimento de dados, assim como executar uma
consulta na página Enriquecimento de dados. Para fazer isso, selecione a origem e clique em Editar, Remover
ou em Executar agora.
Eventos disparados no ESM não são enriquecidos. A aquisição de dados acontece no ESM, não nos
dispositivos.
Há um conector para a origem de dados relacionais em Hadoop HBase que usa os pares de
chave-valor da origem para enriquecimento. É possível efetuar pull do mapeamento de identidade no
HBase para um Receiver regularmente para enriquecer eventos.
Adicionar origens de enriquecimento de dados
Adicione uma origem de enriquecimento de dados e defina os dispositivos que receberão os dados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
203
3
Configuração do ESM
O que é enriquecimento de dados
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados
| Adicionar.
Guias e campos no Assistente de enriquecimento de dados variam com base no tipo de enriquecimento
selecionado.
2
Em cada uma das guias, preencha os campos e clique em Avançar.
3
Clique em Finalizar e clique em Gravar.
4
Selecione os dispositivos nos quais deseja gravar as regras de enriquecimento de dados e clique
em OK.
Configurar enriquecimento de dados no McAfee Real Time for
McAfee ePO
™
Ao selecionar a origem do McAfee Real Time for McAfee ePO no Assistente de enriquecimento de dados, você
pode testar sua consulta e escolher as colunas para Pesquisa e Enriquecimento
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Enriquecimento de dados, depois clique em Adicionar e preencha as informações na guia
Principal.
3
Na guia Origem, selecione Real Time for ePO no campo Tipo, selecione o dispositivo e clique na guia
Consulta.
4
Adicione as informações solicitadas e clique em Testar.
Se a consulta não gerar as informações necessários, faça ajustes nas configurações.
Adicione uma origem de enriquecimento de dados Hadoop
HBase
Efetue pull do mapeamento da identidade de HBase por meio de um Receptor para enriquecer eventos
adicionando Hadoop HBase como origem de enriquecimento de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
204
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados.
2
No Assistente de enriquecimento de dados, preencha os campos na guia Principal e clique na guia Origem.
3
No campo Tipo, selecione Hadoop HBase (REST) e digite o nome de host, a porta e o nome da tabela.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
3
Configuração do ESM
O que é enriquecimento de dados
4
Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta:
a
Formate a Coluna de pesquisa como columnFamily:columnName
b
Preencha a consulta com um filtro de mecanismo de varredura, onde os valores são codificados
por Base64. Por exemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
Preencha as informações nas guias Pontuação e Destino.
Adicionar origem de enriquecimento de dados Hadoop Pig
Você pode aproveitar os resultados da consulta do Apache Pig para enriquecer eventos do Hadoop Pig.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema.
2
Clique em Enriquecimento de dados e em Adicionar.
3
Na guia Principal , preencha os campos e clique na guia Origem. No campo Tipo, selecione Hadoop Pig e
preencha com o Host do Namenode, Porta do Namenode, Host do Jobtracker e Porta do Jobtracker.
As informações do Jobtracker não são obrigatórias. Se as informações do Jobtracker estiverem em
branco, a porta e host do NodeName serão usados como padrão.
4
Na guia Consulta, selecione o modo Básico e preencha com estas informações:
a
Em Tipo, selecione arquivo de texto e insira o caminho do arquivo no campo Origem (por exemplo, /
usuário/padrão/arquivo.csv). Ou selecione Banco de dados de hive e insira uma tabela do
HCatalog (por exemplo, amostra_07).
b
Em Colunas, indique como enriquecer os dados da coluna.
Por exemplo, se o arquivo de texto contiver informações sobre funcionários com colunas como
CPF, nome, sexo, endereço e número de telefone, insira o texto a seguir no campo Colunas:
func_Nome:2, func_telefone:5. Para o banco de dados de Hive, use os nomes de coluna na
tabela do HCatalog.
c
Em Filtrar, você pode usar qualquer expressão incorporada do Apache Pig para filtrar dados.
Consulte a documentação do Apache Pig.
d
Se tiver definido os valores de coluna acima, você poderá agrupar e agregar os dados dessa
coluna. As informações de origem e coluna são obrigatórias. Outros campos podem ficar em
branco. O uso de funções de agregação requer a especificação de grupos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
205
3
Configuração do ESM
O que é enriquecimento de dados
5
Na tabela Consulta, selecione o modo Avançado e insira um script do Apache Pig.
6
Na guia Pontuação, defina a pontuação de cada valor retornado da consulta de uma única coluna.
7
Na tabela Destino, selecione os dispositivos a que você deseja aplicar o enriquecimento.
Adicionar enriquecimento de dados do Active Directory para
nomes do usuário
Você pode aproveitar o Microsoft Active Directory para preencher eventos do Windows com os nomes
de exibição de usuário completos.
Antes de iniciar
Verifique se você tem o privilégio de Gerenciamento de sistemas.
Para obter definições de opções, clique em ? na interface.
Tarefa
1
Na árvore de navegação do sistema, selecione Propriedades do sistema.
2
Clique em Enriquecimento de dados e em Adicionar.
3
Na guia Principal, insira um Nome para enriquecimento descritivo no formato Nome_Completo_Da_ID
de_Usuário.
4
Defina Tipo de pesquisa e Tipo de enriquecimento como Cadeia.
5
Defina Frequência de pull como diariamente, a não ser que o Active Directory seja atualizado com mais
frequência.
6
Clique em Avançar ou na guia Origem.
7
8
a
No campo Tipo, selecione LDAP.
b
Preencha o endereço IP, nome do usuário e senha.
Clique em Avançar ou na guia Consulta.
a
No campo Atributo de pesquisa, insira sAMAccountName.
b
No campo Atributo de enriquecimento, insira displayName.
c
Em Consulta, insira (objectClass=person) para retornar uma lista com todos os objetos
classificados como pessoa no Active Directory.
d
Teste a consulta, que retorna no máximo cinco valores, independentemente do número real de
entradas.
Clique em Avançar ou na guia Destino.
a
Clique em Adicionar.
b
Selecione a origem de dados do Microsoft Windows.
c
Em Campo de pesquisa, selecione o campo Usuário de origem.
Esse campo é o valor que existe no evento, que é usado como índice da pesquisa.
d
206
Selecione o Campo de enriquecimento, em que o valor do enriquecimento é gravado no formato
Apelido_do_Usuário ou Nome_do_Contato.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Configuração do ESM
O que é enriquecimento de dados
9
3
Clique em Concluir para salvar.
10 Após gravar as configurações de enriquecimento nos dispositivos, clique em Executar agora para
recuperar os valores de enriquecimento da origem de dados até que o valor Hora de gatilho diário
ocorra.
O Nome completo é gravado no campo Contact_name (Nome do contato).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
207
3
Configuração do ESM
O que é enriquecimento de dados
208
McAfee Enterprise Security Manager 9.5.0
Guia de produto
4
Gerenciamento de "ciberameaças"
O McAfee ESM permite que você recupere indicadores de comprometimento (IOC) de origens remotas
e acesse rapidamente atividades de IOC relacionadas no seu ambiente.
O gerenciamento de "ciberameaças" permite que você instale feeds automáticos que geram listas de
observação, alarmes e relatórios, e, dessa forma, veja dados acionáveis. Por exemplo, você pode
instalar um feed que adicione automaticamente endereços IP suspeitos a listas de observação para
monitorar o tráfego futuro. Esse feed pode gerar e enviar relatórios que indiquem atividades
anteriores. Use as exibições Exibições de fluxo de trabalho de evento > Indicadores de Cyber Threat para fazer busca
detalhada de eventos específicos e atividades no seu ambiente rapidamente.
Conteúdo
Configurar gerenciamento de “ciberameaça”
Exibir resultados de feeds de ciberameaças
Configurar gerenciamento de “ciberameaça”
Configurar feeds para recuperar indicadores de comprometimento (IOC) de origens remotas. Você
pode usar esses feeds para gerar listas de observação, alarmes e relatórios que permitem aos
usuários acessar atividades de IOC relacionadas no seu ambiente.
Antes de iniciar
Verifique se você tem as seguintes permissões:
•
Gerenciamento de Cyber Threat – Permite ao usuário configurar um feed de
“ciberameaça".
•
Usuário de Cyber Threat – Permite ao usuário exibir os dados gerados pelo feed.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique em Propriedades do sistema.
2
Clique em Feeds de Cyber Threat e em Adicionar.
3
Na guia Principal , insira o nome do feed.
4
Na guia Origem , selecione o tipo de dados da origem e suas credenciais de conexão. Clique em
Conectar para testar a conexão.
As origens compatíveis são o McAfee Advanced Threat Defense e o Threat Information Exchange
(TAXII) da MITRE.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
209
4
Gerenciamento de "ciberameaças"
Exibir resultados de feeds de ciberameaças
5
Na guia Frequência , identifique com que frequência o feed efetua pull nos arquivos IOC (frequência
do pull). As frequências de pull disponíveis são: a cada x minutos, diariamente, a cada hora,
semanalmente ou mensalmente. Especifique a hora de gatilho diário.
6
Na guia Lista de observação, selecione qual propriedade ou campo em um arquivo IOC será anexado a
uma lista de observação existente. Você pode adicionar listas de observação para qualquer
propriedade ou campo compatível.
Se a lista de observação de que você precisa ainda não existir, clique em Criar nova lista de observação.
7
Na guia Backtrace, identifique quais eventos (padrão) e fluxos serão analisados, relacionando dados
para analisar, e a partir de quando os dados serão analisados neste feed.
a
Escolha analisar eventos, fluxos ou os dois.
b
Indique a partir de quando (em dias) os eventos e fluxos serão analisados.
c
Especifique qual ação você deseja que o ESM realize se o backtrace encontrar uma
correspondência de dados.
d
Para alarmes, selecione um responsável e gravidade.
8
Retorne à guia Principal e selecione Ativado para ativar esse feed.
9
Clique em Concluir.
Consulte também
Exibir resultados de feeds de ciberameaças na página 210
Exibir resultados de feeds de ciberameaças
Exiba indicadores de comprometimento (IOC) de origens de dados externas, identificados pelos feeds
de ciberameaças da sua organização. Faça uma busca rapidamente nos detalhes da ameaça,
descrições de arquivos e eventos correspondentes para cada origem de indicador.
Antes de iniciar
Verifique se você tem a permissão de Usuário de Cyber Threat, que permite exibir os
resultados de feeds de ciberameaça da sua organização.
Tarefa
Para obter definições de opções, clique em ? na interface.
210
1
No console do ESM, Resumo padrão, selecione Exibições de fluxo de trabalho de evento | Indicadores de Cyber Threat.
2
Escolha o período da exibição.
3
Filtre por nome de feed ou tipos de dados IOC compatíveis.
4
Realize qualquer ação de exibição padrão, como:
•
Criar ou anexar a uma lista de observação.
•
Criar um alarme.
•
Executar um comando remoto.
•
Criar um caso.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de "ciberameaças"
Exibir resultados de feeds de ciberameaças
5
•
Verificar ou fazer última verificação.
•
Exportar o indicador para um arquivo CSV ou HTML.
4
Faça uma busca detalhada usando as guias Descrição, Detalhes, Eventos de origem e Fluxos de origem.
Consulte também
Configurar gerenciamento de “ciberameaça” na página 209
McAfee Enterprise Security Manager 9.5.0
Guia de produto
211
4
Gerenciamento de "ciberameaças"
Exibir resultados de feeds de ciberameaças
212
McAfee Enterprise Security Manager 9.5.0
Guia de produto
5
Trabalho com pacotes de conteúdo
Quando ocorrer uma situação de ameaça específica, responda imediatamente importando e instalando
o pacote de conteúdo relevante do servidor de regras. Os pacotes de conteúdo contêm regras de
correlação orientadas por caso de uso, alarmes, exibições, relatórios, variáveis e listas de observação
para enfrentar atividade específica de ameaça ou malware. Os pacotes de conteúdo permitem
responder às ameaças sem perder tempo criando ferramentas do zero.
Importar pacotes de conteúdo
A McAfee cria pacotes de conteúdo orientado por caso de uso, completos com listas de observação,
variáveis, relatórios, exibições, alarmes ou regras de correlação para enfrentar atividade de malware
específica.
Antes de iniciar
Verifique se você tem as seguintes permissões:
•
Gerenciamento de sistemas
•
Administração de usuários
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Verificar atualizações de regras na página 23
Usuários online recebem pacotes de conteúdo disponíveis automaticamente como parte das
atualizações de regras. Os usuários offline devem fazer download e importar pacotes de conteúdo
individuais manualmente no site de hospedagem de regras.
2
Na árvore de navegação do sistema, clique em Propriedades do sistema.
3
Clique em Pacotes de conteúdo.
4
Para importar e instalar um novo pacote de conteúdo, clique em Procurar.
A verificação de atualizações de regras faz download automaticamente de todos os pacotes de
conteúdo novos ou atualizados.
a
Clique em Importar e navegue até o arquivo do pacote de conteúdo que você deseja importar.
b
Clique em Fazer upload.
Uma mensagem indicará o status da importação.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
213
5
Trabalho com pacotes de conteúdo
Importar pacotes de conteúdo
5
c
Clique no pacote de conteúdo para revisar os detalhes do que está incluído no pacote.
d
Selecione o pacote desejado e a opção de instalar esse pacote de conteúdo.
Para atualizar ou desinstalar um pacote de contato existente, marque o pacote desejado e clique
em Atualizar ou Desinstalar.
Tenha cuidado ao atualizar pacotes de conteúdo existentes. Se você tiver personalizado
anteriormente alguns elementos de pacote de conteúdo, a atualização poderá sobrescrever esses
elementos personalizados.
6
214
Para desinstalar um pacote de conteúdo existente, marque o pacote desejado e clique em
Desinstalar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Conteúdo
Como os alarmes do ESM funcionam
Criar um alarme
Ativar ou desativar o monitoramento de alarmes
Resumo personalizado para casos e alarmes disparados
Gerenciar modelos de mensagem de alarme
Gerenciar arquivos de áudio de alarme
Gerenciar destinatários de alarme
Gerenciar alarmes
Como os alarmes do ESM funcionam
Você pode configurar o sistema para fornecer alarmes em tempo real.
Quando um alarme é disparado, ele é automaticamente adicionado ao registro Alarmes, localizado na
árvore de navegação do sistema, bem como à Exibição de alarmes disparados. Além disso, pode configurar
uma ação de alarme para:
•
Registrar um evento no ESM
•
Fornecer um alerta visual e audível.
•
Criar um caso para uma pessoa ou grupo específico.
•
Executar um script.
•
Atualizar uma lista de observação.
•
Enviar um evento ao Remedy.
•
Enviar um texto ou e-mail.
O painel de log Alarmes mostra o número total de alarmes atualmente listados, por gravidade:
Símbolo
Gravidade
Intervalo
alta
66 a 100
média
33 a 65
baixa
1 a 32
Depois que um alarme é adicionado, ele começa a ser disparado assim que as condições são
atendidas. Se você definir a opção Frequência máxima do gatilho de condição como 15 minutos, o primeiro
alarme dispara quando o número de eventos especificado no campo Contagem de eventos ocorrer dentro
de 15 minutos. Os eventos que surgem nos primeiros 15 minutos não disparam o alarme.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
215
6
Trabalho com alarmes
Criar um alarme
Você pode reconhecer, excluir e exibir os detalhes de todos os alarmes disparados. Quando você
reconhece um alarme disparado, ele não aparece mais no registro Alarmes, mas continua listado na
exibição Alarmes disparados. Quando você exclui um alarme, ele é removido do registro Alarmes e também
da exibição Alarmes disparados.
Se você selecionar a ação Alerta visual na página Configurações de alarme, o alerta visual fechará após 30
segundos caso ele não seja fechado, reconhecido ou excluído. O alerta de áudio selecionado por você
é reproduzido até que você feche, reconheça ou exclua o alerta visual ou clique no ícone de áudio para
interromper o alerta de áudio.
Você pode selecionar se o painel de log Alarmes será mostrado na página Opções (consulte Selecionar
configurações de usuário).
Consulte também
Selecione configurações do usuário na página 29
Criar um alarme
Adicione um alarme para que seja disparado quando houver a conformidade com as condições
definidas por você.
Antes de iniciar
Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com o
privilégio Gerenciamento de alarme.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes | Adicionar.
2
Preencha as informações nas guias Resumo, Condição, Ações e Escalonamento.
Consulte Alarmes UCAPL para obter uma lista e a descrição dos alarmes para que os requisitos de
UCAPL (Unified Capabilities Approved Products List) sejam atendidos.
3
Clique em Finalizar.
O alarme é adicionado à lista na página Alarmes e será disparado quando suas condições forem
atendidas.
216
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Tarefas
•
Configure um alarme de correlação para incluir eventos de origem na página 219
Se você adicionar marcas ao alarme Correspondência de evento interna que usa uma correlação de
evento como a correspondência, as informações dos eventos de origem serão incluídas nos
resultados.
•
Adicionar um alarme de Correspondência de campos na página 219
Um alarme de Correspondência de campos faz a correspondência com vários campos de um
evento e dispara assim que o dispositivo recebe e analisa o evento.
•
Adicionar um alarme às regras na página 220
Para ser notificado quando os eventos forem gerados por regras específicas, você poderá
adicionar um alarme a essas regras.
•
Criar uma interceptação SNMP como ação em um alarme na página 175
É possível enviar interceptações SNMP como ação em um alarme.
•
Adicionar um alarme de notificação de queda de energia na página 176
Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM
falhar.
•
Adicionar um alarme de evento do monitor de integridade na página 222
As regras do monitor de integridade geram eventos que aparecem em um dispositivo de
base na árvore de navegação do sistema.
•
Copiar um alarme na página 231
Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme
com um nome diferente.
Alarmes UCAPL
É possível adicionar vários tipos de alarme para atender aos requisitos da UCAPL.
Consulte Criar um alarme para definir as configurações gerais de alarme e siga as etapas desta tabela.
Tipo de alarme
Descrição
Limite ajustável de
falha no login
atingido
Para disparar um alarme quando um limite ajustável é atingido em função de
várias falhas no login do mesmo usuário, crie a correspondência de alarme
Correspondência de evento interna em ID de assinatura e insira o valor 306-36.
Limite de inatividade Para disparar um alarme quando uma conta de usuário é bloqueada por ter
atingido
atingido o limite de inatividade, crie uma correspondência de alarme
Correspondência de evento interna em ID de assinatura e insira o valor 306-35.
Sessões simultâneas Para disparar um alarme quando um usuário tenta efetuar logon no sistema
permitidas atingidas depois de atingir o número permitido de sessões simultâneas, crie uma
correspondência de alarme Correspondência de evento interna em ID de assinatura e
insira o valor 306-37.
Falha na verificação
de integridade do
arquivo do sistema
Para disparar um alarme em caso de falha na verificação de integridade do
arquivo do sistema, crie uma correspondência de alarme Correspondência de evento
interna em ID de assinatura e insira o valor 306-50085.
Os certificados estão Para disparar um alarme quando os certificados do servidor Web ou do CAC
prestes a expirar
(Common Access Card) estão prestes a expirar, crie uma correspondência de
alarme Correspondência de evento interna em ID de assinatura e insira o valor
306-50081, 306-50082, 306-50083, 306-50084.
O alarme disparará 60 dias antes da expiração e, depois, semanalmente. O
número de dias não pode ser configurado nesse momento.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
217
6
Trabalho com alarmes
Criar um alarme
Tipo de alarme
Descrição
Interceptação SNMP
enviada quando o
estado do sistema
não é aprovado
Para configurar uma interceptação SNMP como uma ação de alarme, para que
a interceptação seja enviada ao NMS quando ele detectar que o sistema não
está mais operando em estado aprovado ou seguro, faça o seguinte:
1 Crie uma correspondência de alarme em qualquer condição, vá para a guia
Ações e selecione Enviar mensagem.
2 Clique em Adicionar destinatários | SNMP, selecione o destinatário e clique em OK.
3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em
Adicionar.
4 Selecione Modelo SNMP no campo Tipo, insira o texto da mensagem e clique em
OK.
5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.
6 Conclua o restante das configurações de alarme.
Mensagem de Syslog Para configurar uma mensagem do syslog como uma ação de alarme, para que
enviada quando o
a mensagem seja enviada ao NMS quando ele detectar que o sistema não está
estado do sistema
mais operando em estado aprovado ou seguro, faça o seguinte:
não é aprovado
1 Crie uma correspondência de alarme em qualquer condição, vá para a guia
Ações e selecione Enviar mensagem.
2 Clique em Adicionar destinatários | Syslog, selecione o destinatário e clique em OK.
3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em
Adicionar.
4 Selecione Modelo de syslog no campo Tipo, insira o texto da mensagem e clique
em OK.
5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.
6 Conclua o restante das configurações de alarme.
Falhas no log de
segurança ao
registrar eventos
necessários
Para configurar o envio de uma interceptação SNMP para notificar uma central
de operações de rede (NOC) apropriada em até 30 segundos, se o log de
segurança não puder registrar os eventos necessários, faça o seguinte:
1 Ir para Propriedades do sistema | Configuração de SNMP | Interceptações SNMPou
Propriedades do dispositivo | Configuração do dispositivo | SNMP.
2 Selecione a interceptação da falha de log de segurança, configure um ou
mais perfis para o envio das interceptações e clique em Aplicar.
As interceptações SNMP são enviadas para o destinatário do perfil SNMP com a
mensagem "Falha ao gravar no log de segurança".
218
Início ou
encerramento de
funções de auditoria
Para configurar uma interceptação SNMP a ser enviada quando as funções de
auditoria (como banco de dados, cpservice, IPSDBServer) forem iniciadas ou
encerradas, acesse Interceptações SNMP ou Configurações de SNMP (consulte o item
anterior) e selecione Interceptações de banco de dados ativadas/desativadas. Configure
um ou mais perfis para o envio das interceptações e clique em Aplicar.
Existe uma sessão
para cada função
administrativa
Para disparar um alarme quando existir uma sessão administrativa para cada
uma das funções administrativas definidas, crie uma correspondência de
alarme de Correspondência de evento interna em ID de assinatura e insira os valores
306‑38 para Administrador de auditoria, 306‑39 para Administrador de
criptografia e 306‑40 para Usuário avançado. Além disso, é possível configurar
alarmes separados.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Consulte também
Criar um alarme na página 216
Configure um alarme de correlação para incluir eventos de
origem
Se você adicionar marcas ao alarme Correspondência de evento interna que usa uma correlação de evento
como a correspondência, as informações dos eventos de origem serão incluídas nos resultados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Alarmes, clique na guia Configurações e, em seguida, clique em Modelos.
3
Na página Gerenciamento de modelos, clique em Adicionar e preencha as informações necessárias.
4
Na seção Corpo da mensagem, coloque o cursor onde deseja incluir as marcas e clique no ícone Inserir
campo
5
, e selecione Bloco de eventos de origem.
Coloque o cursor dentro das marcas, clique no ícone Inserir campo novamente e selecione as
informações que deseja incluir quando o alarme de correlação for disparado.
O campo corpo da mensagem é apresentado como no seguinte exemplo se você incluir o IP de
origem, o IP de destino e a gravidade do evento na mensagem:
Alarme: [$Nome do alarme]
Responsável: [$Responsável pelo alarme]
Data do disparo: [$Data do disparo] Resumo: [$Resumo do alarme]
[$SOURCE_EVENTS_START] IP de origem: [$IP de origem]
IP de destino: [$IP de destino]
Gravidade: [$Gravidade média]
[$SOURCE_EVENTS_END]
Se o alarme não for disparado por um evento de correlação, a mensagem não incluirá os dados.
Adicionar um alarme de Correspondência de campos
Um alarme de Correspondência de campos faz a correspondência com vários campos de um evento e
dispara assim que o dispositivo recebe e analisa o evento.
A condição do alarme, anteriormente chamada de Correspondência de campos, agora é chamada de
Correspondência de evento interna.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
Alarmes.
e em
Clique em Adicionar, digite o nome do alarme e selecione o responsável. Depois, clique na guia
Condição.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
219
6
Trabalho com alarmes
Criar um alarme
3
No campo Tipo, selecione Correspondência de campos e configure as condições do alarme.
a
Arraste e solte os ícones AND ou OR (consulte Elementos lógicos no Guia de produto) para
configurar a lógica da condição do alarme.
b
Arraste e solte o ícone Corresponder ao componente em um elemento lógico e, em seguida, preencha
a página Adicionar campo de filtro.
c
No campo Frequência máxima do disparo de condição, selecione a quantidade de tempo permitida entre
cada condição para evitar o excesso de notificações. Cada disparo somente contém o primeiro
evento de origem correspondente à condição do disparo, não os eventos que ocorreram dentro
do período de frequência de disparo. Novos eventos que correspondem à condição de disparo
não fazem com que o alarme dispare novamente até depois do período máximo de frequência
de disparo.
Se você defini-lo como zero, todos os eventos gerarão um alarme.
4
Clique em Avançar e selecione os dispositivos a serem monitorados para o alarme. Esse tipo de
alarme oferece suporte a Receptores, ELMs (Enterprise Log Managers) de Receptores locais,
combinações de Receptor/ELM, ACEs e ADMs (Application Data Monitors).
5
Clique nas guias Ações e Escalonamento e defina as configurações, então clique em Finalizar.
O alarme grava no dispositivo.
Se o alarme não gravar no dispositivo, será exibido um sinalizador indicando falta de sincronização ao
lado do dispositivo na árvore de navegação do sistema. Clique no sinalizador e em Sincronizar alarmes.
Adicionar um alarme às regras
Para ser notificado quando os eventos forem gerados por regras específicas, você poderá adicionar um
alarme a essas regras.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique no ícone Editor de políticas
ações.
2
Selecione o tipo de regra no painel Tipos de regras.
3
Selecione uma ou mais regras na área de exibição de regras.
4
5
Clique no ícone Alarmes
na barra de ferramentas de
.
Defina as configurações do alarme.
Consulte também
Criar um alarme na página 216
Criar uma interceptação SNMP como ação em um alarme
É possível enviar interceptações SNMP como ação em um alarme.
Antes de iniciar
Prepare o Receptor de interceptação SNMP (somente necessário se você não tiver um
Receptor de interceptação SNMP).
220
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Para obter definições de opções, clique em ? na interface.
Tarefa
1
Crie um perfil de SNMP para informar ao ESM para onde enviar as interceptações SNMP.
a
2
3
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
b
Clique em Gerenciamento de perfil e selecione Interceptação SNMP no campo Tipo de perfil.
c
Preencha os campos restantes e clique em Aplicar.
.
Configurar SNMP no ESM.
a
Em Propriedades do sistema, clique em Configuração de SNMP e clique na guia Interceptações SNMP.
b
Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1.
c
Clique em Aplicar.
Defina um alarme com Interceptação SNMP como ação.
a
Em Propriedades do sistema, clique em Alarmes e em Adicionar.
b
Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionando
Correspondência de evento interna como o tipo de condição, e clique na guia Ações.
c
Selecione Enviar mensagem e clique em Configurar para selecionar ou criar um modelo de mensagens
SNMP.
d
Selecione SNMPTrap básico no campo SNMP ou clique em Modelos e, em seguida, clique em Adicionar.
e
Selecione um modelo existente ou clique em Adicionar para definir um novo modelo.
f
Retorne para a página Configurações de alarme e prossiga com a configuração do alarme.
Adicionar um alarme de notificação de queda de energia
Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar.
Antes de iniciar
Configure uma interceptação SNMP de falha geral de hardware (consulte Configurar
interceptação SNMP para notificação de queda de energia).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Alarmes, em Adicionar, adicione os dados solicitados na guia Resumo e clique na guia
Condição.
3
No campo Tipo, selecione Correspondência de evento interna.
4
No campo Campo, selecione ID de assinatura e digite 306-50086 no campo Valore(s).
5
Preencha as informações restantes em cada guia conforme necessário e clique em Concluir.
Um alarme é disparado quando há falha em uma fonte de energia.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
221
6
Trabalho com alarmes
Criar um alarme
Adicionar um alarme de evento do monitor de integridade
As regras do monitor de integridade geram eventos que aparecem em um dispositivo de base na
árvore de navegação do sistema.
Os IDs de assinatura dos eventos do monitor de integridade podem ser usados no campo Valores de um
alarme de Correspondência de evento interna para gerar um alarme com base nos eventos do monitor de
integridade. O relatório do Resumo de eventos do monitor de integridade é então gerado como uma ação do
alarme.
Para obter definições de opções, clique em ? na interface.
•
Há algumas formas de configurar um alarme de evento do monitor de integridade.
Para configurar
um alarme...
Faça isto...
Antes que um
1 Siga o processo para criar um alarme (consulte Criar um alarme).
evento de monitor
de integridade seja 2 Na árvore de navegação do sistema, clique em Condição e selecione o tipo
gerado
Correspondência de evento interna.
3 Na linha Campo, selecione ID de assinatura.
4 No campo Valores, digite o ID de assinatura para as regras do monitor de
integridade (consulte IDs de assinatura do monitor de integridade).
5 Preencha as informações restantes conforme descrito em Criar um alarme.
Se já existir um
evento do monitor
de integridade
1 Na árvore de navegação do sistema, clique no dispositivo de base do
sistema
, selecione uma exibição que mostra o
evento do monitor de integridade (Análise de evento ou Resumo padrão).
2
Clique no evento e no ícone Menu
.
3 Selecione Ações | Criar novo alarme a partir e clique em ID de assinatura.
4 Preencha as configurações restantes do alarme.
Consulte também
Criar um alarme na página 216
IDs de assinatura do monitor de integridade
Essa lista descreve as regras do monitor de integridade e sua gravidade, dispositivo, tipo e IDs de
assinatura. Use essas regras para criar um alarme que notifique quando um evento de regra do
monitor de integridade for gerado.
Nome da regra
222
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Uma conexão física de 306-50080
interface de rede foi
feita ou removida
Configurações da
interface de rede
modificadas por uma
sessão SSH.
Monitor de
software
ESM
Média
Erro de RAID
306-50054
Erros de RAID
encontrados.
Monitor de
hardware
Todos
Alta
Conta desativada
devido à inatividade
306-35
Conta de usuário
desativada devido à
inatividade.
Monitor de
software
ESM
Média
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Conta desativada
306-36
devido a número máx.
de falhas na entrada
Conta de usuário
desativada devido a
número máx. de
falhas de entrada.
Monitor de
software
ESM
Alta
Adicionar/editar
comando remoto
Comando remoto de
alarme adicionado ou
excluído.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50029
estado do coletor do
Analisador avançado
de syslog
O analisador de ASP
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Processo do destilador 306-50066
do APM
O mecanismo de
Monitor de
extração de texto ADM software
PDF/DOC foi
interrompido ou
inicializado.
APM
Média
Incompatibilidade de
configuração
aprovada
146-7
Alteração no
dispositivo de
descoberta de rede
aprovada.
Monitor de
software
ESM
Baixa
Alteração na
configuração de
arquivo
306-3
Configurações de
arquivamento do ESM
alteradas.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50051
estado do processo de
arquivamento
O processo de
arquivamento do
Receiver foi
interrompido ou
inicializado.
Monitor de
software
APM/REC/IPS/ Média
DBM
Ativo vulnerável a
evento
146-10,
306-10
Evento de
Monitor de
vulnerabilidade criado. software
ESM
Baixa
Entrada de usuário
administrador de
auditoria
306-38
Entrada do
administrador de
auditoria, evento da
UCAPL.
Monitor de
software
ESM
Baixa
Alteração na
configuração de
backup
306-1
Definições da
configuração de
backup do ESM
modificadas.
Monitor de
software
ESM
Baixa
Backup realizado
306-2
Backup realizado no
sistema.
Monitor de
software
ESM
Baixa
Alerta do analisador
de Blue Martini
306-50071
O analisador de Blue
Martini foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Ignorar alerta de
estado NIC
306-50001
O NIC entrou ou saiu
do status de desvio.
Monitor de
software
IPA/ADM/IPS Média
Certificado CAC
expirou
306-50082
O certificado CAC do
ESM expirou.
Monitor de
software
ESM
Alta
O certificado CAC
expirará em breve.
306-50081
O certificado CAC do
ESM expira em breve.
Monitor de
software
ESM
Média
Caso modificado
306-70
Caso modificado.
Monitor de
software
ESM
Baixa
306-60
McAfee Enterprise Security Manager 9.5.0
Guia de produto
223
6
224
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Status de caso
adicionado/
modificado/excluído
306-73
Status de caso
alterado.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50013
estado do canal de
comunicação
O canal de controle foi Monitor de
interrompido ou
software
inicializado.
Todos
Média
Falha na captura da
configuração (erro de
dispositivo)
146-4
Erro de dispositivo de
descoberta de rede.
Monitor de
software
ESM
Baixa
Falha na captura da
configuração
(dispositivo
inacessível)
146-3
Dispositivo de
descoberta de rede
inacessível.
Monitor de
software
ESM
Baixa
Configuração
capturada
146-5
Configuração de
descoberta de rede
verificada com êxito.
Monitor de
software
ESM
Baixa
Falha na política de
configuração
146-8
Não usada no sistema. Monitor de
software
ESM
Baixa
Aprovação da política
de configuração
146-9
Não usada no sistema. Monitor de
software
ESM
Baixa
Alteração das
configurações da
alocação de dados
306-7
Configurações da
alocação de dados do
ESM alteradas.
Monitor de
software
ESM
Alta
Alerta de espaço livre
em disco das
partições de dados
306-50005
Há pouco espaço livre
em cada partição (por
exemplo, hada_hd
tem 10% de espaço
livre).
Monitor de
software
Todos
Média
Alteração das
configurações de
retenção de dados
306-6
Configuração de
retenção de dados do
ESM alterada.
Monitor de
software
ESM
Alta
Alerta de estado dos
serviços de detecção
do banco de dados
306-50036
O serviço de detecção Monitor de
automática de DBM foi software
interrompido ou
inicializado.
Todos
Média
Alerta de alteração do 306-50008
estado de inspeção
profunda de pacote
O mecanismo de
Monitor de
inspeção profunda de software
pacote no IPS ou ADM
foi interrompido ou
inicializado.
Todos
Média
Excluir comando
remoto
306-61
Comando remoto de
alarme removido.
Monitor de
software
ESM
Baixa
Eventos excluídos
306-74
Usuário excluiu
eventos do ESM.
Monitor de
software
ESM
Baixa
Fluxos excluídos
306-75
Usuário excluiu fluxos
do ESM.
Monitor de
software
ESM
Baixa
Adição de dispositivo
306-18
Novo dispositivo
Monitor de
adicionado ao sistema. software
ESM
Baixa
Exclusão de
dispositivo
306-19
Dispositivo existente
excluído do sistema.
ESM
Baixa
McAfee Enterprise Security Manager 9.5.0
Monitor de
software
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Dispositivo
possivelmente
inoperante
146-2
Tipo
Dispositivo
Gravidade
Evento de descoberta Monitor de
de rede informando
software
que um dispositivo
pode estar inoperante.
ESM
Baixa
Dispositivo inacessível 146-1
Dispositivo de
descoberta de rede
inacessível adicionado
ao ESM está
inacessível.
Monitor de
software
ESM
Baixa
Alerta de falha da
unidade de disco
306-50018
Verifica e confirma a
integridade de todos
os discos rígidos
(interna ou DAS).
Monitor de
hardware
Todos
Alta
Alerta de alteração de 306-50045
estado do processo de
arquivamento do ELM
O mecanismo de
compactação do ELM
foi interrompido ou
inicializado.
Monitor de
software
APM/REC/IPS/ Média
DBM
ELM EDS FTP
306-50074
O programa ELM SFTP Monitor de
foi interrompido ou
software
inicializado.
ELM
Média
Processamento de
arquivo do ELM
306-50065
O mecanismo de
reinserção do ELM foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
O mecanismo de
indexação de texto
completo do ELM foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
Alerta de alteração de 306-50053
estado do ponto de
montagem do ELM
O armazenamento
remoto do ELM (CIFS,
NFS, ISCSI, SAN) foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
Alerta de alteração de 306-50046
estado do mecanismo
de consulta do ELM
O processo de
Monitor de
trabalhos do ELM
software
(todos os trabalhos do
ELM, como consultas e
inserções) foi
interrompido ou
inicializado.
ELM
Média
Armazenamento
redundante no ELM
306-50063
O espelho do ELM foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
Erro no banco de
dados do sistema do
ELM
306-50044
O banco de dados do
ELM foi interrompido
ou inicializado.
Monitor de
software
ELM
Alta
Se houver falha de log
por qualquer motivo,
ele tentará a inserção
novamente. Se houver
falha no processo de
reinserção, essa regra
será disparada.
Alerta FTI do ELM
306-50064
McAfee Enterprise Security Manager 9.5.0
Guia de produto
225
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Tipo
Dispositivo
Gravidade
Alerta de alteração de 306-50040
estado do coletor de
e-mails
O coletor do Cisco
Monitor de
MARS foi interrompido software
ou inicializado.
Receiver
Média
Marcas do EPO
aplicadas
306-28
Marcas do McAfee ePO Monitor de
aplicadas.
software
ESM
Baixa
Erro na comunicação
com o ELM
306-50047
Falha na comunicação
com o ELM.
Monitor de
software
APM/REC/IPS/ Alta
DBM
Erro na comunicação
com o SSH
306-50077
Problemas na
comunicação do
dispositivo com o ELM
(como diferença de
versão, alteração da
chave).
Monitor de
software
Todos
Alta
Reinicialização do ESM 306-32
ESM reinicializado.
Monitor de
software
ESM
Média
Encerramento do ESM 306-33
Encerramento do ESM. Monitor de
software
ESM
Média
Alerta do coletor
eStreamer
306-50070
O coletor eStreamer
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50041
estado do coletor
eStreamer
O coletor eStreamer
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Desanexação de
partição de evento
306-4
Partição de evento
desanexada.
Monitor de
software
ESM
Baixa
Executar comando
remoto
306-62
Comando remoto de
alarme executado.
Monitor de
software
ESM
Baixa
Falha na entrada
devido a número
máximo de sessões
simultâneas atingido
306-37
Falha ao entrar porque Monitor de
o número máximo de software
sessões simultâneas
foi atingido.
ESM
Alta
Falha ao formatar o
dispositivo SAN
306-50057
Falha na formatação
do SAN no ELM;
usuário deve tentar
novamente.
Monitor de
hardware
ESM
Alta
Falha na entrada do
usuário
306-31
Houve falha na
entrada.
Monitor de
software
ESM
Média
Alerta de alteração de 306-50049
estado do coletor de
arquivo
O programa coletor de Monitor de
montagem foi
software
interrompido ou
inicializado.
Receiver
Média
Arquivo excluído
Qualquer arquivo que Monitor de
pode ser adicionado
software
ou removido, como
arquivo de som ou log
do ESM removido.
ESM
Baixa
O programa de
filtragem no
dispositivo foi
interrompido ou
inicializado (regras de
filtragem).
Receiver
Média
306-50
Alerta de alteração de 306-50050
estado do processo de
filtragem
226
Descrição
McAfee Enterprise Security Manager 9.5.0
Monitor de
software
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Alerta de alteração de 306-50009
estado do agregador
de alerta do firewall
O agregador de
Monitor de
firewall no IPS ou ADM software
foi interrompido ou
inicializado.
IPS/ADM/IPS Média
Desanexação de
partição de fluxo
306-5
Desanexação de
partição de fluxo.
Monitor de
software
ESM
Baixa
Falha na obtenção de
dados VA
306-52
Falha na obtenção de
dados VA pelo ESM.
Monitor de
software
ESM
Média
Êxito na obtenção de
dados VA
306-51
ESM obteve dados VA. Monitor de
software
ESM
Baixa
Alerta interno do
monitor de
integridade
306-50027
O processo do Monitor Monitor de
de integridade foi
software
interrompido ou
inicializado.
Todos
Média
Alerta de alteração de 306-50039
estado do coletor
HTTP
O coletor HTTP foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alteração na
configuração de
indexação
306-8
Configurações de
indexação do ESM
alteradas.
Monitor de
software
ESM
Média
Chave SSH inválida
306-50075
Problemas na
Monitor de
comunicação do
software
dispositivo com o ELM,
como diferenças de
versão, alteração da
chave.
Todos
Alta
Alerta de alteração de 306-50055
estado do coletor
IPFIX
O coletor de IPFIX
(fluxo) foi
interrompido ou
inicializado.
Receiver
Média
Entrada de usuário de 306-39
administrador de
chave e certificado
Entrada do
Monitor de
administrador de
software
criptografia, evento da
UCAPL.
ESM
Baixa
Partição de log
revolvida
306-34
As antigas partições
da tabela de logs de
bancos de dados
foram revolvidas.
Monitor de
software
ESM
Baixa
Alerta de espaço livre
em disco das
partições de log
306-50004
Há pouco espaço livre
na partição de log (/
var).
Monitor de
software
Todos
Média
Alerta de alteração de 306-50010
estado do servidor do
banco de dados
McAfee EDB
O banco de dados foi
interrompido ou
inicializado.
Monitor de
software
Todos
Média
Alerta do coletor do
McAfee ePO
306-50069
O coletor do McAfee
ePO foi interrompido
ou inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50031
estado do McAfee
Event Format
O coletor do McAfee
Event Format foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
McAfee Enterprise Security Manager 9.5.0
Monitor de
software
Guia de produto
227
6
Trabalho com alarmes
Criar um alarme
Nome da regra
228
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Falha de comunicação 306-26
do dispositivo McAfee
SIEM
O ESM não pode se
comunicar com outro
dispositivo.
Monitor de
software
ESM
Alta
Alerta do Microsoft
306-50068
Forefront Threat
Management Gateway
O coletor do Forefront
Threat Management
Gateway foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50035
estado de
recuperação do
MS-SQL
O coletor do MS SQL
foi interrompido ou
inicializado (qualquer
origem de dados para
MSSQL).
Monitor de
software
Receiver
Média
Alerta de log de vários 306-50062
eventos
O coletor do jEMAIL
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Varredura do MVM
iniciada
Varredura do MVM
iniciada.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50024
estado do coletor
NetFlow
O coletor NetFlow
(fluxo) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Nova conta de usuário 306-13
Novo usuário
Monitor de
adicionado ao sistema. software
ESM
Baixa
Alerta de alteração de 306-50048
estado do coletor do
NFS/CIFS
A montagem remota
referente a NFS ou
CIFS foi interrompida
ou inicializada.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50026
estado do coletor
NitroFlow
O NitroFlow (fluxos do Monitor de
dispositivo) foi
software
interrompido ou
inicializado.
Receiver
Média
Nenhuma chave SSH
encontrada
306-50076
Problemas na
Monitor de
comunicação do
software
dispositivo com o ELM,
como diferenças de
versão, alteração da
chave.
Todos
Alta
Adicionar/editar na
lista negra do NSM
306-29
Entrada na lista negra
do NSM adicionada ou
editada.
Monitor de
software
ESM
Baixa
Excluir da lista negra
do NSM
306-30
Entrada na lista negra
do NSM excluída.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50028
estado do recuperador
de OPSEC
O coletor de OPSEC
(Check Point) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50034
estado do recuperador
de OPSEC
O coletor de OPSEC
(Check Point) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta do Coletor do
Oracle IDM
O Coletor do Oracle
IDM foi interrompido
ou inicializado.
Monitor de
software
Receiver
Média
306-27
306-50072
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Alerta de excesso de
assinaturas
306-50012
O ADM ou IPS
Monitor de
entraram ou saíram do software
modo de excesso de
assinaturas.
IPS/ADM/IPS Média
Alerta do Coletor de
plug-in/Analisador
306-50073
O Coletor de plug-in/
Analisador foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Adição de política
306-15
Política adicionada ao
sistema.
Monitor de
software
ESM
Baixa
Exclusão de política
306-17
Política excluída do
sistema.
Monitor de
software
ESM
Baixa
Modificação de política 306-16
Política alterada no
sistema.
Monitor de
software
ESM
Baixa
Incompatibilidade de
configuração anterior
146-6
Configuração de
dispositivo de
descoberta de rede
alterada.
Monitor de
software
ESM
Baixa
Receiver de HA
306-50058
Algum processo de HA Monitor de
foi interrompido ou
software
inicializado (Script de
controle de HA,
Corosync).
Receiver
Média
Configuração do
Receiver de HA Opsec
306-50059
Não está em uso.
Monitor de
software
Receiver
Baixa
ESM redundante fora
de sincronização
306-76
ESM redundante fora
de sincronização.
Monitor de
software
ESM
Alta
Alerta de alteração de 306-50020
estado do ponto de
montagem do NFS
remoto
A montagem NFS do
ELM foi interrompida
ou inicializada.
Monitor de
software
ELM
Média
Alerta de espaço livre
em disco no ponto de
montagem/
compartilhamento
remoto
Há pouco espaço livre
no ponto de
montagem remoto.
Monitor de
software
ESM
Média
306-50021
Tipo
Dispositivo
Gravidade
Alerta de alteração de 306-50019
estado de
compartilhamento do
SMB/CIFS remoto
O ponto de montagem Monitor de
remoto de SMB/CIFS
software
foi interrompido ou
inicializado.
Receiver
Média
Alerta de alteração de 306-50061
estado da Correlação
de risco
O mecanismo de
Monitor de
Correlação de risco foi software
interrompido ou
inicializado.
ACE
Média
Alerta de espaço livre
em disco das
partições de raiz
307-50002
Há pouco espaço livre
nas partições de raiz.
Monitor de
software
Todos
Média
Adição de regra
306-20
Regra adicionada ao
sistema, como ASP,
filtro ou correlação.
Monitor de
software
ESM
Baixa
Exclusão de regra
306-22
Regra excluída do
sistema.
Monitor de
software
ESM
Baixa
McAfee Enterprise Security Manager 9.5.0
Guia de produto
229
6
230
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Modificação de regra
306-21
Regra alterada no
sistema.
Monitor de
software
ESM
Baixa
Falha na atualização
de regra
306-9
Falha na atualização
de regra do ESM.
Monitor de
software
ESM
Média
Alerta de alteração de 306-50033
estado de
recuperação de SDEE
O coletor do SDEE foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50025
estado do coletor
sFlow
O coletor sFlow (fluxo) Monitor de
foi interrompido ou
software
inicializado.
Receiver
Média
Alerta de alteração de 306-50023
estado do coletor
SNMP
O coletor SNMP foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50038
estado do coletor SQL
O coletor SQL (antigo
NFX) foi interrompido
ou inicializado.
Monitor de
software
Receiver
Média
Alerta de alteração de 306-50056
estado do coletor
Symantec AV
O coletor Symantec
Monitor de
AV foi interrompido ou software
inicializado.
Receiver
Média
Alerta de alteração de 306-50037
estado do Coletor de
syslog
O coletor de Syslog foi Monitor de
interrompido ou
software
inicializado.
Receiver
Média
Entrada de usuário
administrador do
sistema
306-40
Administrador do
sistema entrou no
sistema.
Monitor de
software
ESM
Baixa
Falha na verificação
de integridade do
sistema
306-50085
Não é sinalizado
nenhum programa ou
processo estrangeiro
não ISO em execução
no sistema.
Monitor de
software
Todos
Alta
Alerta de alteração de 306-50014
estado do registrador
do sistema
O processo de registro Monitor de
em log do sistema foi software
interrompido ou
inicializado.
Todos
Média
Tarefa (consulta)
finalizada
306-54
Tarefa do gerenciador
de tarefas fechada.
Monitor de
software
ESM
Baixa
Alerta de espaço livre
em disco nas
partições temporárias
306-50003
A partição temporária
(/tmp) com pouco
espaço em disco.
Monitor de
software
Todos
Média
Alerta de alteração de 306-50052
estado do analisador
de log de texto
O processo do
Monitor de
analisador de texto foi software
interrompido ou
inicializado.
Receiver
Média
Alteração de conta de
usuário
306-14
Conta de usuário
alterada.
Monitor de
software
ESM
Baixa
Falha de entrada no
dispositivo do usuário
306-50079
Houve falha na
entrada do usuário do
SSH.
Monitor de
software
ESM
Baixa
Entrada no dispositivo 306-50017
do usuário
Não usada no sistema. Monitor de
software
ESM
Baixa
Saída do dispositivo
do usuário
Saída do usuário do
SSH.
ESM
Baixa
306-50078
McAfee Enterprise Security Manager 9.5.0
Monitor de
software
Guia de produto
6
Trabalho com alarmes
Criar um alarme
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Entrada de usuário
306-11
Usuário entrou no
sistema.
Monitor de
software
ESM
Baixa
Saída do usuário
306-12
Usuário saiu do
sistema.
Monitor de
software
ESM
Baixa
Alerta de status do
mecanismo de dados
de VA
306-50043
O mecanismo de VA
(vaded.pl) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Adição de variável
306-23
Variável de política
adicionada.
Monitor de
software
ESM
Baixa
Exclusão de variável
306-25
Variável de política
excluída.
Monitor de
software
ESM
Baixa
Modificação de
variável
306-24
Variável de política
alterada.
Monitor de
software
ESM
Baixa
Certificado de servidor 306-50084
Web expirado
O certificado de
servidor Web do ESM
expirou.
Monitor de
software
ESM
Alta
O certificado de
306-50083
servidor Web expirará
em breve
O certificado de
servidor Web do ESM
expira em breve.
Monitor de
software
ESM
Média
Alerta do coletor
Websense
O coletor Websense
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
O coletor WMI foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
306-50067
Alerta de alteração de 306-50030
estado do coletor de
Log de eventos WMI
Copiar um alarme
Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme com um
nome diferente.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Selecione o alarme desejado e clique em Copiar.
A página Nome do alarme exibe o nome do alarme atual seguido de _copy.
3
Altere o nome e clique em OK.
4
Para alterar as configurações do alarme, selecione o alarme copiado e clique em Editar.
5
Altere as configurações conforme o necessário.
Consulte também
Criar um alarme na página 216
McAfee Enterprise Security Manager 9.5.0
Guia de produto
231
6
Trabalho com alarmes
Ativar ou desativar o monitoramento de alarmes
Ativar ou desativar o monitoramento de alarmes
O monitoramento de alarmes é ativado por padrão. Você pode desativá-lo e reativá-lo quando
necessário.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Clique na guia Configurações e, em seguida, clique no ícone Desativar.
O monitoramento de alarme é interrompido e o botão muda para Ativar.
3
Clique em Ativar para retomar o monitoramento de alarmes.
Resumo personalizado para casos e alarmes disparados
Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da
Correspondência de campos e Correspondência de evento interna.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
2
Na página Propriedades do sistema, clique em Alarmes e em Adicionar.
3
Na guia Condição, selecione o tipo Correspondência de campos ou Correspondência de evento interna.
4
5
6
Clique na guia Ações, em Criar um caso para, no ícone de variáveis
no resumo de caso.
.
e selecione os campos a incluir
Clique em Personalizar resumo de alarme disparado e no ícone de variáveis
serem incluídos no resumo do alarme disparado.
, e selecione os campos a
Digite as outras informações necessárias para configurar o alarme (consulte Criar um alarme) e
clique em Concluir.
Gerenciar modelos de mensagem de alarme
Uma das ações disponíveis na configuração de um alarme é Enviar mensagem. Ela permite encaminhar
informações de alarme para os destinatários de e-mail ou de SMS (Short Message Services), SNMP ou
Syslog selecionados. É possível adicionar modelos para definir as informações desejadas nessas
mensagens, designando-os para incluir o que for mais útil para o destinatário. Em seguida, selecione o
modelo ao definir a ação de um alarme.
É possível adicionar modelos para definir as informações desejadas nessas mensagens, designando-os
para incluir o que for mais útil para o destinatário. Em seguida, selecione o modelo ao definir a ação
de um alarme.
232
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Gerenciar arquivos de áudio de alarme
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Clique na guia Configurações e, em seguida, clique no ícone Modelos.
3
Exiba a lista de modelos existentes ou selecione qualquer uma das opções disponíveis e clique em
OK.
Gerenciar arquivos de áudio de alarme
Você pode fazer upload e download de arquivos de áudio para usá-los nos alertas de áudio.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Clique na guia Configurações e, em seguida, clique em Áudio.
3
Faça download, upload, remova ou reproduza arquivos de áudio e clique em Fechar.
Gerenciar destinatários de alarme
Ao definir as configurações de ação para um alarme, você pode enviar uma mensagem a destinatários.
É possível gerenciar as listas de destinatários na página Alarmes.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Clique na guia Configurações e, em seguida, clique no ícone Destinatários.
3
Selecione o tipo de lista de destinatários que deseja gerenciar e adicione, edite ou remova
destinatários.
Gerenciar alarmes
Quando um alarme é disparado, você pode reconhecê-lo, excluí-lo ou exibir os detalhes. Também é
possível desfazer o reconhecimento de um alarme, alterar o responsável e criar um caso a partir de
um alarme.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
233
6
Trabalho com alarmes
Gerenciar alarmes
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Acesse uma destas áreas:
•
Painel de registro Alarme — Localizado abaixo da árvore de navegação do sistema.
•
Alerta pop-up visual — É aberto quando um alarme dispara.
•
2
Página Detalhes — É aberta quando você clica no ícone Detalhes
no painel de log Alarmes.
Siga um destes procedimentos:
Para...
Reconheça um alarme
Desfazer o reconhecimento de um
alarme
Excluir um alarme
Exibir detalhes do alarme
Faça isto...
Clique no ícone Reconhecer
.
Clique no ícone Desfazer reconhecimento
Clique no ícone Excluir
.
.
No painel de registro Alarmes ou no alerta pop-up visual,
clique no ícone Detalhes
.
Alterar responsável
Na página Detalhes, clique em Responsável e selecione um
nome.
Criar um caso a partir de um alarme
Na página Detalhes, clique em Criar caso.
Tarefas
•
Exibir fila de relatórios de alarme na página 234
Se você selecionou Gerar relatórios como a ação para um alarme, poderá exibir ou alterar os
relatórios que estão aguardando execução e exibir os relatórios concluídos.
•
Gerenciar arquivos de relatório de alarme na página 235
Depois que um relatório de alarme é executado, ele é adicionado à lista de relatórios
disponíveis no ESM. É possível exibir essa lista e executar várias ações.
Consulte também
Adicionar um caso na página 291
Exibir fila de relatórios de alarme
Se você selecionou Gerar relatórios como a ação para um alarme, poderá exibir ou alterar os relatórios
que estão aguardando execução e exibir os relatórios concluídos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, clique em Alarmes e na guia
Configurações.
2
Siga um destes procedimentos:
3
234
•
Para exibir ou cancelar relatórios que estão na fila de execução, clique em Exibir.
•
Para exibir e gerenciar relatórios concluídos, clique em Arquivos.
Clique em Fechar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
6
Trabalho com alarmes
Gerenciar alarmes
Gerenciar arquivos de relatório de alarme
Depois que um relatório de alarme é executado, ele é adicionado à lista de relatórios disponíveis no
ESM. É possível exibir essa lista e executar várias ações.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Alarmes.
2
Clique em Configurações, clique em Arquivos e selecione fazer download ou remover relatórios da lista,
ou fazer upload de relatórios na lista.
3
Clique em Fechar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
235
6
Trabalho com alarmes
Gerenciar alarmes
236
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
O ESM permite identificar, coletar, processar, correlacionar e armazenar bilhões de eventos e fluxos,
mantendo todas as informações disponíveis para consultas, perícias, validação de regras e
conformidade.
Conteúdo
Eventos, fluxos e registros
Gerenciamento de relatórios
Descrição dos filtros contains e regex
Trabalhar com exibições do ESM
Tipo de filtros personalizados
Eventos, fluxos e registros
Eventos, fluxos e logs registram diferentes tipos de atividades que ocorrem em um dispositivo.
Um evento é uma atividade registrada por um dispositivo como resultado de uma regra no sistema.
Um fluxo é o registro de uma conexão feita entre IPs, dos quais pelo menos um está na HOME_NET.
Um log é o registro de um evento que ocorreu em um dispositivo no sistema. Eventos e fluxos
possuem endereços IP de origem e destino, portas, endereços MAC (Media Access Control), um
protocolo e um primeiro e último horário (indicando a duração entre o início da conexão e seu
término). Entretanto, existem várias diferenças entre eventos e fluxos:
•
Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, eles são mais comuns
que os eventos.
•
Diferentemente de um evento, um fluxo não está associado a uma assinatura de regra (SigID).
•
Fluxos não estão associados a ações de eventos como alerta, descarte e rejeição.
•
Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem
e destino. Bytes e pacotes de origem são o número de bytes e pacotes transmitidos pela origem do
fluxo, enquanto os bytes e pacotes de destino são o número de bytes e pacotes transmitidos pelo
destino do fluxo.
•
Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina dentro da
HOME_NET. Um fluxo de saída se origina fora da HOME_NET. Essa variável é definida em uma
política para um Nitro IPS.
Eventos e fluxos gerados pelo sistema podem ser vistos em exibições, que você pode selecionar na
lista suspensa de exibições. Registros são listados no Registro do sistema ou no Registro do dispositivo, que
podem ser acessados na página Propriedades do sistema ou de cada dispositivo.
Configurar downloads de eventos, fluxos e registros
Verifique eventos, fluxos e registros manualmente ou defina o dispositivo para verificá-los
automaticamente.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
237
7
Trabalho com eventos
Eventos, fluxos e registros
Tarefa
Para obter definições de opções, clique em ? na interface.
1
.
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Eventos, fluxos e logs, Eventos e logs ou Logs.
3
Configure os downloads e clique em Aplicar.
Limitar horário da coleta de dados
Você pode agendar um intervalo de tempo para limitar quando o ESM efetuará pull de dados de cada
dispositivo e quando os dados serão enviados para o ELM de cada dispositivo.
Antes de iniciar
Desative Agregação dinâmica e defina Agregação de nível 1 entre 240 e 360 minutos (consulte
Alterar as configurações de agregação ou evento de alteração).
Você pode usar esse recurso para evitar usar a rede em horários de pico, deixando a largura de banda
disponível para outros aplicativos. Isso atrasa a entrega de dados para o ESM e ELM, portanto, você
precisa determinar se esse atraso é aceitável no seu ambiente.
Tarefa
Para obter definições de opções, clique em ? na interface.
Tenha cuidado ao configurar esse recurso porque o agendamento de evento, fluxo e coleta de logs pode
causar perda de dados.
1
2
3
Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades
.
Selecione uma das seguintes opções:
•
Eventos, fluxos e logs
•
Eventos e logs
•
Logs
Selecione Definir intervalo de tempo de pull de dados diário e defina os horários de início e de término para o
intervalo de tempo.
O ESM coleta dados do dispositivo, e o dispositivo envia dados para o ELM para registro durante o
intervalo de tempo definido por você. Quando você configura isso no ELM, ele define quando o ESM
coleta dados do ELM e quando o ESM envia dados para o ELM para registro.
Definir as configurações de limite de inatividade
Ao definir um limite de inatividade para um dispositivo, você será notificado quando nenhum evento
ou fluxo for gerado no período especificado. Se o limite for atingido, um sinalizador de status de
integridade amarelo aparecerá ao lado do nó do dispositivo na árvore de navegação do sistema.
238
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Trabalho com eventos
Eventos, fluxos e registros
7
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, verifique se Informações do sistema
está selecionado e clique em Eventos, fluxos e registros.
2
Clique em Configurações de inatividade.
3
Destaque o dispositivo e clique em Editar.
4
Altere as configurações e clique em OK.
Obter eventos e fluxos
Recupere eventos e fluxos para os dispositivos selecionados na árvore de navegação de sistemas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na árvore de navegação do sistema, selecione o sistema, um grupo ou um dispositivo.
Clique no ícone Obter eventos e fluxos
necessárias.
na barra de ferramentas de ações e siga as etapas
Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em
seguida, clique no ícone Atualizar exibição atual
na barra de ferramentas de exibições.
Verificar eventos, fluxos e registros
Você pode configurar o ESM para verificar eventos, fluxos e registros automaticamente ou verificá-los
manualmente. A taxa em que você deve fazer a verificação depende do nível de atividade do seu
sistema e da frequência com que deseja receber atualizações de status. Você também deve especificar
quais dispositivos devem verificar cada tipo de informação e definir o limite de inatividade para os
dispositivos gerenciados pelo ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Eventos, fluxos e
registros.
2
Faça as seleções e alterações para a recuperação de eventos, fluxos e registros.
3
Clique em OK.
Consulte também
Definir as configurações de limite de inatividade na página 238
Definir configurações de localização geográfica e ASN
A Localização geográfica informa a localização física dos computadores conectados à Internet. ASN
(Autonomous System Number - Número de sistema autônomo) é um número atribuído a um sistema
autônomo, que identifica cada rede exclusivamente na Internet.
Os dois tipos de dados podem ajudar a identificar a localização física de uma ameaça. Os dados da
localização geográfica de origem e de destino podem ser coletados para os eventos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
239
7
Trabalho com eventos
Eventos, fluxos e registros
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Eventos, fluxos e registros ou Eventos e registros em Localização geográfica.
3
Faça as seleções para gerar as informações necessárias e clique em OK.
.
Você pode filtrar dados do evento usando essas informações.
Obter eventos e fluxos
Recupere eventos e fluxos para os dispositivos selecionados na árvore de navegação de sistemas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na árvore de navegação do sistema, selecione o sistema, um grupo ou um dispositivo.
Clique no ícone Obter eventos e fluxos
necessárias.
na barra de ferramentas de ações e siga as etapas
Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em
seguida, clique no ícone Atualizar exibição atual
na barra de ferramentas de exibições.
Agregação de eventos ou fluxos
Um evento ou fluxo pode ser gerado milhares de vezes. Em vez de ser forçado a verificar milhares de
eventos idênticos, com a agregação você pode exibi-los como um evento ou fluxo único, junto com a
contagem que indica o número de vezes que ele ocorreu.
O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no ESM, de forma
mais eficiente, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente
a regras para as quais a agregação está ativada no Editor de políticas.
Endereço IP de destino e IP de origem
Os valores "não definidos" ou agregados de endereço IP de destino e IP de origem são exibidos como
"::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo:
•
::ffff:10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7).
•
::0000:10.0.12.7 seria 10.0.12.7.
Eventos e fluxos agregados
Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração
e o volume de agregação. Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10
minutos após o meio-dia, o campo Primeira vez contém a hora 12:00 (a hora da primeira instância do
evento), o campo Última vez contém a hora 12:10 (a hora da última instância do evento) e o campo Total
contém o valor 30.
É possível alterar as configurações de agregação de evento ou de fluxo padrão do dispositivo com um
todo e, no caso dos eventos, é possível adicionar exceções às configurações do dispositivo para regras
individuais (consulte Gerenciar exceções de agregação de evento).
240
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Eventos, fluxos e registros
A agregação dinâmica também é ativada por padrão. Quando selecionada, ela substitui as
configurações da agregação de Nível 1 e aumenta as configurações do Nível 2 e Nível 3. Ela recupera
registros com base na configuração de eventos, fluxos e registros. Se configurado para recuperação
automática, o dispositivo compacta um registro somente até a primeira vez que ele for obtido pelo
ESM. Se estiver configurado para recuperação manual, o registro compacta até 24 horas ou até que
um novo registro seja obtido manualmente, o que ocorrer primeiro. Se o tempo de compactação
alcançar o limite de 24 horas, um novo registro é obtido e a compactação começará no novo registro.
Alterar as configurações de agregação de eventos e fluxos
A agregação de eventos e fluxos é ativada por padrão e definida como Alta. Você pode alterar as
configurações conforme o necessário. O desempenho de cada configuração está descrito na página
Agregação.
Antes de iniciar
Você deve ter privilégios de Administrador de políticas e Gerenciamento de dispositivos ou Administrador
de políticas e Regras personalizadas para alterar essas configurações.
A agregação de eventos está disponível somente para dispositivos ADM, IPS e Receiver. E a agregação
de fluxo para dispositivos IPS e Receivers.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Agregação do evento ou Agregação do fluxo.
3
Defina as configurações e clique em OK.
.
Adicionar exceções às configurações de agregação de evento
Configurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode
criar exceções para regras individuais se as configurações gerais não se aplicarem aos eventos
gerados pela regra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma
exceção.
Clique no ícone Menu
e selecione Modificar configurações de agregação.
Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3.
Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário,
um erro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação
mudará para refletir as seleções feitas. Os limites de tempo para cada nível dependem da
configuração de agregação do evento definida para o dispositivo.
4
Clique em OK para salvar as configurações e clique em Sim para continuar.
5
Desmarque os dispositivos para os quais não quiser distribuir as alterações.
6
Clique em OK para distribuir as alterações para os dispositivos selecionados.
A coluna Status exibe o status da atualização quando as alterações foram distribuídas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
241
7
Trabalho com eventos
Eventos, fluxos e registros
Gerenciar exceções de agregação de evento
Você pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É
possível também editar ou remover uma exceção.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
2
Clique em Agregação do evento e em Exibir na parte inferior da tela.
3
Efetue as alterações necessárias e clique em Fechar.
.
Configuração do encaminhamento de evento
O encaminhamento de evento permite enviar eventos do ESM para um outro dispositivo ou recurso
pelo Syslog ou SNMP (se ativado). Você deve definir o destino e pode selecionar se deseja incluir o
pacote e ocultar os dados de IP. É possível adicionar filtros para que os dados do evento sejam
filtrados antes de serem encaminhados.
Isso não substitui o gerenciamento de logs, pois não se trata de um conjunto completo de logs
assinados digitalmente de cada dispositivo do seu ambiente.
Configurar o encaminhamento de evento
Você pode configurar um destino de encaminhamento de evento para encaminhar dados de evento a
um syslog ou servidor SNMP.
O número de destinos de encaminhamento de evento usado, combinado com a taxa e o número de
eventos que estão sendo recuperados pelo ESM, podem afetar o desempenho geral do ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Na página Destinos de encaminhamento de evento, selecione Adicionar, Editar ou Remover.
3
Se você optou por adicionar ou editar um destino, defina as configurações.
4
Clique em Aplicar ou OK.
Adicionar destinos de encaminhamento de evento
Adicione um destino de encaminhamento de evento ao ESM para encaminhar dados de evento a um
syslog ou servidor SNMP.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Clique em Adicionar e preencha as informações necessárias.
3
Clique em OK.
Consulte também
Agentes de encaminhamento de evento na página 243
242
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Eventos, fluxos e registros
Agentes de encaminhamento de evento
Veja, a seguir, os agentes de encaminhamento de evento e as informações contidas nos pacotes que
são encaminhados. Selecione o agente no campo Formato da página Adicionar destino de encaminhamento do
evento.
Agente
Conteúdo
Syslog
(McAfee
9.2)
IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID),
Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta
de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de
destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo
iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira
vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última
hora_segundo de usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID
do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da
origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de
destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado,
Origem de GUID, Destino de GUID (GUID Dest), Nome de agregação 1 (Agg 1 Name),
Valor de agregação 1 (Agg 1 Value), Nome de agregação 2 (Agg 2 Name), Valor de
agregação 2 (Agg 2 Value), Nome de agregação 3 (Agg 3 Name), Valor de agregação 3
(Agg 3 Value).
Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter
ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário
de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo
usuário 10, Tipo definido pelo usuário 21, Tipo definido pelo usuário 22, Tipo definido
pelo usuário 23, Tipo definido pelo usuário 24, Tipo definido pelo usuário 25, Tipo
definido pelo usuário 26, Tipo definido pelo usuário 27.
Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção
"copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for
verificada durante a configuração do encaminhamento de evento no ESM).
Syslog
(McAfee
8.2)
IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID),
Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta
de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de
destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo
iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira
vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última
vez_segundo do usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID
do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da
origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de
destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado.
Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter
ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário
de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo
usuário 10.
Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção
"copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for
verificada durante a configuração do encaminhamento de evento no ESM).
syslog
(Nitro)
IP do ESM, "McAfee ESM", ID da assinatura (SigID), Mensagem da assinatura
(SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta de origem (SrcPort),
Porta de destino (DstPort), MAC de origem (SrcMac), MAC de destino (DstMac),
Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo iniciador da conexão ou
pelo destinatário da conexão), Contagem de eventos, Primeira vez (no formato de hora
UNIX), Última vez (no formato de hora UNIX), Última vez_segundo do usuário
(LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID do evento no ESM), ID do
evento, ID do IPS (IPSID), Nome do IPS (IPSName), ID da origem de dados (DSID),
Pacote (o conteúdo do pacote segue a codificação de Base 64).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
243
7
Trabalho com eventos
Eventos, fluxos e registros
Agente
Conteúdo
syslog
"McAfee", ID da máquina (MachineID), "Notificação de ArcSite", "Linha 1", Nome do
(ArcSight) grupo, Nome do IPS, Última vez mm/dd/aaaa HH:nn:ss.zzz, Última vez_segundo do
usuário (LastTime_usec), Primeira vez mm/dd/aaaa HH:nn:ss.zzz), ID da assinatura
(SigID), Nome da classe, Contagem de eventos, IP de origem (Src IP), Porta de origem
(Src Port), IP de destino (Dst IP), Porta de destino (Dst Port), Protocolo, Subtipo de
evento, ID de dispositivo do evento (ID interno do dispositivo do evento), ID do ESM do
evento (ID interno do evento do ESM), Mensagem de regra, Fluxo (se o evento é gerado
pelo iniciador da conexão ou pelo destinatário da conexão), LAN virtual (VLAN), MAC de
origem (Src MAC), MAC de destino (Dst MAC), Pacote (o conteúdo do pacote segue a
codificação de Base 64).
syslog
(Snort)
snort:, [sigid:smallsigid:0], Mensagem ou "Alerta" da assinatura, [Classificação: Nome da
classe], [Prioridade: Prioridade da classe], {Protocolo}, IP de origem:Porta de origem ->
IP de destino:Porta de destino, IP de origem -> IP de destino, Pacote (o conteúdo do
pacote segue a codificação de Base 64).
Syslog
tempo (segundos desde a época), sinalizador de status, nome do usuário, nome da
(Logs de
categoria de log (em branco para 8.2.0, preenchido para 8.3.0+), nome do grupo de
auditoria) dispositivos, nome do dispositivo, mensagem de log.
Syslog
(Formato
de evento
comum)
Data e hora atuais, IP do ESM, CEF versão 0, fornecedor = McAfee, produto = modelo do
ESM de /etc/McAfee modelo Nitro/ips, versão = versão doESM de /etc./carimbo de data e
hora da compilação, id da assinatura, mensagem de assinatura, gravidade (de 0 a 10),
pares de nome/valor, Endereço traduzido do dispositivo
Syslog
(Formato
de evento
padrão)
<#>AAAA-MM-DDTHH:MM:SS.S [Endereço IP] McAfee_SIEM:
{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
"subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
Ativar ou desativar o encaminhamento de evento
Ative ou desative o encaminhamento de evento no ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Clique em Configurações e marque ou desmarque a opção Encaminhamento de evento ativado.
3
Clique em OK.
Modificar configurações de todos os destinos de encaminhamento do
evento
Altere algumas configurações de todos os destinos de encaminhamento do evento de uma vez.
244
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Eventos, fluxos e registros
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Clique em Configurações e defina as opções.
3
Clique em OK.
Adicionar filtros de encaminhamento de evento
Configure filtros para limitar os dados de evento encaminhados para um syslog ou servidor SNMP no
ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Clique em Adicionar e depois em Filtros de evento.
3
Preencha os campos de filtro e clique em OK.
Editar configurações do encaminhamento de evento
Altere as configurações de filtro para encaminhamento de evento depois de terem sido salvas.
Antes de iniciar
Ao editar um filtro de dispositivo, você deverá ter acesso a todos os dispositivos no filtro.
Para ativar o acesso aos dispositivos, consulte Configurar grupos de usuários.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Clique em Editar e depois em Filtros de evento.
3
Faça as alterações e clique em OK.
Consulte também
Configurar grupos de usuários na página 190
Envio e encaminhamento de eventos com Standard Event Format
O SEF (Standard Event Format) é um formato de evento baseado em JSON (Java Script Object
Notation) que representa eventos de dados genéricos.
O formato SEF encaminha eventos do ESM para um Receptor em um ESM diferente, bem como do
ESM para um terceiro. Também é possível usá-lo para enviar eventos de um terceiro para um Receptor
selecionando SEF como o formato de dados ao criar a origem de dados.
Ao configurar o encaminhamento de um evento com SEF do ESM para o ESM, é necessário executar
quatro etapas:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
245
7
Trabalho com eventos
Gerenciamento de relatórios
1
Exportar origens de dados, tipos personalizados e regras personalizadas do ESM que encaminha os
eventos.
— Para exportar as origens de dados, siga as instruções em Mover origens de dados para outro
sistema.
— Para exportar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e em
Exportar.
— Para exportar as regras personalizadas, siga as instruções em Exportar regras.
2
No ESM, com o Receptor que você está encaminhando, importe as origens de dados, os tipos
personalizados e as regras personalizadas que acabou de exportar.
— Para importar as origens de dados, siga as instruções em Mover origens de dados para outro
sistema.
— Para importar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e
em Importar.
— Para importar as regras personalizadas, siga as instruções em Exportar regras.
3
No ESM que recebe os eventos de outro ESM, adicione uma origem de dados de ESM.
— Na árvore de navegação do sistema, clique no dispositivo do Receptor ao qual deseja adicionar a
origem de dados e clique no ícone Adicionar origem de dados
.
— Na página Adicionar origem de dados, selecione McAfee no campo Fornecedor da origem de dados e selecione
Enterprise Security Manager (SEF) no campo Modelo da origem de dados.
— Preencha as informações solicitadas e clique em OK.
4
Adicione o destino de encaminhamento do evento ao ESM de envio.
— Clique na árvore de navegação do sistema e no ícone Propriedades
.
— Clique em Encaminhamento de evento e em Adicionar.
— Na página Adicionar destino de encaminhamento do evento, selecione syslog (Standard Event Format) no campo
Formato, preencha os campos restantes com as informações do ESM para o qual você está
encaminhando e clique em OK.
Gerenciamento de relatórios
Os relatórios mostram dados de eventos e fluxos gerenciados no ESM. Você pode criar seu próprio
relatório ou executar um dos relatórios predefinidos e enviá-lo em formato PDF, HTML ou CSV.
Relatórios predefinidos
Os relatórios predefinidos dividem-se nestas categorias:
246
•
Conformidade
•
McAfee Database Activity Monitoring (DAM)
•
Executivo
•
McAfee DEM
•
McAfee ADM
•
McAfee Event Reporter
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Trabalho com eventos
Gerenciamento de relatórios
7
Eles geram dados baseados em eventos.
Relatórios definidos pelo usuário
Ao gerar um relatório, você cria o layout no editor de Layout de relatório selecionando a orientação, o
tamanho, a fonte, as margens, o cabeçalho e o rodapé. Você também pode incluir componentes,
configurando-os para que exibam os dados conforme quiser.
Todos os layouts serão salvos e poderão ser usados em vários relatórios. Ao adicionar um relatório,
você tem a opção de criar um novo layout, usar um já existente como está ou usar um já existente
como modelo e editar suas características. Também é possível remover um layout de relatório quando
ele não for mais necessário.
Consulte também
Adicionar uma condição de relatório na página 248
Definir o mês inicial para os relatórios trimestrais na página 247
Adicionar layout de relatório na página 247
Definir o mês inicial para os relatórios trimestrais
Caso esteja executando relatórios em uma base trimestral, será necessário definir o primeiro mês do
Trimestre 1. Depois que isso estiver definido e armazenado na tabela do sistema, os relatórios serão
executados trimestralmente com base nessa data de início.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, selecione Propriedades do sistema e clique em Configurações personalizadas.
2
No campo Especifique o mês a ser usado, selecione o mês.
3
Clique em Aplicar para salvar a configuração.
Adicionar relatório
Adicione relatórios ao ESM e configure-os para que sejam executados regularmente, em intervalos
definidos, ou selecione-os para execução manual. Você pode selecionar um layout de relatório ou criar
um novo usando o editor de Layout do relatório.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios.
2
Clique em Adicionar e defina as configurações na página Adicionar relatório.
3
Clique em Salvar.
O relatório é adicionado à tabela na página Relatórios e é executado conforme definido no campo
Condição.
Adicionar layout de relatório
Crie o layout para um relatório se os layouts predefinidos não atenderem às suas necessidades.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
247
7
Trabalho com eventos
Gerenciamento de relatórios
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios.
2
Clique em Adicionar para abrir a página Adicionar relatório e conclua as seções 1, 2 e 3.
3
Na seção 4, selecione PDF de relatório ou HTML de relatório.
4
Na seção 5, clique em Adicionar para abrir o editor de Layout de relatório.
5
Configure o layout para exibir os dados gerados pelo relatório.
O layout será salvo e poderá ser usado como está para outros relatórios ou como um modelo a ser
editado.
Incluir uma imagem em PDFs e relatórios
Você pode configurar o ESM para que os PDFs exportados e os relatórios impressos incluam as
imagens mostradas na tela de Login.
Antes de iniciar
Adicione a imagem à página Configurações personalizadas (consulte Personalizar a página de
login).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações
personalizadas.
2
Selecione Incluir imagem em PDF exportado de Exibições ou relatórios impressos.
3
Clique em OK.
Consulte também
Personalizar a página de entrada na página 21
Adicionar uma condição de relatório
Adicione condições para que elas estejam disponíveis durante a configuração de relatórios.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios.
2
Clique em Condições e insira as informações solicitadas.
3
Clique em OK para salvar as configurações.
Esta opção aparece na lista de condições disponíveis quando você seleciona a condição de um
relatório.
248
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Descrição dos filtros contains e regex
Exibir nomes de host em um relatório
É possível configurar relatórios para usar a resolução DNS para endereços IP de origem e de destino
nos relatórios.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Relatórios, Adicionar e preencha as informações solicitadas nas seções 1 a 4.
3
Na seção 5, clique em Adicionar, arraste e solte um componente de Tabela, Gráfico de barras ou Gráfico de
pizza e conclua o Assistente de consulta.
4
Na seção Consulta do painel Propriedades no editor Layout de relatório, selecione Resolver IPs para nomes de
host.
Além de os resultados da pesquisa de DNS aparecerem no relatório, é possível exibi-los na tabela Hosts
(Propriedades do sistema | Hosts).
Descrição dos filtros contains e regex
Os filtros contains e regex fornecem as capacidades de caractere curinga nos dados da cadeia de
índice e nos dados de cadeia não indexados. Esses filtros têm requisitos de sintaxe.
Os comandos podem ser usados em qualquer campo que permita dados de texto ou cadeia. A maioria
dos campos de texto é denotada pelo ícone não diferenciar maiúsculas de minúsculas
ao lado do
nome do campo do filtro. Outros campos que permitem contains não têm o ícone. Para obter uma
lista completa de campos, consulte a seção Campos com suporte ao recurso contains.
Sintaxe e exemplos
A sintaxe básica de contains é contains(algumvalor) e para regex é
regex(algumaexpressãoregular).
Para que ele não diferencie maiúsculas de minúsculas, clique no ícone não diferenciar maiúsculas de
ou inclua a notação de expressão regular /i, como em regex(/algumvalor/i). A
minúsculas
pesquisa retorna qualquer valor que contenha algumvalor, seja qual for o caso.
Os ícones NOT e OR
se aplicam ao regex e contêm valores. Se desejar que os resultados mostrem
os valores que não contêm algum valor, insira o valor e clique no ícone NOT. Se desejar que os
resultados mostrem os valores que contêm um valor ou outro, insira os valores e clique no ícone OR.
Exemplo nº 1 – Uma pesquisa simples
Campos indexados: contains(stra), regex(stra)
Campos não indexados: stra
Resultado: retorna qualquer cadeia com stra , como administrador, gmestrad ou straub.
Exemplo nº 2 – Uma pesquisa OR
McAfee Enterprise Security Manager 9.5.0
Guia de produto
249
7
Trabalho com eventos
Descrição dos filtros contains e regex
Campos indexados: contains(admin,NGCP), regex((admin|NGCP))
Campos não indexados: admin,NGCP
Resultados: retorna qualquer cadeia do campo que contenha admin ou NGCP. O conjunto extra de
parênteses é necessário para que o regex OR funcione.
Exemplo nº 3 – Uma pesquisa de caracteres especiais, como em contas de serviço
Um símbolo do dólar:
Campos indexados: contains($), regex(\x24) ou regex(\$)
Campos não indexados: $
Resultados: qualquer uma das pesquisas retorna qualquer cadeia no campo que contenha $. Vá para
http://www.ascii.cl para obter uma lista de valores HEX para os caracteres.
Com o regex, se você tentar usar o $ sem escalá-lo, o conjunto de resultados retornará vazio. A
sequência de escape PCRE é um método de pesquisa melhor a ser usado.
Um símbolo de percentual:
Campos indexados: contains(%), regex(\x25) ou regex(\%)
Campos não indexados: %
Uma barra invertida:
Campos indexados: contains(\), regex(\x5c) ou regex(\\)
Campos não indexados: \
Barras invertidas duplas
Campos indexados: contains(\\), regex(\x5c\x5c) ou regex(\\\)
Campos não indexados: \\
Em alguns casos, se o valor HEX ou a barra com regex não forem usados, poderá ocorrer um erro de
Expressão regular inválida (ER5-0015).
Exemplo nº 4 – Pesquisa com o * caractere curinga
Campos indexados: contains (ad*)
Campos não indexados: ad*
Resultados: retorna qualquer cadeia que comece com ad, como administrador e endereço.
Exemplo nº 5 – Pesquisa como Expressão regular
regex(nitroguard/x28[3-4]/x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
250
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Descrição dos filtros contains e regex
(3)www(10)nitroguard(7)oddball(0)
Esses são domínios de eventos de DNS da Microsoft.
Resultados: essa expressão regular seleciona uma cadeia específica. Nesse caso, é nitroguard, um
domínio primário com 3 ou 4 dígitos, e com ou info. Esse regex faz a correspondências das duas
primeiras expressões, mas não das outras. Esses são exemplos para mostrar como é possível usar o
regex com o recurso. Suas expressões serão muito diferentes.
Avisos
•
Usar regex com valores com menos de três caracteres aumenta a sobrecarga e torna o
desempenho de consulta mais lento. Sugerimos que todas as consultas tenham mais de três
caracteres.
•
Não é possível usar esse filtro em regras de correlação ou alarmes. A única exceção é que ele pode
ser usado em regras de correlação com tipos personalizados de nome/valor.
•
Usar contains ou regex com NOT pode aumentar a sobrecarga e tornar o desempenho de consulta
mais lento.
Descrição do filtro de bloom
Para obter mais informações sobre o filtro de bloom, consulte http://en.wikipedia.org/wiki/
Bloom_filter
Campos com suporte aos recursos contains e regex
Access_Resource
File_Operation_Succeeded
Referer
Aplicativo
File_Path
Registry_Key
Application_Protocol
File_Type
Registry_Value
Área
Nome do arquivo
Request_Type
Authoritative_Answer
Forwarding_Status
Response_Code
Cco
De
Return_Code
Caller_Process
From_Address
RTMP_Application
Catalog_Name
FTP_Command
Sensor_Name
Categoria
Host
Sensor_Type
Cc
HTTP_Req_Cookie
Sensor_UUID
Client_Version
HTTP_Req_Host
Session_Status
Comando
HTTP_Req_Method
ID de assinatura
Contact_Name
HTTP_Req_Referer
Signature_Name
Contact_Nickname
HTTP_Req_URL
SNMP_Error_Code
Cookie
HTTP_User_Agent
SNMP_Item
Creator_Name
Incomtin_ID
SNMP_Item_Type
Database_ID
Interface
SNMP_Operation
Database_Name
Interface_Dest
SNMP_Version
Datacenter_ID
Job_Name
Usuário de origem
Datacenter_Name
Job_Type
Source_Context
DB2_Plan_Name
Idioma
Source_Logon_ID
McAfee Enterprise Security Manager 9.5.0
Guia de produto
251
7
Trabalho com eventos
Trabalhar com exibições do ESM
Delivery_ID
Local_User_Name
Source_Network
Descrição
Logical_Unit_Name
Source_UserID
Usuário de destino
Logon_Type
Source_Zone
Destination_Directory
LPAR_DB2_Subsystem
SQL_Command
Destination_Filename
Mail_ID
SQL_Statement
Destination_Hostname
Caixa de correio
Step_Count
Destination_Logo_ID
Mainframe_Job_Name
Step_Name
Destination_Network
Malware_Insp_Action
Assunto
Destination_UserID
Malware_Insp_Result
SWF_URL
Destination_Zone
Management_Server
Table_Name
Detection_Method
Message_ID
Target_Class
Device_Action
Message_Text
Target_Context
Direção
Método
Target_Process_Name
Diretório
NTP_Client_Mode
TC_URL
DNS_Class
NTP_Opcode
Threat_Category
DNS_Name
NTP_Request
Threat_Handled
DNS_Type
NTP_Server_Mode
Threat_Name
Domínio
Objeto
To
Event_Class
Object_Type
To_Address
External_Application
Operating_System
URL
External_DB2_Server
Policy_Name
URL_Category
External_Hostname
Privileged_User
User_Agent
External_SessionID
Process_Name
User_Nickname
Recurso
Query_Response
Versão
File_Operation
Motivo
Virtual_Machine_ID
Virtual_Machine_Name
Estes tipos personalizados podem usar contains e regex:
Exibições
Gerenciamento de casos
• Cadeia
• Notas
• Cadeia aleatória
• Resumo
• Nome/valor
• Histórico
• Cadeias com hash
Trabalhar com exibições do ESM
O ESM recupera informações sobre eventos, fluxos, ativos e vulnerabilidades registradas em log por
um dispositivo. As informações são correlacionadas e inseridas no mecanismo McAfee Security Event
Aggregation and Correlation (MSEAC).
Conteúdo
Uso de exibições do ESM
Exibir detalhes da sessão
252
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Barra de ferramentas de exibição
Exibições predefinidas
Adicionar uma exibição personalizada
Exibir componentes
Trabalhar com o Assistente de consulta
Gerenciar exibições
Verificar um evento
Exibir os detalhes do endereço IP de um evento
Alterar a exibição padrão
Filtragem de exibições
Listas de observação
Normalização de cadeia
Uso de exibições do ESM
Com o uso do mecanismo MSEAC, os dados recuperados pelo ESM podem ser analisados e revisados
por meio de um visualizador de relatórios flexível e altamente eficaz. Esse visualizador é a parte
central do console do ESM. A exibição mostra os dados para os dispositivos que você selecionou na
árvore de navegação do sistema.
Quando o console do ESM é iniciado, a exibição padrão aparece (consulte Alterar a exibição padrão).
Você pode usar os recursos de exibição para selecionar outra exibição predefinida (consulte Exibições
predefinidas) ou criar uma nova exibição (consulte Adicionar uma exibição personalizada) para
executar uma consulta e ver o que está acontecendo em sua rede (consulte Barra de ferramentas de
exibição do ESM). Você também pode usar as diversas opções na barra de ferramentas de exibição, no
menu de componentes e na barra de ferramentas de componentes para interagir com as exibições e
seus dados.
Uma barra de progresso pode ser vista em cada componente do painel de exibições quando uma
consulta é executada. Se você passar o cursor sobre ela, o período e o percentual de tempo decorrido
na execução da consulta de cada componente são exibidos. Para cancelar uma consulta e liberar
recursos do ESM, clique no ícone excluir à direita da barra de progresso.
Em uma exibição, os valores não definidos ou agregados de endereço IP de destino e IP de origem são
exibidos como "::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo, ::ffff:
10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7); ::0000:10.0.12.7 seria
10.0.12.7.
Exibir detalhes da sessão
Você pode exibir os detalhes de um evento com um ID de sessão e salvá-los em um arquivo csv na
Visualização de sessão.
Para ter um ID de sessão, um evento deve residir em uma sessão. Uma sessão é o resultado da
conexão entre uma origem e o destino. Eventos internos do dispositivo ou ESM não têm IDs de
sessão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na lista suspensa de exibição, selecione a exibição que tem a sessão que você precisa exibir.
2
Selecione o evento, clique no ícone do menu na barra de títulos do componente e selecione Busca
detalhada do evento | Eventos.
3
Clique no evento, na guia Detalhes avançados e no ícone Exibir dados da sessão
sessão.
McAfee Enterprise Security Manager 9.5.0
ao lado do campo ID de
Guia de produto
253
7
Trabalho com eventos
Trabalhar com exibições do ESM
A Visualização de sessão será aberta, exibindo os detalhes da sessão.
Barra de ferramentas de exibição
A barra de ferramentas de exibição, localizada na parte superior do painel de exibições, possui várias
opções a serem usadas ao configurar as exibições.
Tabela 7-1
Opção
Descrição
1 – Ocultar árvore de dispositivos
Clique para expandir a exibição atual ocultando o painel
árvore de dispositivos.
2 – Navegação de exibições
Navegue para frente e para trás entre exibições
anteriores.
3 – Lista de exibições
Selecione uma exibição na lista suspensa que contém
todas as exibições predefinidas e personalizadas
selecionadas.
4 – Gerenciar exibições
Gerencie todas as exibições (consulte Gerenciar as
exibições). Você pode selecionar quais exibições deseja
incluir na lista de exibições, adicionar pastas e
renomear, excluir, copiar, importar e exportar exibições.
5 – Atualizar exibição atual
Atualize todos os dados exibidos atualmente no painel
de exibição.
6 – Exibição padrão
Volte para a exibição padrão.
7 — Imprimir exibição atual
Imprima uma cópia da exibição atual. As opções de
impressão são:
• Dimensionar para ajustar todos os componentes em uma página –
Os componentes que fazem parte da exibição são
redimensionados para que a exibição caiba em uma
página.
• Imprimir cada componente em uma página separada – Cada
componente da exibição é impresso em uma página
separada. Se você clicar em Dimensionar componente para
ajustá-lo à página, cada componente será
redimensionado para preencher a página.
• Imprimir somente área visível – Somente a parte da exibição
visível na tela é impressa.
• Exportar para PDF – A exibição é salva como um arquivo
PDF.
254
8 – Editar exibição atual
Modifique a exibição atual, se ela for uma exibição
personalizada. Ao clicar nesta opção, a Barra de ferramentas
Exibir edição é aberta (consulte Criar uma exibição
personalizada).
9 – Criar uma nova exibição
Crie uma nova exibição personalizada (consulte Criar
uma exibição personalizada).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Tabela 7-1
(continuação)
Opção
Descrição
10 – Período
Especifique o período para as informações que você
deseja que apareçam na exibição.
11 – Ocultar filtros
Clique para expandir a exibição atual ocultando o painel
de filtros.
Exibições predefinidas
A lista suspensa na barra de ferramentas de exibições permite acesso às exibições fornecidas com o
sistema, assim como às exibições personalizadas que você adiciona.
Estes são os diferentes tipos de exibições predefinidas.
•
As exibições Ativo, ameaça e risco resumem os dados de ativos, ameaças e riscos e seus possíveis
efeitos no sistema.
•
Exibições de conformidade ajudam a simplificar as atividades de conformidade com a norma.
•
Exibições de dashboard fornecem uma visão geral de aspectos específicos do sistema.
•
A exibição Status do dispositivo mostra o status dos dispositivos selecionados na árvore de navegação
do sistema. Se você clicar em um dispositivo na exibição, as informações de integridade
relacionadas ao dispositivo selecionado serão exibidas na metade inferior da exibição.
•
Pesquisa do ELM aprimorada fornece rastreamento em tempo real do andamento e dos resultados da
pesquisa. Essa exibição fica disponível somente quando há um ELM no sistema (consulte Exibição
da pesquisa do ELM aprimorada).
•
Exibições de eventos detalham as informações geradas pelos eventos associados ao dispositivo
selecionado na árvore de navegação do sistema.
•
Exibições executivas fornecem uma visão geral dos aspectos do sistema mais interessantes para
funcionários que não são de TI.
•
Exibições de fluxo detalham informações registradas sobre cada fluxo (ou conexão) realizado por meio
do IPS do Nitro (consulte Exibições de fluxo).
•
O McAfee Event Reporter inclui exibições específicas de vários produtos da McAfee.
•
Exibições de risco são usadas com o gerenciador padrão de ACE. Para exibir corretamente os dados de
gerenciadores personalizados, é necessário criar exibições personalizadas.
•
As Exibições de fluxo de trabalho de evento incluem estas exibições:
•
Alarmes disparados – Exiba e gerencie os alarmes que são disparados quando as condições de
alarme são atendidas (consulte a exibição Alarmes disparados).
•
Gerenciamento de casos – Exiba e gerencie os casos no sistema (consulte Exibir todos os casos).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
255
7
Trabalho com eventos
Trabalhar com exibições do ESM
Exibições de fluxo
Um fluxo é um registro de uma conexão feita através do dispositivo. Quando a análise de fluxo é
ativada no IPS do Nitro, são registrados os dados sobre cada fluxo, ou conexão, ocorrida através do
IPS do Nitro.
Os fluxos têm endereços IP de origem e destino, portas, endereços MAC, um protocolo e um primeiro
e último nome (indicando a duração entre o início da conexão e seu término).
Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, há mais fluxos do que
eventos. Um fluxo não está associado a uma assinatura de regra (SigID) como um evento. Fluxos não
estão associados a ações de eventos como alerta, descarte e rejeição.
Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem e
destino. Bytes de origem e pacotes indicam o número de bytes e pacotes transmitidos pela origem do
fluxo. Os bytes de destino e pacotes indicam o número de bytes e pacotes transmitidos pelo destino
do fluxo. Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina fora da
HOME_NET. Um fluxo de saída se origina dentro da HOME_NET. Essa variável é definida em uma
política para um Nitro IPS.
Para exibir dados de fluxo, é necessário ativar o sistema para que registre dados de fluxo. Você pode
exibir fluxos na exibição Análise de fluxo.
Ativar o registro de fluxo
Para exibir os dados da análise de fluxo de um IPS do Nitro, é necessário ativar duas variáveis do
firewall.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Selecione um dispositivo na árvore de navegação de sistemas.
Clique no ícone Editor de políticas
e selecione Variável no painel Tipos de regras.
3
Expanda a categoria Firewall no painel de exibição de regras.
4
Na linha INBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite
Sim e clique em OK.
5
Para OUTBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite Sim
e clique em OK.
Exibição da Pesquisa do ELM aprimorada
A exibição da Pesquisa do ELM aprimorada fica disponível quando há pelo menos um dispositivo do ELM no
sistema. Isso permite executar pesquisas mais detalhadas e fornece rastreamento em tempo real do
progresso e dos resultados da pesquisa quando você executa uma pesquisa de logs em um ou mais
ELMs.
Essa exibição é beneficiada com os recursos de geração de relatórios estatísticos do ELM para fornecer
informações em tempo real sobre o volume de dados que precisa ser pesquisado, permitindo que você
limite a consulta para reduzir o número de arquivos a serem pesquisados.
Para obter maior rapidez na pesquisa ao usar a Pesquisa do ELM aprimorada, é preciso ativar o mecanismo
de indexação de texto completo, que aumenta a velocidade, porque ele limita o número de arquivos
pesquisados. Para esse aumento ter efeito, todos os registros existentes do ELM devem ser indexados.
Depois que o indexador for ativado, a indexação poderá levar até algumas semanas, dependendo da
velocidade do sistema e do número de registros coletados. O desempenho da pesquisa não diminui
durante esse tempo, somente melhora à medida que os registros do ELM são indexados. Para ativar a
indexação de texto completo, consulte Permitir pesquisas do ELM mais rápidas.
256
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Enquanto a pesquisa é processada, os gráficos mostram os resultados estimados:
•
Gráfico de Distribuição dos resultados por tempo — Exibe as estimativas e os resultados com base na
distribuição por tempo. O eixo inferior muda de acordo com o que está selecionado na lista
suspensa de período.
•
Gráfico de Resultados de origem de dados — Exibe as estimativas e os resultados por origem de dados
com base nas origens de dados dos dispositivos selecionados na árvore de navegação de sistemas.
•
Gráfico de Resultados de tipo de dispositivo — Exibe as estimativas e os resultados por tipo de dispositivo
com base nos dispositivos selecionados na árvore de navegação de sistemas.
Esses gráficos são preenchidos antes do início da pesquisa e são atualizados conforme os resultados
são encontrados. Você pode selecionar uma ou mais barras nos gráficos de Resultados de origem de dados
ou Resultados de tipo de dispositivo ou realçar uma seção do gráfico de Distribuição dos resultados por tempo. Clique
em Aplicar filtros para restringir a pesquisa quando os resultados começam a chegar. Isso permite fazer
uma busca detalhada dos resultados da pesquisa e limitar o volume de dados que precisa ser
pesquisado. Quando a pesquisa termina, esses gráficos exibem os resultados reais.
Realizar uma pesquisa do ELM aprimorada
Pesquise nos logs de um ou mais dispositivos do ELM as informações definidas por você. Se o
indexador de texto completo estiver ativado, você poderá realizar pesquisas do ELM com maior
rapidez, pois ele limita o número de arquivos que devem ser pesquisados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de exibição, selecione Pesquisa do ELM aprimorada na lista suspensa.
2
Se houver mais de um dispositivo do ELM no sistema, selecione os dispositivos para pesquisa na
lista suspensa ao lado do campo de texto.
3
Digite uma pesquisa de texto normal ou expressão regular no campo de texto.
Esse campo não aceita vocabulário de indexação de texto completo, como XOR e NOT. Ele não é
compatível com AND e OR.
4
Se desejar pesquisar um período diferente de Dia atual, selecione-o na lista suspensa.
5
Na árvore de navegação de sistemas, selecione os dispositivos que deseja pesquisar.
6
Se for necessário, selecione uma ou mais destas opções:
•
Não diferencia maiúsculas de minúsculas — A pesquisa passa a não diferenciar maiúsculas de
minúsculas.
•
Expressão regular — Trata o termo no campo de pesquisa como uma expressão regular.
•
NÃO contém termo de pesquisa — Retorna correspondências que não contenham o termo do campo de
pesquisa.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
257
7
Trabalho com eventos
Trabalhar com exibições do ESM
7
Clique em Pesquisar.
Os resultados são exibidos na seção Resultados da pesquisa da exibição.
8
Siga um destes procedimentos durante ou após a conclusão da pesquisa.
Opção
Definição
Salvar pesquisa
Salve os resultados dessa pesquisa, mesmo que você saia da
exibição. As pesquisas salvas são exibidas na página
Propriedades do ELM | Dados.
Fazer download do arquivo de resultados da
Faça download dos resultados para o local que você indicou.
pesquisa
Copie os itens selecionados na área de transferência para
que você possa colá-los em um documento.
Copiar itens selecionados para a área de
transferência
Mostre detalhes de quaisquer registros selecionados na
tabela Resultados da pesquisa.
Exibir detalhes de dados
Exibir e gerenciar alarmes disparados
Essa exibição lista os alarmes disparados e os alarmes que não foram excluídos. Você pode executar
várias ações para gerenciar esses alarmes.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM, selecione o ícone de início rápido Alarmes
disparados.
para abrir a exibição Alarmes
Execute uma das seguintes ações:
Para...
Faça isto...
Reconhecer um
alarme
• Para reconhecer um alarme, clique na caixa de seleção na primeira coluna
do alarme disparado que deseja reconhecer.
• Para reconhecer vários, realce os itens e clique no ícone Reconhecer alarme
na parte inferior da exibição.
Os alarmes reconhecidos são removidos do painel Alarmes, mas permanecem
na exibição Alarmes disparados.
Excluir um alarme
do sistema
• Selecione o alarme disparado que deseja excluir e clique no ícone Excluir
alarme
Filtrar os alarmes
.
• Insira as informações que você deseja usar como filtro no painel Filtros e
clique no ícone Atualizar
Alterar o
responsável por
alarmes
.
1 Se as guias de detalhes de dados não estiverem aparecendo na parte
inferior da exibição, clique no ícone Exibir detalhes de dados
.
2 Selecione os alarmes, clique em Responsável e selecione o novo responsável.
258
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Para...
Faça isto...
Criar um caso para
alarmes
1 Verifique se as guias de detalhes de dados estão aparecendo.
Exibir detalhes
sobre um alarme
1 Verifique se as guias de detalhes de dados estão aparecendo na parte
inferior da exibição.
2 Selecione os alarmes, clique em Criar caso e faça as seleções necessárias.
2 Selecione o alarme e siga um destes procedimentos:
• Clique na guia Evento de gatilho para exibir o evento que disparou o alarme
selecionado. Clique duas vezes no evento para exibir uma descrição.
A guia Evento de gatilho nem sempre fica disponível porque algumas
condições de alarme não são atendidas por um único evento.
• Clique na guia Condição para ver a condição que disparou o evento.
• Clique na guia Ação para ver as ações que ocorreram como resultado do
alarme e as marcas ePolicy Orchestrator atribuídas ao evento.
Editar
configurações de
alarme disparado
1
2
Clique no alarme disparado e depois no ícone Menu
alarme.
e selecione Editar
Na página Configurações de alarme, faça as alterações (clique no ícone Ajuda
em cada guia para obter instruções) e clique em Finalizar.
Adicionar uma exibição personalizada
As exibições personalizadas incluem componentes que permitem a exibição das informações
desejadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na barra de ferramentas de exibição, clique no ícone Criar nova exibição
e, em seguida, clique e
arraste um componente da Barra de ferramentas Exibir edição (consulte Exibir componentes).
No Assistente de consulta, selecione as opções desejadas para que a exibição gere os dados que você
deseja exibir (consulte Trabalhar com o Assistente de consulta) e clique em Finalizar.
Os dados são exibidos no componente adicionado.
3
Siga um destes procedimentos:
Para...
Faça isto...
Mover o componente
Clique na barra de título do componente, arraste e solte.
Exibir nomes de host em
vez de endereços IP, por
padrão
Personalizar o componente
McAfee Enterprise Security Manager 9.5.0
Clique no ícone Mostrar nomes de host
na barra de ferramentas de um
componente que exibe endereços IP (consulte Gerenciamento de
nomes de host).
Clique no componente e faça as alterações nas configurações no
painel Propriedades (consulte Personalização de componentes).
Guia de produto
259
7
Trabalho com eventos
Trabalhar com exibições do ESM
Para...
Faça isto...
Adicionar mais
componentes à exibição
1 Clique e arraste um componente.
Salvar a exibição
1 Clique em Salvar ou Salvar como e digite um nome para a exibição.
2 No Assistente de consulta, selecione as opções desejadas para que a
exibição gere os dados que você deseja exibir e, em seguida,
clique em Finalizar.
Para salvá-la em uma pasta existente, selecione a pasta.
2 Clique em OK.
Copiar e colar um
componente
1 Clique no componente que deseja copiar.
Excluir um componente
Selecione o componente e clique em Excluir.
Sair do editor de exibição
sem salvar a exibição
Exclua todos os componentes e feche a barra de ferramentas Exibir
edição.
2 Clique em Copiar e em Colar.
Exibir componentes
Crie exibições personalizadas para exibir dados de eventos, fluxos, ativos e vulnerabilidades da forma
que for mais útil para você.
Cada exibição consiste em componentes selecionados na Barra de ferramentas Exibir edição e configurados
para exibir os dados. Quando um componente é selecionado, o Assistente de consulta é aberto, permitindo
que você defina os detalhes a respeito dos dados exibidos no componente.
260
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Descrição dos componentes de exibição
Há 13 componentes diferentes que podem ser adicionados a uma exibição personalizada. É possível
usá-los para configurar a exibição para mostrar dados no melhor formato.
Componente
Discagem
controlada
Descrição
Mostra os dados de forma simples. É dinâmico e pode ser vinculado a outros
componentes no console. Atualiza conforme você interagem com o console
ESM.
Cada discagem inclui um indicador de linha de base (
). Os gradientes na
borda de fora do discador ficam vermelhos acima do indicador da linha de
base. Como alternativa, todo o discador pode mudar de cor para representar
um comportamento incomum: ficar amarelo quando dentro de um
determinado limite de uma linha de base ou vermelho quando o limite for
excedido.
A opção Taxa permite que você ajuste a taxa dos dados que está exibindo. Por
exemplo, se estiver observando Dia atual e Total de eventos e alterar a taxa para
hora, você verá o número de eventos por hora do dia determinado. Essa
opção fica desativada se a consulta que você está exibindo já tiver entrado em
uma média, como Gravidade média ou Média de bytes.
Gráfico de
Exibe a visão geral de atividades para o evento ou para os endereços IP de
origem e destino fluxo. A opção de evento permite que você especifique endereços IP e exiba
todos os ataques executados em determinados endereços IP, assim como
exibir todos os ataques que os endereços IP especificados executaram nos
outros. A opção de fluxo permite que você especifique endereços IP e exiba os
endereços IP conectados a eles, assim como que exiba as conexões que os
endereços IP realizaram.
Este gráfico inclui um campo aberto na parte inferior do componente que
permite que você exiba os eventos de origem e de destino ou os fluxos de um
endereço IP específico. Digite o endereço no campo ou selecione um que você
usou anteriormente e clique no ícone Atualizar
.
Gráfico de pizza
Exibe as informações consultadas em um gráfico de pizza. É útil quando você
tem menos categorias a exibir (por exemplo, uma consulta de ação ou de
protocolo).
Tabela
Exibe as informações de consulta em várias colunas. Este componente é útil
para mostrar eventos e dados de fluxo com a melhor granularidade.
Gráfico de
barras
Exibe as informações consultadas em um gráfico de barras, permitindo que
você compare o tamanho de cada resultado em um determinado intervalo de
tempo.
Lista
Exibe os dados de consulta selecionados em um formato de lista. Este
componente é útil quando você deseja exibir uma lista mais detalhada de
itens em um espaço menor.
Distribuição
Mostra uma distribuição de eventos e fluxos ao longo de determinado período.
Você pode definir intervalos para observar períodos específicos para formar os
dados.
Área de notas
Um componente em branco que é usado para notas de texto. Permite que
você escreva notas relacionadas à exibição atual.
Contagem
Exibe o total de eventos, ativos, vulnerabilidades ou fluxos consultados em
uma exibição específica.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
261
7
Trabalho com eventos
Trabalhar com exibições do ESM
Componente
Descrição
Título
Permite que você crie um título ou um cabeçalho para sua exibição. É possível
posicioná-lo em qualquer lugar na exibição.
Topologia de
rede
Permite exibir os dados representados em toda a rede. Também é possível
construir uma exibição personalizada que pode ser usada lado a lado com os
dados de descoberta de rede (consulte Adicionar dispositivos ao componente
de topologia de rede).
Mapa da
localização
geográfica
Mostra o destino e o local da origem dos alertas e dos fluxos em um mapa da
localização geográfica. As opções desse componente permitem que você
alterne entre marcar a cidade, o estado, o país e as áreas mundiais, aumente
ou reduza o zoom e selecione locais usando as teclas Ctrl e Shift.
Lista de filtros
Exibe uma lista de usuários e grupos em seu Active Directory. Depois que o
componente Lista de filtros for adicionado, outros componentes poderão ser
vinculados a ele, basta clicar na seta para baixo nos campos de filtro Usuário de
origem ou Usuário de destino no Assistente de consulta e selecionar Ligar à lista do Active
Directory. Você também pode exibir os dados de evento e de fluxo associados
ao Active Directory clicando no ícone de menu.
Personalização de componentes
Ao adicionar ou editar um componente, diversas opções estão disponíveis no painel Propriedades que
podem ser usadas para personalizá-lo. As opções disponíveis dependem do componente selecionado.
Opção
Definição
Título
Altere o título de um componente.
Largura e altura
Defina as dimensões do componente. Você também pode clicar e arrastar a linha
de limite.
XeY
Defina a localização do componente na exibição. Você também pode clicar na
barra de título do componente e arrastá-la e soltá-la.
Editar consulta
Faça alterações na consulta atual. Quando você clica nesse botão, o Assistente de
consulta é aberto (consulte Trabalhar com o Assistente de consulta).
Mostrar barra de
controles
Defina se a barra de controles na parte inferior do componente será exibida.
Tamanho da página
Defina quantos recursos serão exibidos por página se houver mais dados do que
pode ser exibido de uma vez só.
Mostrar valor de outros Se essa opção for selecionada, um valor Outros será exibido na parte inferior de
um gráfico ou de um componente de lista. Ele fornece o total de registros que
não foram exibidos na página atual. Por exemplo, se você estiver olhando a
página dois de um conjunto de registros, a categoria Outros é a soma dos valores
da página um e de todas as páginas depois da página dois.
262
Mostrar legenda
Exiba uma legenda abaixo ou à direita de um gráfico de pizza.
Mostrar valores
Inclua o valor de cada item em um gráfico de barras.
Mostrar rótulos
Inclua um rótulo em cada barra em um gráfico de barras. Você pode definir o
número máximo de caracteres que podem ser exibidos em um rótulo. Se estiver
definido como 0, não haverá limite máximo do rótulo.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Opção
Definição
Mostrar médias de linha Selecione se os dados atuais deverão ser comparados com dados históricos em
de base
um gráfico de barras ou de distribuição, ou em um controle de discagem. Há
duas opções diferentes a serem usadas ao exibir dos dados de linha de base:
• Intervalo de tempo automático — Se essa opção estiver selecionada, os dados de
linha de base serão correlacionados pelo uso do mesmo período usado na
consulta atual dos últimos cinco intervalos. Por exemplo, se estiver
consultando o dia atual em uma segunda-feira, os dados da linha de base
serão calculados para o mesmo tempo nas últimas cinco segundas-feiras.
Intervalos menores serão usados se não houver dados em um determinado
intervalo. Será calculada então uma média dos valores reunidos de cada
intervalo para calcular o valor de linha de base atual.
• Usar intervalo de tempo específico — A seleção desse intervalo de tempo permite que
você especifique um horário de início e de fim que deverão ser usados para
calcular uma média. Quando essa opção é usada, ela é calculada como um
período único. Nos relatórios de distribuição, isso produz uma média de linha
reta.
Os dados da linha de base são exibidos em gráficos de distribuição com uma
linha azul. A linha ficará reta se a opção Usar intervalo de tempo específico tiver sido
selecionada ou se não houver dados suficientes para calcular um calor
correlacionado. A linha ficará curvada (presumindo que valores diferentes para
cada período sejam exibidos) se um valor correlacionado for calculado. O gráfico
de barras exibe um indicador de será no ponto de linha de base para cada barra.
Se o valor atual for maior do que o valor da linha de base, a barra ficará
vermelha acima do marcador da linha de base. Se o gráfico de barras estiver
exibindo a gravidade da regra, a cor da barra não muda para o valor de linha de
base.
Uma opção adicional permite que você defina um valor de margem a ser exibido
com os dados de linha de base. O valor da margem é calculado pelo valor da
linha de base. Por exemplo, se o valor da linha de base for 100 e a margem
acima for de 20%, o valor da margem será calculado como 120. Quando esse
recurso é ligado, a área da margem de cada barra é exibida em um gráfico de
barras. Um gráfico de distribuição calcula o valor médio da linha de base e exibe
uma área sombreada acima e abaixo da linha de base que indica a área da
margem.
Lista de dispositivos
Arraste e solte dispositivos para o componente Topologia de rede ou para a árvore
Agrupamentos de dispositivos lógicos.
Agrupamentos de
dispositivos lógicos
Crie pastas para agrupar os dispositivos para o componente Topologia de rede.
Segundo plano
Selecione a cor do segundo plano de exibição. URL da imagem de plano de fundo
permite importar uma imagem para usar como plano de fundo.
Adicionar dispositivos ao componente de topologia de rede
A topologia da rede permite obter dados de eventos e fluxos dos dispositivos ou da árvore de
dispositivos, e exibir os dados representados na rede.
Antes de iniciar
É necessário descobrir a rede antes de a lista de dispositivos ser exibida (consulte
Descoberta de rede).
Você pode também criar uma exibição personalizada que possa ser usada com dados de descoberta de
rede. Depois de criar uma exibição da topologia da rede, personalize-a para exibir informações sobre
eventos ou fluxos (consulte Adicionar uma exibição personalizada).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
263
7
Trabalho com eventos
Trabalhar com exibições do ESM
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Ao adicionar ou editar uma exibição, clique no componente Topologia de rede de evento, arraste-o e
solte-o.
O painel Propriedades exibe a Lista de dispositivos e a árvore de Agrupamentos de dispositivos lógicos.
2
3
Na Lista de dispositivos ou Lista de pastas, selecione um dispositivo ou uma pasta e siga um destes
procedimentos:
•
Para adicionar o dispositivo ou pasta ao componente, arraste-o e solte-o no componente.
•
Para adicionar o dispositivo ou pasta a um grupo na árvore Agrupamentos de dispositivos lógicos,
clique em Adicionar, digite um nome para a pasta e clique em OK, em seguida, arraste e solte o
dispositivo na pasta.
Organize os dispositivos.
Dispositivos que estão fisicamente conectados ao sistema conectam-se a uma linha preta reta no
componente. As linhas curvas azuis ou vermelhas indicam um caminho de dados.
Detalhes do dispositivo nos componentes de Topologia de rede
É possível exibir detalhes específicos do dispositivo em um componente de Topologia de rede clicando
duas vezes em um dispositivo. Essa tela permite exibir informações de interface e de terminal tais
como resumo de porta, total de dispositivos e status dos dispositivos.
Opção
Definição
Resumo de porta para
Mostra a porta que está sendo exibida no momento.
Total
Fornece o número total de dispositivos.
Acima da média de linha de base Determina o número de dispositivos acima da média da linha de base
atual
Representa uma estação de trabalho.
Indica que a interface possui dados de alerta associados, e que os dados
estão abaixo da média da linha de base.
Indica que a interface possui dados de alerta associados, e que os dados
estão acima da média da linha de base.
Indica que a interface não possui dados de alerta associados a ela.
Indica que o estado administrativo está desativado (não somente no nível
operacional).
Representa um roteador.
Indica que a porta do switch está ativada.
264
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Opção
Definição
Representa um dispositivo desconhecido.
Representa um dispositivo não gerenciado.
Indica que o ESM não pode se comunicar com o dispositivo por SNMP,
descoberta de rede ou ping.
Barra de ferramentas de componentes
A barra de ferramentas de componentes, localizada na parte inferior de cada componente em uma
exibição, oferece diversas ações que podem ser executadas nos dados do componente. As ações
disponíveis dependem do tipo de componente.
Opção
Definição
Marcar evento(s) como revisado(s) — Marque eventos específicos
após revisá-los. Você pode usar a lista suspensa Alterar filtro de
estado de evento para mostrar somente eventos revisados ou
somente eventos que não foram revisados.
Atribuir eventos a um caso ou ao Remedy — Atribua eventos a um
caso (consulte Gerenciar casos) ou envie uma mensagem de
e-mail ao sistema Remedy (se estiver configurado). Ao clicar
nesse ícone, você pode selecionar:
• Criar um novo caso
• Adicionar eventos a um caso
• Enviar evento ao Remedy (consulte Enviar um e-mail ao
Remedy)
Abrir URL do dispositivo — Abra o URL associado ao evento
selecionado, caso você tenha adicionado um ao dispositivo
(consulte Adicionar um URL). Se não tiver definido um URL,
você será solicitado a adicioná-lo.
Mostrar ou Ocultar nomes de host — Mostre ou oculte os nomes de
host associados aos endereços IP na exibição (consulte
Gerenciamento de nomes de host).
Ícones de tipos de gráfico
McAfee Enterprise Security Manager 9.5.0
Alterar tipo de gráfico — Altere o tipo de gráfico que exibe os
dados. O ícone para esse recurso será o ícone de
componente para o tipo de gráfico atual.
Guia de produto
265
7
Trabalho com eventos
Trabalhar com exibições do ESM
Opção
Definição
Exibir ou Ocultar detalhes de dados — Mostre ou oculte os detalhes
do evento selecionado. Essa seção contém várias guias:
• Detalhes: mostra as informações disponíveis sobre o evento
ou fluxo selecionado.
• Detalhes avançados: mostra informações sobre o dispositivo
de rede de origem, o dispositivo de rede de destino e
Remedy. Você pode pesquisar por eventos ou fluxos por
seus IDs, se tiver direitos suficientes para exibir esses
registros, clicando no ícone de lupa à direita do campo ID
do evento ou ID do fluxo.
• Localização geográfica: mostra a localização da origem e do
destino do evento selecionado.
• Descrição: fornece o nome, a descrição e a assinatura ou
regra associada ao evento.
• Notas: permite que você adicione notas ao evento ou fluxo,
que serão exibidas sempre que você exibir esse item.
• Pacote: Recupera o conteúdo do pacote que gerou o evento
selecionado. É possível executar as seguintes funções
nesta guia:
• Selecione o formato para exibir o pacote.
•
•
Recupere os dados do pacote clicando em
.
Salve o pacote em seu computador clicando em
. Se
o item se tratar de uma captura de pacote ou PCAP
(como eventos do IPS do Nitro, eventos ADM, eventos
Estreamer do Receptor), ele será salvo com uma
extensão .pcap e poderá ser aberto em qualquer
programa que exiba esse tipo de arquivo. Caso
contrário, ele será salvo como um arquivo de texto.
• Configure-o para recuperar o pacote automaticamente
ao clicar em um evento.
• Pesquise por informações no pacote inserindo a
palavra-chave no campo Localizar texto e clicando em
.
Não use caracteres especiais, como colchetes ou
parênteses, no campo Localizar texto.
• Eventos de origem: quando um evento de correlação ou
vulnerabilidade é selecionado, essa opção exibe o conjunto
de eventos que causou a geração desse evento.
• Arquivo do ELM: se você inserir texto no campo Localizar texto,
essa opção recupera dados arquivados no ELM. Se o
evento for agregado, um dispositivo do Receptor ou do
ACE exibirá até 100 eventos agregados.
• Tipos personalizados: Se você definiu tipos personalizados
(consulte Filtros de tipo personalizado), essa opção mostra
266
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Opção
Definição
os campos de tipo personalizado e os dados do evento que
pertencem aos campos.
• Informações: mostra informações como o nome do
dispositivo, o endereço IP, o sistema operacional, a versão
do dispositivo, a descrição do sistema, o contato do
sistema e a localização física do sistema.
• Interfaces: mostra o nome da porta, a velocidade da porta, a
VLAN, o estado administrativo e o estado operacional.
• Vizinhos: mostra informações específicas sobre os
dispositivos vizinhos, como a interface local, o dispositivo
vizinho e a interface vizinha.
Alterar período e velocidade do intervalo — Defina com que
frequência os dados do gráfico serão atualizados.
Definir velocidade — Selecione a velocidade na qual os dados
serão exibidos (nenhuma, por segundo, por minuto, por
hora, por dia, por semana, por mês).
Endereço IP — Exiba os eventos ou fluxos de origem e de
destino referentes a um endereço IP específico. Digite o
endereço no campo ou selecione um endereço usado
anteriormente e clique no ícone Atualizar
.
Opções de localização geográfica — Alterne entre a marcação de
áreas na cidade, no estado, no país e no mundo, aumente e
reduza o zoom e selecione localizações com as teclas Ctrl e
Shift.
Alterar página — Navegue pelos dados quando houver mais de
uma página.
Alterar filtro de estado de evento — Selecione os tipos de eventos e
fluxos a serem exibidos na lista de análise. Você pode exibir
todos os eventos, somente eventos revisados, somente
eventos não revisados, eventos reparados, todos os fluxos,
somente fluxos abertos ou somente fluxos fechados.
Botões do histórico — Avance ou retroceda para ver as
alterações realizadas na exibição.
ou
Exibir caminhos de dados ou Ocultar caminhos de dados — Oculte ou
exiba a linha que conecta dois dispositivos com conexões de
dados de fluxo ou evento.
Ocultar texto — Oculte ou mostre os rótulos do dispositivo na
exibição de Topologia de rede.
Envie um e-mail de reparação
Se você configurar um sistema de reparação, poderá enviar uma mensagem de e-mail para notificar o
sistema de um evento que precise de reparação. Ao seguir esse processo, você recebe um número de
caso da reparação para adicionar ao registro do evento.
Um sistema de reparação é configurado pelo usuário e não tem ligação com o IPS do Nitro da McAfee.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
267
7
Trabalho com eventos
Trabalhar com exibições do ESM
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Em uma exibição de evento, realce o evento que requer uma ação corretiva.
Clique no ícone Atribuir eventos a um caso ou ao Remedy
e em seguida selecione Enviar evento ao Remedy.
3
Adicione o Prefixo, a Palavra-chave e o ID de usuário do Enterprise.
4
(Opcional) Adicione informações em Detalhes, onde há informações geradas pelo sistema sobre o
evento.
5
Clique em Enviar.
Opções do menu de componentes
A maioria dos componentes de uma exibição tem um menu
componente. Essa tabela lista os possíveis itens.
que lista as opções disponíveis do
Opção
Definição
Busca detalhada (Evento,
Fluxo, Ativo)
Exiba mais detalhes para o tipo de dado selecionado nas listas de buscas
detalhadas. Uma nova exibição mostra os detalhes.
Resumir ou Resumir por
Exiba outro dado de evento ou fluxo que compartilhe as características
dos eventos selecionados. Por exemplo, se você estiver observando um
evento de varredura de portas na tela de análise e quiser ver outros
eventos gerados pelo mesmo atacante, clique no evento, selecione
Resumir por e clique em IP de origem.
Modificar configurações de
agregação
Crie uma exceção para as configurações gerais de agregação para uma
regra individual (consulte Adicionar exceções às configurações de
agregação de eventos).
Ações
Criar nova lista de
observação
Selecione eventos em uma exibição e adicione-os a uma nova lista de
observação (consulte Listas de observação).
Anexar à lista de
observação
Selecione eventos em uma exibição e adicione-os a uma lista de
observação existente.
Criar novo alarme
Selecione eventos em uma exibição e crie um alarme com base em seus
valores (consulte Criar um alarme).
Executar varredura do Inicie uma varredura do McAfee Vulnerability Manager se o sistema
MVM
incluir um dispositivo do McAfee Vulnerability Manager.
Iniciar o ePO
Abra a interface do ePolicy Orchestrator (consulte Iniciar o ePolicy
Orchestrator).
Histórico de execução Quando um evento do TIE for selecionado, abra a página Histórico de
do TIE
execução do TIE para exibir os endereços IP que tentaram executar o
arquivo selecionado. Nessa página, você pode criar uma nova lista de
observação, anexar um arquivo a uma lista de observação, criar um novo
alarme, incluir um arquivo na lista negra, exportar um arquivo para CSV
ou adicionar marcas do ePolicy Orchestrator ao arquivo.
268
Mostrar regra
Exiba a regra que gerou o evento.
Detalhes do endereço IP
Pesquise informações sobre um endereço IP ou uma porta de origem ou
destino. Você pode exibir detalhes de ameaças e os resultados da
pesquisa WHOIS do endereço IP selecionado.
Pesquisa de ASN
Recupere um registro WHOIS usando o identificador ASN.
Procurar referência
Abra seu navegador da Web padrão e conecte-se ao banco de dados de
assinaturas on-line McAfee, que fornece informações sobre a assinatura
que gerou o evento selecionado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Opção
Definição
Definir ID do caso Remedy
Adicione o ID do caso Remedy, que você recebeu ao enviar um e-mail de
evento para o sistema Remedy, ao registro de evento para referência
futura (consulte Adicionar ID do caso Remedy ao registro de evento).
Lista negra
Adicione o endereço IP do evento selecionado à lista negra. Quando essa
opção é selecionada, o Editor de lista negra é aberto, cujo campo de endereço
IP é preenchido com dados do evento selecionado (consulte Lista negra
do IPS ou dispositivo virtual).
Pesquisar ELM
Execute uma pesquisa de informações contidas no ELM sobre o evento
selecionado. A página Pesquisa do ELM aprimorada é aberta e preenchida com
os dados selecionados (consulte Executar uma pesquisa do ELM
aprimorada).
Alterar VLAN
Altere a VLAN para qualquer dispositivo selecionado. Você pode
selecionar de 1 a 12 dispositivos.
Desativar ou ativar porta(s)
Selecione um ou vários terminais ou interfaces. Dependendo do que for
selecionado, a opção para ativar ou desativar será exibida. Por exemplo,
se você selecionar cinco interfaces e uma delas estiver ativada e as
outras quatro desativadas, somente será possível desativar a porta. No
entanto, se você selecionar uma porta desativada, a opção Ativar porta(s)
estará disponível.
Exibir eventos ou Exibir fluxos
Exiba os eventos gerados por um fluxo ou os fluxos gerados por um
evento.
Exportar
Exporte um componente da exibição em formato PDF, de texto, CSV ou
HTML (consulte Exportar uma exibição).
Excluir
Exclua eventos ou fluxos do banco de dados. Você deve pertencer a um
grupo com privilégios de evento e será possível excluir somente os
registros atualmente selecionados, a página atual de dados ou um
número máximo de páginas a partir da primeira.
Marcar como revisado
Marque eventos como revisados. Você pode marcar todos os registros no
conjunto de resultados, na página atual ou nos registros selecionados.
Criar regra de firewall
personalizada
Crie uma regra de firewall personalizada com base nas propriedades do
evento ou fluxo selecionado. Quando você clica em Criar regra de firewall
personalizada, a página Nova regra é aberta (consulte Adicionar regras
personalizadas de ADM, banco de dados ou correlação).
Criar regra personalizada
Crie uma regra personalizada usando a assinatura que disparou um
alerta específico como ponto inicial. Essa opção é disponibilizada quando
você seleciona alertas gerados por regras padrão (não do firewall).
Quando você clica em Criar regra personalizada, a página Nova regra é aberta
(consulte Adicionar regras personalizadas de ADM, banco de dados ou
correlação).
Realizar uma pesquisa WHOIS ou ASN
Você pode realizar uma pesquisa WHOIS em um componente de tabela para encontrar informações
sobre um endereço IP de origem ou de destino. A Pesquisa de ASN, disponível em qualquer consulta ASN
no gráfico de barras e em qualquer registro de fluxo em um componente de tabela que contenha
dados ASN, recupera um registro WHOIS usando o identificador ASN.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Selecione um endereço IP ou registro de fluxo com dados ASN listados em um componente de
tabela, ou em uma barra de consulta ASN de um componente de gráfico de barras.
Clique no menu
e selecione Detalhes do endereço IP ou Pesquisa de ASN.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
269
7
Trabalho com eventos
Trabalhar com exibições do ESM
3
Para pesquisar outro endereço IP ou identificador:
•
Na página WHOIS, selecione um endereço IP na lista suspensa e insira o nome do host.
•
Na página Pesquisa de ASN, digite os números ou selecione um na lista suspensa.
Adicionar ID de caso do Remedy ao registro de evento
Quando você envia um e-mail de evento ao sistema Remedy, recebe um número de ID de caso. É
possível adicioná-lo ao registro de evento para fins de referência.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Realce o evento na exibição Análise de evento e clique no menu
.
Selecione Definir ID do caso Remedy, digite o número e clique em OK.
Exportar um componente
Você pode exportar os dados em um componente de exibição do ESM. Os componentes de gráfico
podem ser exportados nos formatos de texto ou PDF e os componentes de tabela em valores
separados por vírgula (CSV) ou HTML.
Na exportação da página atual de um gráfico, distribuição ou componente de tabela em uma exibição,
os dados exportados coincidem exatamente com o que é visto ao iniciar a exportação. Se exportamos
mais de uma página, a consulta será executada novamente de acordo com a exportação de dados,
portanto, pode ser diferente do que você vê no componente.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
4
Em uma exibição, clique no menu
Exportar.
do componente que deseja exportar e depois clique em
Selecione um dos seguintes formatos:
•
Texto — Exporte os dados no formato de texto.
•
PDF — Exporte os dados e uma imagem.
•
Imagem para PDF — Exporte somente a imagem.
•
CSV — Exporte uma lista em formato delimitado por vírgula.
•
HTML — Exporte os dados em uma tabela.
Na página Exportar, especifique os dados que você deseja exportar.
•
Se tiver selecionado Texto ou PDF, você poderá exportar a página atual de dados ou um número
máximo de páginas a partir da página 1.
•
Se você tiver selecionado Imagem para PDF, a imagem será gerada.
•
Se tiver selecionado CSV ou HTML, você poderá exportar somente os itens selecionados, somente
a página atual de dados ou um número máximo de páginas, a partir da página 1.
Clique em OK
O arquivo de exportação será gerado e você será solicitado a fazer download do arquivo resultante.
270
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Trabalhar com o Assistente de consulta
Cada relatório ou exibição no ESM reúne dados com base nas configurações de consulta para cada
componente.
Ao adicionar ou editar uma exibição ou relatório, defina as configurações de consulta para cada
componente no Assistente de consulta selecionando o tipo de consulta, a consulta, os campos a serem
incluídos e os filtros a serem usados. Todas as consultas no sistema, tanto predefinidas quanto
personalizadas, são listadas no assistente para que você possa selecionar os dados a serem reunidos
pelo componente. Também é possível editar ou remover consultas e copiar uma consulta existente
para usá-la como modelo para configuração de uma nova consulta.
Gerenciar consultas
O ESM vem com consultas predefinidas que você pode selecionar no Assistente de consulta ao adicionar ou
editar um relatório ou exibição. É possível editar algumas das configurações dessas consultas, além de
adicionar e remover consultas personalizadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Execute uma das seguintes ações para acessar o Assistente de consulta.
Para...
Faça isto...
Adicionar uma
nova exibição
1
Clique no ícone Criar nova exibição
exibição.
localizado na barra de ferramentas de
2 Arraste e solte um componente da Barra de ferramentas Exibir edição para exibir o
painel.
O assistente do Assistente de consulta é aberto.
Editar uma
exibição
existente
1 Selecione a exibição que deseja editar.
2
Clique no ícone Editar exibição atual
exibição.
localizado na barra de ferramentas de
3 Clique no componente que deseja editar.
4 Clique em Editar consulta no painel Propriedades.
O Assistente de consulta abrirá na segunda página.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
271
7
Trabalho com eventos
Trabalhar com exibições do ESM
Para...
Faça isto...
Criar o layout de 1 Em Propriedades do sistema, clique em Relatórios.
um novo
2 Clique em Adicionar.
relatório
3 Na seção 5 da página Adicionar relatório clique em Adicionar.
4 Arraste e solte um componente na seção de layout do relatório.
O assistente do Assistente de consulta é aberto.
Editar o layout
de um relatório
existente
1 Em Propriedades do sistema, clique em Relatórios.
2 Selecione o relatório que deseja editar e clique em Editar.
3 Na seção 5 da página Editar relatório, selecione um layout existente e clique em
Editar.
4 Clique no componente na seção de layout do relatório e clique em Editar
consulta, na seção Propriedades.
O Assistente de consulta é aberto na segunda página.
2
No Assistente de consulta, siga um destes procedimentos:
Para fazer isto...
Faça isto...
Adicionar uma nova
consulta
1 Selecione a consulta que deseja usar como modelo e clique em Copiar.
2 Digite o nome da nova consulta e clique em OK.
3 Na lista de consultas, clique naquela que acabou de adicionar e clique
em Avançar.
4 Na segunda página do assistente, altere as configurações clicando nos
botões.
3
Editar uma consulta
personalizada
1 Selecione a consulta personalizada que deseja editar e clique em Editar.
Remover uma consulta
personalizada
Selecione a consulta personalizada que deseja remover e clique em
Remover.
2 Na segunda página do assistente, altere as configurações clicando nos
botões.
Clique em Finalizar.
Vincular componentes
Quando um componente de exibição é vinculado a outro componente usando o vínculo de dados, a
exibição se torna interativa.
Selecionar um ou mais itens no componente pai faz com que os resultados exibidos no componente
filho sejam alterados, como se uma busca detalhada tivesse sido executada. Por exemplo, se você
vincular um componente de IP de origem de gráfico de barras pai a um componente de IP de destino
de gráfico de barras, fazer uma seleção no componente pai faz com que o componente filho execute
sua consulta usando o IP de origem como filtro. Alterar a seleção no componente pai atualiza os dados
do componente filho.
O vínculo de dados só permite que um campo seja vinculado a outro.
272
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Trabalho com eventos
Trabalhar com exibições do ESM
7
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Crie os componentes pai e filho e selecione o componente filho.
2
No painel Propriedades, clique em Editar consulta | Filtros.
A página Filtros de consulta é aberta com as consultas do pai e do filho ativadas.
3
Na lista suspensa da consulta filho, selecione Ligar a.
4
Clique em OK e em Finalizar.
Comparação de valores
Gráficos de distribuição apresentam uma opção que permite que você sobreponha uma variável
adicional por cima do gráfico atual.
Dessa maneira, é possível comparar dois valores facilmente para, por exemplo, mostrar as relações
entre o total de eventos e a gravidade média. Esse recurso oferece valiosas comparações de dados ao
longo do tempo em somente um instante. Esse recurso também é útil para poupar o espaço na tela ao
criar grandes exibições, combinando os resultados em um único gráfico de distribuição.
A comparação é limitada ao mesmo tipo da consulta selecionada. Por exemplo, se uma consulta de
evento é selecionada, você poderá compará-la somente aos campos da tabela de eventos, não da
tabela de fluxo ou ativos e vulnerabilidades.
Quando você aplica os parâmetros de consulta ao gráfico de distribuição, sua consulta é executada
normalmente. Se o campo de comparação estiver ativado, uma consulta secundária é executada para
os dados ao mesmo tempo. O componente de distribuição exibe os dados para ambos os conjuntos de
dados no mesmo gráfico, mas usa dois eixos verticais separados. Se você alterar o tipo de gráfico
(canto inferior direito do componente), ambos os conjuntos continuarão a ser exibidos.
Comparar valores de gráfico
Você pode comparar os dados de um gráfico de distribuição com uma variável selecionada.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Selecione os ícones Criar nova exibição
ou Editar exibição atual
.
2
Clique no ícone Distribuição
e arraste-o e solte-o na exibição para abrir o Assistente de consulta.
3
Selecione o tipo de consulta e a consulta e clique em Avançar.
4
Clique em Comparar e selecione o campo que você deseja comparar com a consulta selecionada.
5
Clique em OK e em Finalizar.
6
Mova o componente para o local correto da exibição e:
•
Clique em Salvar se você estiver adicionando o componente a uma exibição existente.
•
Clique em Salvar como e adicione o nome da exibição se você estiver criando uma nova exibição.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
273
7
Trabalho com eventos
Trabalhar com exibições do ESM
Configurar distribuição empilhada para exibições e relatórios
Configure o componente de distribuição em uma exibição ou em um relatório, para conseguir ver a
distribuição dos eventos relacionadas a um campo específico.
É possível selecionar o campo a ser empilhado quando o componente é adicionado a uma exibição ou
a um relatório. Ao acessar a exibição, você poderá alterar as configurações, configurar o intervalo de
tempo e definir o tipo de gráfico e os detalhes.
Não é possível usar os recursos de Empilhamento e Comparação na mesma consulta.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Arraste e solte o componente de Distribuição em uma exibição (consulte Adicionar uma exibição
personalizada) ou em um relatório (consulte Adicionar layout de relatório), e selecione o tipo de
consulta.
O empilhamento não está disponível para Taxa de coleta ou Média (por exemplo, consultas de
distribuição de Gravidade média por alerta ou Duração média por fluxo).
2
Na segunda página do Assistente de consulta, clique em Empilhamento e selecione as opções.
3
Clique em OK na página Opções de empilhamento e em Finalizar no Assistente de consulta.
A exibição é adicionada. É possível alterar as configurações e definir o intervalo de tempo e o tipo de
gráfico clicando no ícone Opções de gráfico
.
Gerenciar exibições
A opção Gerenciar exibições é um modo rápido de copiar, importar ou exportar mais de uma exibição
por vez, bem como selecionar exibições para incluí-las na lista de exibições e atribuir permissão a
usuários ou grupos específicos para que acessem exibições individuais.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM clique no ícone Gerenciar exibições
.
Execute uma das opções disponíveis e clique em OK.
Verificar um evento
Na exibição Análise de evento, é possível procurar eventos que correspondam a um ou mais campos do
evento no período selecionado antes e após o evento.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
274
No console do ESM, clique na lista de exibições e selecione Exibições de eventos | Análise de evento.
Clique em um evento, clique no ícone do menu
McAfee Enterprise Security Manager 9.5.0
e em Verificar.
Guia de produto
Trabalho com eventos
Trabalhar com exibições do ESM
7
3
Selecione os minutos antes e depois da hora do evento para que o sistema procure uma
correspondência.
4
Clique em Selecionar filtro, selecione o campo no qual será feita a correspondência da pesquisa e, em
seguida, digite o valor.
Os resultados são mostrados na exibição Resultados da verificação.
Se você sair da exibição e desejar retornar para ela mais tarde, clique em Última verificação no menu
Análise de evento.
Exibir os detalhes do endereço IP de um evento
®
™
Se você tiver uma licença do McAfee Global Threat Intelligence (McAfee GTI) da McAfee, você terá
acesso à nova guia Detalhes da ameaça ao realizar a pesquisa Detalhes do endereço IP. Quando você seleciona
essa opção, detalhes sobre o endereço IP são retornados, incluindo dados de localização geográfica e
gravidade de riscos.
Antes de iniciar
Compre uma licença do McAfee GTI (consulte Lista de observação do McAfee GTI).
Se a sua licença do McAfee GTI tiver expirado, entre em contato com o engenheiro de
vendas da McAfee ou o Suporte da McAfee.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM, selecione uma exibição que inclua um componente de tabela, como Exibições de
eventos | Análise de evento.
Clique em um endereço IP, no ícone do menu
endereço IP e em Detalhes do endereço IP.
, em qualquer componente que tiver um
A guia Detalhes da ameaça lista os dados do endereço IP selecionado. Você poderá copiar os dados para a
área de transferência do sistema.
A opção Detalhes do endereço IP substituiu a opção Pesquisa WHOIS no menu de contexto. No entanto, a página
Detalhes do endereço IP inclui uma guia Pesquisa WHOIS que mostra essas informações.
Alterar a exibição padrão
A exibição Resumo padrão aparece no painel de exibição por padrão quando você efetuar logon no
console do ESM pela primeira vez. Você pode alterar essa exibição padrão para qualquer uma das
exibições padrão ou predefinidas no ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na barra de navegação do console ESM, clique em Opções e selecione Exibições.
2
Na lista suspensa Exibição do sistema padrão, selecione a nova exibição padrão e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
275
7
Trabalho com eventos
Trabalhar com exibições do ESM
Filtragem de exibições
No painel de filtros localizado no console principal do ESM, você pode configurar os filtros a serem
aplicados nas exibições. Os filtros aplicados a uma exibição são transferidos para a exibição seguinte,
que é aberta.
Na primeira vez que você entrar no ESM, haverá estes campos de filtro no painel de filtros padrão:
Usuário de origem, Usuário de destino, IP de origem e IP de destino. Você pode adicionar e excluir campos de filtro,
salvar conjuntos de filtro, alterar o conjunto padrão, gerenciar todos os filtros e iniciar o gerenciador
de normalização de cadeias.
Um ícone de funil laranja aparece no canto superior direito do painel de exibição para alertá-lo quando
os filtros forem aplicados à exibição. Se você clicar no ícone laranja, todos os filtros serão limpos e a
consulta será executada novamente.
Em qualquer lugar que haja valores de filtro separados por vírgula, como variáveis, filtros globais,
filtros locais, cadeias normalizadas ou filtros de relatório, use aspas caso eles não façam parte de uma
lista de observação. Se o valor for Santos,João, digite "Santos,João". Se houver aspas no valor, será
necessário colocar as aspas entre aspas. Se o valor for Santos,"Menino"João, insira-o como
"Santos,""Menino""João".
É possível usar os filtros contains e regex (consulte Descrição dos filtros contains e regex).
Filtrar uma exibição
Os filtros ajudam a exibir detalhes dos itens selecionados em uma exibição. Se você inserir filtros e
atualizar a exibição, os dados refletirão os filtros adicionados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, clique na lista suspensa de exibições e selecione a exibição que deseja filtrar.
2
No painel Filtro, preencha os campos com os dados que deseja filtrar de uma destas formas:
•
Digite as informações do filtro no campo apropriado. Por exemplo, para filtrar a exibição atual e
ver somente os dados que tenham o endereço IP de origem 161.122.15.13, digite esse
endereço no campo IP de origem.
•
Digite um filtro contains ou regex (consulte Descrição dos filtros contains e regex).
•
Clique no ícone Exibir lista de filtros
observação para filtrar.
•
Na exibição, selecione os dados que deseja usar como filtro e clique no campo do painel Filtro.
Se o campo estiver em branco, ele será automaticamente preenchido com os dados
selecionados.
ao lado do campo e selecione as variáveis ou as listas de
Para Gravidade média, use dois-pontos (:) para inserir um intervalo. Por exemplo, 60:80 é um intervalo
de gravidade de 60 a 80.
3
276
Siga um destes procedimentos:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Para...
Faça isto...
Exibir dados que correspondam
a mais de um filtro
Insira os valores em cada campo.
Exibir dados que correspondam
a alguns valores de filtro e
excluam outros
1 Insira os valores de filtro que deseja incluir e excluir.
Exibir dados que correspondam
a filtros regulares e OR
1 Insira os valores de filtro nos campos regulares e OR.
2
Clique no ícone NÃO
ao lado dos campos que deseja excluir.
2 Clique no ícone OR ao lado dos campos que têm os valores
OR.
A exibição inclui os dados que correspondem aos valores dos
campos não marcados com OR e que correspondem a qualquer
um dos valores dos campos marcados com OR.
Pelo menos dois campos precisam estar marcados com OR
para que o filtro funcione.
Clique no ícone Não diferenciar maiúsculas de minúsculas
Fazer com que os valores de
filtro não diferenciem maiúsculas campo de filtro apropriado.
de minúsculas
Substituir as cadeias
normalizadas pelos respectivos
aliases
4
Clique no ícone Executar consulta
Clique no ícone de normalização de cadeia
campo de filtro apropriado.
ao lado do
ao lado do
.
A exibição será atualizada e os registros correspondentes aos valores inseridos serão exibidos. Um
ícone de filtro laranja aparece no canto superior direito do painel de exibição, indicando que os dados
da exibição são um resultado dos filtros. Se você clicar no ícone, os filtros serão limpos e a exibição
mostrará todos os dados.
Painel Filtros
O painel de filtros fornece opções para ajudá-lo a definir filtros para as exibições.
Ícone
Significado
Descrição
Dicas
Exiba uma dica de ferramenta ao clicar em um campo de
filtro.
Iniciar o gerenciador de Filtre uma cadeia e os respectivos aliases (consulte
normalização de cadeia Normalização de cadeia).
Executar consulta
Aplique os filtros atuais à exibição. Clique nesse ícone
quando você alterar um valor de filtro e desejar aplicá-lo à
exibição atual.
Limpar tudo
Limpe todos os filtros do painel de filtros.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
277
7
Trabalho com eventos
Trabalhar com exibições do ESM
Ícone
Significado
Descrição
Opções de conjuntos de Selecione uma ação a tomar com os conjuntos de filtros.
filtros
• Tornar padrão — Salva os valores de filtro inseridos como
padrão. Esses filtros são aplicados automaticamente
quando você entra.
• Restaurar padrão — Reverte os filtros aos valores padrão para
que você possa executar a consulta no conjunto de filtros
padrão.
• Salvar filtros preenchidos — Salva o conjunto de filtros atual e
adiciona-o à lista de filtros disponíveis, em que você
seleciona ao adicionar um filtro. Digite um nome para o
conjunto e selecione a pasta em que você deseja salvar o
conjunto.
• Gerenciar filtros — Abre a página Gerenciando conjuntos de filtros,
em que você organiza os conjuntos de filtros disponíveis.
Selecione um campo de filtro ou conjunto de filtros pelo
qual filtrar a exibição. Quando se clica no campo, um menu
suspenso lista todos os possíveis filtros e conjuntos de
filtros.
Exibir lista de filtros
Selecione as variáveis ou listas de observação para filtrar.
NÃO
Para exibir dados que coincidam com alguns valores de filtro
e excluir outros, clique ao lado dos campos que você deseja
excluir.
OU
Para exibir dados que coincidam com filtros OU e regulares,
clique nesse ícone ao lado dos campos que têm os valores
OU. A exibição inclui os dados que coincidem com os valores
dos campos não marcados com OU e que coincidam com
qualquer um dos valores dos campos marcados com OU.
Pelo menos dois campos precisam estar marcados com OU
para que esse filtro funcione.
Não diferencia
maiúsculas de
minúsculas
Para fazer com que os valores de filtro não diferenciem
maiúsculas de minúsculas, clique nesse ícone.
Normalização de
cadeia
Clique para substituir as cadeias normalizadas pelos
respectivos aliases.
Exibir filtros de
conjunto
Clique para exibir uma lista dos filtros incluídos em um
conjunto.
Substituir valor
Clique para substituir o valor atual pelo valor que está no
conjunto de valores.
Remover este filtro
Clique para remover o campo do filtro dos filtros atuais.
Adicionar filtros de ID de evento do UCF e Windows
Um dos desafios da compatibilidade com a conformidade normativa é a característica inerente às
normas, que estão sempre em constante mudança. A Unified Compliance Framework (UCF) é uma
organização que mapeia as especificidades de cada regulamento com IDs de controle harmonizadas. À
medida que as normas mudam, essas IDs são atualizadas e enviadas por push ao ESM.
•
278
Você pode filtrar por ID de conformidade para selecionar a conformidade necessária ou
subcomponentes específicos, ou por IDs de evento do Windows.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Para...
Faça isto...
Adicionar filtros
UCF
1 No painel Filtros, clique no ícone de filtro ao lado do campo ID de conformidade.
2 Selecione os valores de conformidade que deseja usar como filtros e clique
em OK | Executar consulta
Adicionar filtros
de ID de evento
do Windows
.
1 Clique no ícone de filtro ao lado do ID de assinatura.
2 Em Filtrar variáveis, selecione a guia Windows.
3 Digite os IDs de evento do Windows (separados por vírgula) no campo de
texto ou selecione os valores que deseja filtrar na lista.
Listas de observação
Uma lista de observação é um agrupamento de um tipo específico de informação que pode ser usado
como um filtro ou como uma condição de alarme.
Ela pode ser global ou específica de um usuário ou grupo, e pode ser estática ou dinâmica. Uma lista
de observação estática consiste em valores específicos que são inseridos ou importados. Uma lista de
observação dinâmica consiste em valores que resultam de critérios de pesquisa de expressão regular
ou cadeia definidos por você.
Uma lista de observação pode incluir no máximo 1.000.000 valores. A lista de valores nas páginas
Adicionar lista de observação ou Editar lista de observação pode exibir até 25.000 valores. Se houver mais, você
será informado de que há muitos valores a serem exibidos. Caso deseje editar uma lista de
observação adicionando valores que aumentem o número total para mais de 25.000, você deverá
exportar a lista existente para um arquivo local, adicionar os novos valores e depois importar a nova
lista.
É possível configurar os valores em uma lista de observação para que eles expirem. Cada valor tem
um carimbo de data/hora e expira quando a duração especificada é atingida, a menos que seja
atualizado. Os valores são atualizados se um alarme disparar, adicionando-o à lista de observação.
Você pode atualizar os valores configurados para expirar anexando-os à lista com a opção Anexar à lista
de observação no menu de um componente de exibição (consulte Opções do menu de componentes).
O ESM fornece um conector para a origem de dados relacionais em Hadoop HBase, usando os pares
de chave-valor da origem. É possível usar esses dados em uma lista de observação (consulte Adicionar
lista de observação de Hadoop HBase). Por exemplo, é possível alimentá-los em alarmes que são
disparados quando os valores na lista de observação são encontrados em novos eventos.
Adicionar uma lista de observação
Adicione uma lista de observação ao ESM para que você possa usá-la como filtro em uma condição de
alarme.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Acesse a página Listas de observação de uma destas formas:
•
•
No console do ESM, clique no ícone de início rápido Listas de observação
.
Na árvore de navegação do sistema, clique em Propriedades do sistema e em Listas de observação.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
279
7
Trabalho com eventos
Trabalhar com exibições do ESM
A tabela Listas de observação mostra todas as listas de observação do sistema.
Os IPs maliciosos do GTI e os IPs suspeitos do GTI aparecem na tabela, mas não contêm dados, a menos
que você tenha comprado uma licença do McAfee GTI da McAfee. Entre em contato com o
Engenheiro de vendas da McAfee ou com o suporte da McAfee para comprar uma licença.
2
Clique em Adicionar e preencha as informações solicitadas.
3
Clique em OK para adicionar a nova lista de observação à tabela de Listas de observação.
Consulte também
Lista de observação do McAfee GTI na página 280
Lista de observação do McAfee GTI
As listas de observação do McAfee GTI contêm mais de 130 milhões de endereços IP suspeitos e
maliciosos e suas gravidades, reunidos pela McAfee. Essas listas de observação podem ser usadas
para disparar alarmes, para filtrar dados em relatórios e exibições, como um filtro para correlação de
regras e como uma origem de pontuação para um Gerenciador de correlação de riscos em um ACE.
Para adicionar os dados das listas ao seu sistema, você deve comprar uma licença do McAfee GTI da
McAfee. Depois que você fizer isso, as listas serão adicionadas ao seu sistema na próxima vez que
você fizer download de regras. Esse processo pode demorar várias horas devido ao tamanho do banco
de dados.
É necessário ter conexão com a Internet para fazer download das listas. Não é possível fazer download
delas off-line.
Essas listas não podem ser exibidas ou editadas, mas a tabela Listas de observação (Propriedades do sistema |
Listas de observação ) indica se a lista está ativa (contém valores) ou inativa (não contém valores).
Para comprar a licença do McAfee GTI, entre em contato com o seu engenheiro de vendas da McAfee
ou com o Suporte da McAfee.
Criar uma lista de observação de ameaça ou feeds do IOC da Internet
É possível criar uma lista de observação que possa ser atualizada periodicamente para efetuar pull de
ameaça ou feeds de indicadores de comprometimento (IOC) automaticamente da Internet.
Nessa lista de observação, você poderá visualizar os dados a serem recuperados pela solicitação HTTP,
bem como adicionar expressões regulares para filtrar esses dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades
2
Clique em Listas de observação e em Adicionar.
3
Preencha a guia Principal selecionando Dinâmica.
4
Clique na guia Origem e selecione HTTP/HTTPS no campo Tipo.
5
Preencha com as informações solicitadas nas guias Origem, Análise e Valores.
.
O campo Dados brutos, na guia Análise, é preenchido com as primeiras 200 linhas do código-fonte html.
Trata-se apenas de uma visualização do site, mas é suficiente para gravar uma expressão regular
correspondente. Uma atualização Executar agora ou agendada da lista de observação inclui todas as
correspondências da pesquisa de expressão regular. Esse recurso aceita expressões regulares com
sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) para que coincidam com um
endereço IP.
280
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Trabalhar com exibições do ESM
Adicionar uma lista de observação Hadoop HBase
Adicione uma lista de observação usando Hadoop HBase como origem.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
de observação.
e em Listas
2
Na guia Principal do assistente Adicionar lista de observação, selecione Dinâmica, insira as informações
solicitadas e clique na guia Origem.
3
Selecione Hadoop HBase (REST) no campo Tipos e digite o nome do host, a porta e o nome da tabela.
4
Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta:
a
Formate a Coluna de pesquisa como columnFamily:columnName
b
Preencha a consulta com um filtro de mecanismo de varredura, no qual os valores são
codificados por Base64. Por exemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
Clique na guia Valores, selecione o tipo de valor e clique no botão Executar agora.
Normalização de cadeia
Use a normalização de cadeia para configurar um valor que pode ser associado a valores de alias e
para importar ou exportar um arquivo .csv de valores de normalização de cadeia.
Isso permite que você filtre a cadeia e seus aliases selecionando o ícone de normalização de cadeia ao
lado do campo apropriado no painel Filtro. No caso da cadeia com o nome do usuário João Silva, você
definirá um arquivo de normalização de cadeia em que a cadeia principal será João Silva e seus
aliases serão, por exemplo, SilvaJoao, JSilva, joao.silva@gmail.com e JoaoS. Em seguida, você
pode digitar João Silva no campo de filtro User_Nickname , selecionar o ícone do filtro de normalização de
cadeia ao lado do campo e atualizar a consulta. A exibição resultante mostrará todos os eventos
associados a João Silva e seus aliases, permitindo que você verifique se há inconsistências de login em
que os IPs de origem correspondem, mas os nomes de usuário não. Esse recurso também pode
ajudá-lo a atender a normas que exijam o relatório das atividades dos usuários com privilégios.
Gerenciar arquivos de normalização de cadeia
Antes de usar um arquivo de normalização de cadeia, você deve adicioná-lo ao ESM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
281
7
Trabalho com eventos
Tipo de filtros personalizados
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No painel Filtros, clique no ícone Iniciar o Gerenciador de normalização de cadeia de caracteres
.
Execute uma das ações disponíveis e clique em Fechar.
Criar um arquivo de normalização de cadeia para importar
Se você criar um arquivo .csv de aliases, será possível importá-lo na página Normalização de cadeia para
que seja usado como um filtro.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Em um programa de texto ou de planilha, digite os aliases usando este formato:
comando, cadeia principal, alias
Os comandos possíveis são add, modify e delete.
2
Salve-o como um arquivo .CSV e importe o arquivo.
Tipo de filtros personalizados
Os campos de tipo personalizado podem ser usados como filtros em exibições e relatórios. Também
podem ser usados para criar regras personalizadas, definir e acessar os dados que são mais
relevantes para você.
Os dados gerados por esses campos de tipo personalizado podem ser exibidos na seção Detalhes das
exibições Análise de evento ou Análise do fluxo.
É possível adicionar, editar ou remover tipos personalizados, bem como exportá-los e importá-los. Use
a página Editar para alterar o nome. Se for um tipo de dado personalizado, também será possível
alterar as configurações do subtipo.
Exportar ou importar tipos personalizados
Quando você exporta tipos personalizados, todos são exportados para o local selecionado por você.
Quando você importa um arquivo de tipos personalizados, os dados importados substituem os tipos
personalizados atuais no sistema.
Consultas personalizadas
Durante a configuração de uma consulta personalizada para uma exibição, os tipos personalizados
predefinidos são exibidos como opções quando você seleciona os campos da consulta. Se você
adicionar um tipo personalizado como campo na consulta, ele agirá como um filtro. Se as informações
consultadas não tiverem dados para o tipo personalizado, a tabela de consulta não retornará
resultados. Para evitar isso, selecione o campo de usuário (Campo personalizado 1 até 10 na coluna
Campo de evento da tabela) que retorna os resultados necessários em vez de usar o tipo personalizado.
Por exemplo, digamos que você deseje que os resultados da consulta incluam os dados do usuário de
origem, se houver. Se você selecionar Usuário de origem como um campo de consulta, ele agirá como um
filtro e, se as informações que você consultar não tiverem dados de usuário de origem, a consulta não
retornará resultados. No entanto, se você selecionar Campo de usuário 7, que está designado como o
campo de usuário para o usuário de origem, ele não agirá como filtro e aparecerá como uma coluna
282
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Tipo de filtros personalizados
na tabela de resultados. Se houver dados de usuário de origem, eles aparecerão nessa coluna. Se não
houver dados para o campo, a coluna Campo de usuário 7 ficará em branco, mas outras colunas serão
preenchidas.
Tipo de dados personalizados
Quando você seleciona Personalizado no campo Tipo de dados, pode definir o significado de cada campo em
um log de vários campos.
Por exemplo, o log a seguir (100300.351) contém três campos (100, 300.35, 1). O subtipo
personalizado permite que você especifique do que se trata cada um desses campos (inteiro, decimal,
booliano). Por exemplo:
•
Log inicial — 100300.351
•
3 Subtipos — Integer|decimal|boolean
•
Subtipo personalizado — 100|300.35|1
Os subtipos podem incluir no máximo 8 bytes (64 bits) de dados. Uso do espaço exibe o número de bytes
e bits usados. Quando o máximo é excedido, esse campo declara, em vermelho, que o espaço foi
excedido. Por exemplo: Uso de espaço: 9 de 8 bytes, 72 de 64 bits.
Tipo personalizado de nome/valor
Se você selecionar o tipo de dados Grupo de nomes/valores, poderá adicionar um tipo personalizado que
inclui um grupo de pares de nomes/valores especificados. É possível então filtrar exibições e consultas
de acordo com esses pares e usá-los em alarmes de correspondência de campo.
Estas são algumas características do recurso:
•
É necessário filtrar os campos de grupos de nomes/valores usando uma expressão regular.
•
É possível correlacionar os pares para que eles possam ser selecionados no Editor de regra de correlação.
•
Os valores que fizerem parte do par somente poderão ser coletados com o ASP (Advanced Syslog
Pareser).
•
O tamanho máximo para o tipo personalizado é 512 caracteres, que inclui os nomes. Se ele for
maior do que isso, os valores serão interceptados quando coletados. A McAfee recomenda limitar o
tamanho e o número de nomes.
•
Os nomes devem consistir em mais de dois caracteres.
•
O tipo personalizado de nome/valor pode ter até 50 nomes.
•
Cada nome no grupo de nomes/valores é exibido no filtro global como <nome do grupo> <nome>.
Formato de expressão regular para tipos personalizados não indexados
Siga esta formatação para tipos personalizados de cadeia indexada e não indexada, cadeia aleatória e
cadeia com hash:
•
É possível usar a sintaxe contains(<expressão regular>) ou simplesmente digitar um valor nos
campos da cadeia não indexada aleatória ou da cadeia com hash, e então filtrar os tipos
personalizados.
•
É possível usar a sintaxe regex().
McAfee Enterprise Security Manager 9.5.0
Guia de produto
283
7
Trabalho com eventos
Tipo de filtros personalizados
•
Com contains(), se você colocar um filtro separado por vírgula em um campo de tipo
personalizado não indexado (Tom,João,Estevão), o sistema executará uma expressão regular. A
vírgula e o asterisco funcionam como uma barra (|) e um ponto seguido pelo asterisco (.*) em um
campo de contains ou de cadeia não indexada aleatória ou de cadeia com hash. Se você digitar um
caractere como um asterisco (*), ele será substituído por um ponto seguido pelo asterisco (.*).
•
Uma expressão regular inválida ou a ausência de um parêntese de fechamento ou abertura pode
gerar um erro que informará sobre a presença de expressão regular incorreta.
•
É possível usar um único regex() ou contains() em campos de filtros de tipos personalizados de
cadeia não indexada e indexada, cadeia aleatória e cadeia com hash.
•
O ID de assinatura aceita contains(<em toda a mensagem de regra ou parte dela>) e
regex(<em parte da mensagem de regra>).
•
Um filtro de pesquisa comum para contains é um valor único, e não um valor único com um .*
antes e depois.
Estes são alguns filtros de pesquisa comuns:
•
Um valor único
•
Vários valores separados por vírgulas, que são convertidos em uma expressão regular
•
Uma declaração contains com um * que funciona como .*
•
Expressões regulares avançadas, nas quais é possível usar a sintaxe de regex()
Consulte Descrição dos filtros contains e regex.
Criar tipos personalizados
Adicione tipos personalizados para usar como filtros se você tiver privilégios de administrador.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Tipos personalizados.
2
Clique em Adicionar e preencha as informações necessárias.
3
Clique em OK para salvar o tipo personalizado.
Tabela de tipos personalizados predefinidos
Se tiver privilégios de administrador, você poderá exibir uma lista dos tipos personalizados
predefinidos na tabela de tipos personalizados (Propriedades do sistema | Tipos personalizados). Se não tiver
privilégios de administrador, use esta lista de tipos personalizados predefinidos.
284
Nome
Tipo de dados
Campo Evento
Campo Fluxo
Application (aplicativo)
Cadeia
Campo
personalizado - 1
Nenhum
Application_Layer (Camada do
aplicativo)
ID de assinatura
Nenhum
Campo
personalizado - 4
Application_Protocol (Protocolo do
aplicativo)
Cadeia
Campo
personalizado - 1
Nenhum
Authoritative_Answer (Resposta
oficial)
Cadeia
Campo
personalizado - 10
Nenhum
Bcc (Cópia oculta)
Cadeia
Campo
personalizado - 9
Nenhum
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Tipo de filtros personalizados
Nome
Tipo de dados
Campo Evento
Campo Fluxo
Cc (Com cópia)
Cadeia
Campo
personalizado - 8
Nenhum
Client_Version (Versão do cliente)
Cadeia
Campo
personalizado - 9
Nenhum
Command (Comando)
Cadeia
Campo
personalizado - 2
Nenhum
Confidence (Confiança)
Inteiro não
assinado
Campo
personalizado - 8
Nenhum
Contact_Name (Nome do contato)
Cadeia
Campo
personalizado - 6
Nenhum
Contact_Nickname (Apelido do
contato)
Cadeia
Campo
personalizado - 8
Nenhum
Cookie (Cookie)
Cadeia
Campo
personalizado - 9
Nenhum
Database_Name (Nome do banco de Cadeia
dados)
Campo
personalizado - 8
Nenhum
Destination User (Usuário de
destino)
Cadeia
Campo
personalizado - 6
Campo
personalizado - 1
Destination_Filename (Nome do
arquivo de destino)
Cadeia
Campo
personalizado - 9
Nenhum
Direction (Direção)
Cadeia
Campo
personalizado - 10
Nenhum
DNS_Class (Classe de DNS)
Cadeia
Campo
personalizado - 8
Nenhum
DNS_Name (Nome de DNS)
Cadeia
Campo
personalizado - 5
Nenhum
DNS_Type (Tipo de DNS)
Cadeia
Campo
personalizado - 6
Nenhum
Domain (Domínio)
Cadeia
Campo
personalizado - 3
Nenhum
End_Page (Página final)
Inteiro não
assinado
Campo
personalizado - 9
Nenhum
File_Operation (Operação de
arquivo)
Cadeia
Campo
personalizado - 5
Nenhum
File_Operation_Succeeded
(Operação de arquivo
bem-sucedida)
Cadeia
Campo
personalizado - 6
Nenhum
Filename (Nome do arquivo)
Cadeia
Campo
personalizado - 3
Nenhum
Flow_Flags (Sinalizadores de fluxo)
Inteiro não
assinado
Nenhum
Campo
personalizado - 1
From (de)
Cadeia
Campo
personalizado - 5
Nenhum
Hops (Saltos)
Inteiro não
assinado
Campo
personalizado - 8
Nenhum
Host (Host)
Cadeia
Campo
personalizado - 4
Nenhum
HTTP_Layer (Camada HTTP)
ID de assinatura
Nenhum
Campo
personalizado - 5
McAfee Enterprise Security Manager 9.5.0
Guia de produto
285
7
Trabalho com eventos
Tipo de filtros personalizados
Nome
Tipo de dados
Campo Evento
Campo Fluxo
HTTP_Req_Cookie (Cookie de solic.
HTPP)
Cadeia
Nenhum
Campo
personalizado - 3
HTTP_Req_Host (Host de solic.
HTTP)
Cadeia
Nenhum
Campo
personalizado - 5
HTTP_Req_Method (Método de solic. Cadeia
HTTP)
Nenhum
Campo
personalizado - 6
HTTP_Req_Reference (Referência de Cadeia
solic. HTTP)
Nenhum
Campo
personalizado - 4
HTTP_Req_URL (URL de solic. HTTP) Cadeia
Nenhum
Campo
personalizado - 2
HTTP_Resp_Length (Tamanho da
resp. HTTP)
Inteiro não
assinado
Nenhum
Campo
personalizado - 5
HTTP_Resp_Status (Status da resp.
HTTP)
Inteiro não
assinado
Nenhum
Campo
personalizado - 4
HTTP_Resp_TTFB (TTFB da resp.
HTTP)
Inteiro não
assinado
Nenhum
Campo
personalizado - 6
HTTP_Resp_TTLB (TTLB da resp.
HTTP)
Inteiro não
assinado
Nenhum
Campo
personalizado - 7
HTTP_User_Agent (Agente de
usuário HTTP)
Cadeia
Nenhum
Campo
personalizado - 7
Interface (Interface)
Cadeia
Campo
personalizado - 8
Nenhum
Job_Name (Nome do trabalho)
Cadeia
Campo
personalizado - 5
Nenhum
Language (Idioma)
Cadeia
Campo
personalizado - 10
Nenhum
Local_User_Name (Nome do usuário Cadeia
local)
Campo
personalizado - 5
Nenhum
Message_Text (Texto da mensagem) Cadeia
Campo
personalizado - 9
Nenhum
Method (Método)
Cadeia
Campo
personalizado - 5
Nenhum
Nat_Details (Detalhes de NAT)
Personalizada
• NAT_Address (Endereço de NAT)
• Endereço IPv4
Campo
personalizado - 9
Campo
personalizado - 1
• NAT_Port (Porta de NAT)
• Inteiro não
assinado
• NAT_Type (Tipo de NAT)
• Inteiro não
assinado
286
Network_Layer (Camada de rede)
ID de assinatura
Nenhum
Campo
personalizado - 1
NTP_Client_Mode (Modo de cliente
NTP)
Cadeia
Campo
personalizado - 5
Nenhum
NTP_Offset_To_Monitor
(Deslocamento de NTP para
monitor)
Inteiro não
assinado
Campo
personalizado - 8
Nenhum
NTP_Opcode (Código de operação
de NTP)
Cadeia
Campo
personalizado - 10
Nenhum
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Tipo de filtros personalizados
Nome
Tipo de dados
Campo Evento
Campo Fluxo
NTP_Request (Solicitação de NTP)
Cadeia
Campo
personalizado - 9
Nenhum
NTP_Server_Mode (Modo de
servidor NTP)
Cadeia
Campo
personalizado - 6
Nenhum
Num_Copies (Núm. cópias)
Inteiro não
assinado
Campo
personalizado - 6
Nenhum
Object (Objeto)
Cadeia
Campo
personalizado - 5
Nenhum
Object_Type (Tipo de objeto)
Cadeia
Campo
personalizado - 2
Nenhum
Priority (Prioridade)
Inteiro não
assinado
Campo
personalizado - 8
Nenhum
Query_Response (Resposta da
consulta)
Cadeia
Campo
personalizado - 9
Nenhum
Referer (Referência)
Cadeia
Campo
personalizado - 10
Nenhum
Campo
personalizado - 10
Nenhum
Response Time (Tempo de resposta) Personalizada
• Seconds (Segundos)
• Milliseconds (Milissegundos)
• Inteiro não
assinado
• Inteiro não
assinado
RTMP_Application (Aplicativo RTMP)
Cadeia
Campo
personalizado - 9
Nenhum
Session_Layer (Camada da sessão)
Cadeia
Nenhum
Campo
personalizado - 3
SNMP_Error_Code (Código de erro
de SNMP)
Cadeia
Campo
personalizado - 10
Nenhum
SNMP_Item (Item de SNMP)
Cadeia
Campo
personalizado - 6
Nenhum
SNMP_Item_Type (Tipo de item
SNMP)
Cadeia
Campo
personalizado - 8
Nenhum
SNMP_Operation (Operação de
SNMP)
Cadeia
Campo
personalizado - 5
Nenhum
SNMP_Version (Versão de SNMP)
Cadeia
Campo
personalizado - 9
Nenhum
Source User (Usuário de origem)
Cadeia
Campo
personalizado - 7
Start_Page (Página inicial)
Inteiro não
assinado
Campo
personalizado - 8
Nenhum
Subject (Assunto)
Cadeia
Campo
personalizado - 10
Nenhum
SWF_URL (URL de SWF)
Cadeia
Campo
personalizado - 5
Nenhum
TC_URL (URL de TC)
Cadeia
Campo
personalizado - 6
Nenhum
To (Para)
Cadeia
Campo
personalizado - 6
Nenhum
McAfee Enterprise Security Manager 9.5.0
Guia de produto
287
7
Trabalho com eventos
Tipo de filtros personalizados
Nome
Tipo de dados
Campo Evento
Campo Fluxo
Transport_Layer (Camada de
transporte)
ID de assinatura
Nenhum
Campo
personalizado - 2
URL (URL)
Cadeia
Campo
personalizado - 8
Nenhum
User_Agent (Agente de usuário)
Cadeia
Campo
personalizado - 6
Nenhum
User_Nickname (Apelido de usuário) Cadeia
Campo
personalizado - 5
Nenhum
Version (Versão)
Campo
personalizado - 10
Nenhum
Cadeia
Adicionar tipos personalizados de tempo
É possível adicionar tipos personalizados que permitem armazenar dados de tempo.
Tempo – Precisão em segundos armazena dados de tempo em segundos. Tempo – Precisão em nanossegundos
armazena o tempo em nanossegundos. Isso inclui um número de ponto de flutuação como nove
valores de precisão que representam os nanossegundos.
Se você selecionar Índice ao adicionar esse tipo personalizado, o campo será exibido como um filtro em
consultas, exibições e filtros. Ele não aparecerá nos componentes de distribuição e não estará
disponível no enriquecimento de dados, nas listas de observação ou nos alarmes.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
seguida, clique em Tipos personalizados | Adicionar.
e, em
No campo Tipo de dados, clique em Tempo – Precisão em segundos ou em Tempo – Precisão em nanossegundos,
preencha as informações restantes e clique em OK.
Tipos personalizados de nome/valor
O tipo personalizado de nome/valor consiste em um grupo de pares de nomes/valores especificados. É
possível filtrar exibições e consultas de acordo com esses pares e usá-los em alarmes de Correspondência
de evento interna.
Estas são algumas características do recurso:
288
•
É necessário filtrar os campos de grupos de nomes/valores usando uma expressão regular.
•
É possível correlacioná-los para que eles possam ser selecionados no Editor de regra de correlação.
•
Os valores que fizerem parte do par somente poderão ser coletados com o ASP.
•
O tamanho máximo para esse tipo personalizado é de 512 caracteres, que inclui os nomes. Os
caracteres acima de 512 são interceptados quando coletados. A McAfee recomenda limitar o
tamanho e o número de nomes.
•
Os nomes devem consistir em mais de dois caracteres.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
7
Trabalho com eventos
Tipo de filtros personalizados
•
O tipo personalizado de nome/valor pode ter até 50 nomes.
•
Cada nome no grupo de nomes/valores é exibido no filtro global como <nome do grupo> <nome>.
Adicionar tipo personalizado de grupo de nomes/valores
Se você adicionar um grupo de pares de nomes/valores, poderá filtrar exibições e consultas de acordo
com eles e usá-los em alarmes de Correspondência de evento interna.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
2
Clique em Tipos personalizados e clique em Adicionar.
3
No campo Tipo de dados, clique em Grupo de nomes/valores, preencha as informações restantes e clique
em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
289
7
Trabalho com eventos
Tipo de filtros personalizados
290
McAfee Enterprise Security Manager 9.5.0
Guia de produto
8
Gerenciamento de casos
Use o gerenciador de casos do ESM para atribuir e rastrear itens de trabalho e tíquetes de suporte
relacionados a eventos de rede. Para acessar esse recurso, você deve fazer parte de um grupo que
tenha o privilégio Usuário do gerenciamento de casos ativado.
Há cinco maneiras de adicionar um caso:
•
Na exibição Gerenciamento de casos
•
No painel Casos, sem vincular a um evento
•
Na exibição Análise de evento, com vinculação a um evento
•
Ao configurar um alarme
•
Em uma notificação de alarme disparado
Conteúdo
Adicionar um caso
Criar um caso a partir de um evento
Adicionar eventos a um caso existente
Editar ou fechar um caso
Exibir detalhes do caso
Adicionar níveis de status de caso
Casos de e-mail
Exibir todos os casos
Gerar relatórios de gerenciamento de casos
Adicionar um caso
A primeira etapa no rastreamento de uma tarefa gerada como resultado de um evento de rede é
adicionar um caso ao sistema de gerenciamento de casos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Casos , clique no ícone Adicionar caso
2
Preencha as informações solicitadas e clique em OK.
.
O caso é adicionado ao painel Casos do usuário ao qual o caso é atribuído. Se você tiver selecionado
Enviar caso por e-mail, um e-mail também será enviado (consulte Caso de e-mail).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
291
8
Gerenciamento de casos
Criar um caso a partir de um evento
Criar um caso a partir de um evento
Para rastrear um evento na exibição Análise de evento, crie um caso. Isso permite rastrear o fluxo de
trabalho.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na lista de exibições, selecione Exibições de eventos | Análise de evento.
Clique no evento, clique no ícone
e em Ações | Criar um novo caso.
Preencha as informações solicitadas e clique em OK para salvar o caso.
O novo caso inclui os dados do evento na tabela Mensagem.
Adicionar eventos a um caso existente
Adicione um ou mais eventos a um caso existente para rastrear ações realizadas em resposta a esses
eventos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel de exibições, selecione Exibições de eventos na lista suspensa de exibições e clique em Análise
de evento.
2
Selecione os eventos e execute uma das seguintes ações:
•
•
3
Clique no ícone Atribuir eventos a um caso ou ao Remedy
Clique no ícone do Menu
e selecione Adicionar eventos a um caso.
, destaque Ações e clique em Adicionar eventos a um caso.
Selecione o caso e clique em Adicionar.
A página Detalhes do caso lista o ID do evento na tabela Mensagens.
4
Clique em OK e em Fechar.
Editar ou fechar um caso
Se você tem privilégios de Administrador do gerenciamento de casos, pode modificar qualquer caso no sistema.
Se você tem privilégios de Usuário do gerenciamento de casos, pode modificar somente os casos atribuídos a
você.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
292
Acesse Detalhes do caso de uma destas formas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
8
Gerenciamento de casos
Exibir detalhes do caso
Para...
Faça isto...
Um caso atribuído a você
1 Selecione o caso no painel Casos.
2 Clique no ícone Editar caso
Um caso não atribuído a você
.
1 Clique no ícone Abrir gerenciamento de casos
no painel Casos.
2 Selecione o caso a ser modificado.
3
Clique no ícone Editar caso
2
Edite as configurações ou feche o caso no campo Status.
3
Clique em OK para salvar as alterações.
, na parte inferior da exibição.
As alterações serão gravadas na seção Notas da página Detalhes do caso. Se você fechar o caso, ele não
aparecerá mais no painel Casos, mas permanecerá na lista Gerenciamento de casos com o status alterado
para Fechado.
Exibir detalhes do caso
Se você tiver direitos de Administrador no ESM, poderá exibir e tomar medidas em relação a qualquer
caso no ESM. Todos os usuários de um grupo podem exibir qualquer caso em seu grupo.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Casos, clique no ícone Abrir gerenciamento de casos
.
A exibição Gerenciamento de casos é aberta, listando todos os casos no sistema.
2
Revise os dados nas guias Notas e Eventos de origem.
3
Para obter mais detalhes, clique duas vezes no caso e revise as informações na página Detalhes do
caso.
Adicionar níveis de status de caso
O gerenciador de casos vem com dois níveis de status: Aberto e Fechado. É possível atribuir casos a
outros status adicionados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Casos, clique no ícone Abrir gerenciamento de casos
2
Na exibição Gerenciamento de casos, clique no ícone Configurações de gerenciamento de casos
ferramentas inferior, e clique em Adicionar.
3
Digite um nome para o status e selecione se deseja que o status seja o padrão para novos casos.
4
Selecione se deseja que os casos com esse status sejam mostrados no painel Casos e clique em OK.
McAfee Enterprise Security Manager 9.5.0
.
, na barra de
Guia de produto
293
8
Gerenciamento de casos
Casos de e-mail
Casos de e-mail
Configure o sistema para enviar automaticamente uma mensagem de e-mail para a pessoa ou o grupo
ao qual um caso é atribuído sempre que um caso for adicionado ou reatribuído.
Antes de iniciar
É necessário ter privilégios de Administrador do gerenciamento de casos.
Você poderá também enviar uma notificação de caso por e-mail manualmente e incluir notas de caso e
detalhes do evento.
Para...
Faça isto...
Enviar
automaticamente um
caso por e-mail
1 No painel Casos , clique no ícone Abrir gerenciamento de casos
2 Clique no ícone Configurações de gerenciamento de casos
.
.
3 Selecione Enviar e-mail quando um caso for atribuído e clique em Fechar.
Os endereços de e-mail dos usuários devem estar no ESM (consulte
Configurar usuários).
Enviar manualmente
um caso existente
1 No painel Casos, selecione o caso que deseja enviar por e-mail e clique no
ícone Editar caso
.
2 Em Detalhes do caso, clique em Enviar o caso por e-mail e preencha os campos De
e Para.
3 Selecione se deseja incluir as notas e anexar um arquivo CSV dos detalhes
do evento.
4 Digite qualquer nota que desejar incluir na mensagem de e-mail e clique
em Enviar.
Exibir todos os casos
Se você tiver privilégios Administrativos no ESM, poderá gerenciar todos os casos do sistema, estejam
eles abertos ou fechados no momento. Os privilégios de Administrador do gerenciamento de casos permitem
criar status, organizações e definir a funcionalidade de e-mail automática.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Casos, clique no ícone Abrir gerenciamento de casos
.
A exibição Gerenciamento de casos é aberta.
294
McAfee Enterprise Security Manager 9.5.0
Guia de produto
8
Gerenciamento de casos
Gerar relatórios de gerenciamento de casos
2
Siga um destes procedimentos:
Para fazer isto...
Faça isto...
Adicionar um caso
Clique no ícone Adicionar caso
inferior da exibição.
Exibir ou editar o caso
selecionado
Clique no ícone Editar caso
inferior da exibição.
na barra de ferramentas na parte
na barra de ferramentas na parte
Enviar o caso selecionado
por e-mail
Clique no ícone Enviar caso por e-mail
parte inferior da exibição.
Configurar um caso para
enviar um e-mail quando
um caso for adicionado ou
alterado
Clique no ícone Configurações de gerenciamento de casos
ferramentas na parte inferior da exibição.
na barra de
Adicionar ou editar os
status disponíveis para os
casos
Clique no ícone Configurações de gerenciamento de casos
Adicionar, Editar ou Excluir.
e clique em
Exiba as notas, o histórico
e os eventos de origem
para o caso selecionado
Clique em Notas, Histórico ou em Eventos de origem. Quando você clica em
Eventos de origem, as guias Detalhes do evento de origem são abertas. Se as
guias não estiverem visíveis ou se estiverem visíveis e você quiser
ocultá-las, clique no ícone Exibir detalhes de evento de origem
na barra
de ferramentas na parte inferior da exibição.
na barra de ferramentas na
A guia Histórico registra quando o usuário exibe um caso, a qualquer
momento. Se o mesmo usuário exibir um caso mais de uma vez
dentro de cinco minutos, ele não atualizará o registro todas as vezes.
Filtrar os casos
No painel Filtros, selecione ou digite os dados com base nos quais
deseja filtrar os dados e clique no ícone Executar consulta
. A lista de
casos é alterada para mostrar somente os que atendem aos critérios
de filtragem.
Gerar relatórios de gerenciamento de casos
Há seis relatórios de gerenciamento de casos disponíveis no ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na página Propriedades do sistema, clique em Relatórios | Adicionar.
2
Complete as seções 1, 2 e 3.
3
Na seção 4, selecione Consultar CSV.
4
Na seção 5, selecione o relatório de gerenciamento de casos a ser executado.
•
Resumo de gerenciamento de casos — Inclui números de ID de caso, a gravidade atribuída aos casos,
seu status, usuários aos quais eles foram atribuídos, organizações nas quais foram atribuídos
(se houver), data e hora em que os casos foram adicionados, data e hora em que os casos
foram atualizados (se tiverem sido fechados) e resumos dos casos.
•
Detalhes de gerenciamento de casos — Inclui todas as informações no relatório Resumo de gerenciamento de
casos, assim como os números de ID dos eventos ligados aos casos e as informações incluídas
nas seções de notas dos casos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
295
8
Gerenciamento de casos
Gerar relatórios de gerenciamento de casos
5
•
Tempo para resolução de caso — Mostra o tempo gasto decorrido entre as alterações de status (por
exemplo, o diferencial entre o carimbo de data/hora Aberto e o carimbo de data/hora Fechado).
Por padrão, ele lista os casos com o status Fechado de acordo com o número da ID de caso, bem
como gravidade, organização, data de Criação, última atualização, resumo e diferença de horário.
•
Casos por responsável — Inclui o número de casos atribuídos a um usuário ou grupo.
•
Casos por organização — Inclui o número de casos por organização.
•
Casos por status — Inclui o número de casos por tipo de status.
Conclua a seção 6 (consulte Descrição de filtros contain e regex), e clique em Salvar.
O relatório será salvo e adicionado à lista de Relatórios.
296
McAfee Enterprise Security Manager 9.5.0
Guia de produto
9
Trabalhar com o Asset Manager
O Asset Manager fornece um local centralizado onde é possível descobrir, criar manualmente e importar
ativos.
Na guia Ativo, você pode criar um grupo que contenha um ou mais ativos. É possível executar as
operações a seguir em todo o grupo:
•
Altere os atributos em todos os ativos do grupo.
Essa alteração não é permanente. Se você adicionar um ativo a um grupo alterado, ele não herdará
as configurações anteriores automaticamente.
•
Use operações de arrastar e soltar.
•
Renomear um grupo, se necessário.
Os grupos de ativos permitem categorizar ativos de formas que fiquem indisponíveis com a marcação
de ativos. Por exemplo, caso você deseje criar um grupo de ativos para cada prédio em seu campus. O
ativo consiste em um endereço IP e uma coleção de marcas. As marcas descrevem o sistema
operacional no qual o ativo está em execução e um conjunto de serviços pelos quais o ativo é
responsável.
Existem duas formas de definir as marcas de um ativo: pelo sistema, quando o ativo é recuperado, ou
pelo usuário, quando o ativo é adicionado ou editado. Caso as marcas sejam definidas pelo sistema,
elas serão atualizadas cada vez que o ativo for recuperado, se tiverem sido alteradas. Caso as marcas
sejam definidas pelo usuário, não serão atualizadas pelo sistema quando o ativo for recuperado,
mesmo que tenham sido alteradas. Se você adicionar ou editar as marcas de um ativo, mas desejar
que elas sejam atualizadas pelo sistema quando o ativo for recuperado, clique em Redefinir. Você deve
fazer isso toda vez que fizer alterações nas configurações da marca.
O gerenciamento de configurações faz parte das normas de conformidade padrão, como PCI, HIPPA e
SOX. Ele permite que você monitore todas as alterações feitas na configuração de seus roteadores e
switches, prevenindo assim vulnerabilidades no sistema. No ESM, o recurso de gerenciamento de
configurações permite que você:
•
Defina a frequência com que os dispositivos devem ser sondados.
•
Selecione os dispositivos descobertos para verificação de configurações.
•
Identifique um arquivo de configuração recuperado como padrão para o dispositivo.
•
Exiba os dados de configuração, faça download dos dados para um arquivo e compare as
informações de configuração de dois dispositivos.
Conteúdo
Gerenciar ativos
Configurar o gerenciamento de configurações
Descoberta de rede
Origens de ativos
Gerenciar origens de avaliação de vulnerabilidade
McAfee Enterprise Security Manager 9.5.0
Guia de produto
297
9
Trabalhar com o Asset Manager
Gerenciar ativos
Gerenciamento de zonas
Ativo, ameaça e avaliação de risco
Gerenciar ameaças conhecidas
Gerenciar ativos
Ativo é qualquer dispositivo na rede que tenha um endereço IP.
Na guia Ativo do Asset Manager, você pode criar ativos, modificar suas marcas, criar grupos de ativos,
adicionar origens de ativos e atribuir um ativo a um grupo de ativos. Você também pode manipular os
ativos aprendidos com um dos fornecedores de avaliação de vulnerabilidade.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido do Asset Manager
.
2
Certifique-se de que a guia Ativo esteja selecionada.
3
Gerencie os ativos conforme o necessário e clique em OK.
Tarefas
•
Definir ativos antigos na página 298
O grupo Ativos antigos do Asset Manager permite que você armazene ativos que não foram
detectados no período definido.
Definir ativos antigos
O grupo Ativos antigos do Asset Manager permite que você armazene ativos que não foram detectados no
período definido.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido do Asset Manager
.
2
Na guia Ativo, clique duas vezes no grupo Ativos antigos da lista de ativos.
3
Selecione o número de dias desde a última detecção de ativo antes de movê-lo para a pasta Ativos
antigos e clique em OK.
Configurar o gerenciamento de configurações
O gerenciamento de configurações recupera os arquivos de configuração dos dispositivos que fora
descobertos com o perfil CLI. Quando o processo de descoberta de rede for concluído, você deve
configurar o gerenciamento de configurações.
298
McAfee Enterprise Security Manager 9.5.0
Guia de produto
9
Trabalhar com o Asset Manager
Descoberta de rede
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido do Asset Manager
e selecione a guia Gerenciamento de configuração.
Execute qualquer ação disponível e clique em OK.
Tarefas
•
Gerenciar arquivos de configuração recuperados na página 299
Você pode fazer várias coisas para gerenciar os arquivos recuperados quando a
configuração dos seus roteadores e switches for verificada.
Gerenciar arquivos de configuração recuperados
Você pode fazer várias coisas para gerenciar os arquivos recuperados quando a configuração dos seus
roteadores e switches for verificada.
Antes de iniciar
Recuperar os arquivos de configurações (consulte Configurar gerenciamento de
configurações).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido do Asset Manager
e selecione a guia Gerenciamento de configuração.
Execute qualquer ação disponível na seção Arquivos de configurações recuperados da página.
Descoberta de rede
A Descoberta de rede mostra os locais físicos em que os eventos ocorreram na sua rede, aumentando a
capacidade de rastreá-los.
A Descoberta de rede é destinada a usuários avançados com amplo conhecimento de rede e é um
privilégio atribuído. Você deve ter privilégios ativados para criar e exibir a Descoberta de rede e modificar
as configurações de switch em Controle de porta da rede.
A Descoberta de rede do SNMPv3, Telnet ou SSH está fora de conformidade com FIPS. Se a conformidade
com as normas FIPS for obrigatória, não use esses recursos.
Descobrir a rede
O primeiro passo para mapear sua rede é descobrir a rede. Você deve definir os parâmetros antes de
iniciar a varredura.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido Asset Manager
e selecione a guia Descoberta de rede.
Clique em Configurações e clique em Adicionar na página Definir configurações de rede para adicionar os
parâmetros dessa descoberta.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
299
9
Trabalhar com o Asset Manager
Descoberta de rede
3
Conclua as configurações dos Parâmetros de descoberta de rede.
4
Clique em OK. Os parâmetros que você definiu serão adicionados à lista Definir configurações de rede.
5
Execute outras ações necessárias.
6
Clique em Descobrir rede para iniciar a varredura. Caso precise interromper a descoberta, clique em
Interromper descoberta.
A seção Dispositivo de rede da página será preenchida com os dados da varredura.
7
Clique em OK.
Gerenciar a lista de exclusão de IP
É possível adicionar endereços IP à Lista de exclusão de IP caso deseje excluí-los da pesquisa de
descoberta de rede.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido Asset Manager e selecione a guia Descoberta de rede.
2
Clique em Lista de exclusão de IP.
3
Adicionar um novo endereço, editar ou remover um endereço existente.
4
Clique em OK para salvar suas alterações.
Descobrir terminais
Ao configurar sua rede, adicionar endereços IP à lista de exclusão e descobrir sua rede, você deverá
descobrir os terminais conectados aos seus dispositivos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido Asset Manager
e selecione a guia Descoberta de rede.
Clique em Descobrir terminal para iniciar a varredura agora.
Os resultados e status da varredura ficam listados na seção Dispositivos de terminal da página.
3
Para programar a descoberta automática de terminais, selecione Descobrir automaticamente a cada e
selecione a frequência.
Exibir um mapa da rede
Você pode gerar uma representação gráfica de sua rede que permita manusear os dispositivos de
qualquer posição.
300
McAfee Enterprise Security Manager 9.5.0
Guia de produto
9
Trabalhar com o Asset Manager
Origens de ativos
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido Asset Manager
e clique na guia Descoberta de rede.
Clique em Mapa de rede.
A representação gráfica de sua rede abrirá.
3
Mova dispositivos ou passe o mouse por um dispositivo para exibir suas propriedades.
Alterar o comportamento de Descoberta de rede
É possível alterar o ping padrão, o número de estações finais e as configurações de dispositivos
simultâneos de Descoberta de rede.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, clique no ícone de início rápido do Asset Manager
2
Clique na guia Descoberta de rede, clique em Configurações e em Avançado.
3
Altere as configurações conforme o necessário e clique em OK.
.
Origens de ativos
Você pode recuperar dados do seu Active Directory, se tiver um, ou de um servidor Altiris usando as
Origens de ativos.
O Active Directory permite que você filtre dados de eventos selecionando os usuários ou grupos
recuperados nos campos de filtro de consulta de exibição Usuário de origem ou Usuário de destino. Isso
melhora a sua capacidade de fornecer dados de conformidade para requisitos como PCI. O Altiris e o
Active Directory recuperam ativos como computadores com endereços IP e os adicionam à tabela de
ativos.
Para recuperar ativos no Altiris, você precisa ter privilégios de Asset Manager no console de gerenciamento
Altiris.
O Active Directory normalmente não armazena informações de endereço IP. O sistema usa DNS para
consultar o endereço assim que obtém o nome do Active Directory. Caso o sistema não consiga encontrar
o endereço do computador, este não é adicionado à tabela Ativos. Por esse motivo, o servidor DNS no
sistema deve conter as informações de DNS dos computadores do Active Directory.
É possível adicionar endereços IP ao Active Directory. Se fizer isso, modifique o atributo networkAddress
nos objetos do seu computador para que o sistema use esses endereços IP em vez de consultar o
DNS.
Gerenciar origens de ativos
Recupere dados de seu Active Directory ou de um servidor Altiris.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
301
9
Trabalhar com o Asset Manager
Gerenciar origens de avaliação de vulnerabilidade
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido do Asset Manager
e clique na guia Origens de ativos.
A árvore Origens de ativos mostra o ESM e os Receptores no sistema, além de suas atuais origens de
ativos.
Um ESM pode ter somente uma e os Receptores podem ter várias origens de ativos.
2
Selecione um dispositivo e escolha uma das ações disponíveis.
Gerenciar origens de avaliação de vulnerabilidade
Você pode recuperar dados de diversos fornecedores de VA usando o Vulnerability Assessment. Para que
haja comunicação com as origens de VA desejadas, você deve adicionar a origem ao sistema. Assim
que uma origem for adicionada ao sistema, será possível recuperar dados de VA.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido do Asset Manager
e clique na guia Vulnerability Assessment.
2
Adicione, edite, remova ou recupere origens de VA e grave-as no dispositivo.
3
Clique em OK.
Gerenciamento de zonas
As zonas podem ser usadas para categorizar dispositivos e origens de dados em sua rede.
Isso permite que você organize dispositivos e eventos gerados por eles em agrupamentos
relacionados por localização geográfica e endereço IP. Por exemplo, se você possui escritórios no sul e
no norte do país e deseja que os eventos gerados por cada escritório sejam agrupados, você deve
adicionar duas zonas e atribuir os dispositivos cujos eventos devem ser agrupados a cada uma das
zonas. Para agrupar os eventos de cada escritório por endereço IP específico, adicione subzonas a
cada uma das zonas.
Gerenciar zonas
As zonas ajudam a categorizar os dispositivos e origens de dados por localização geográfica ou ASN.
Você deve adicionar zonas individualmente ou importando um arquivo exportado de outra máquina e
atribuir os dispositivos ou origens de dados às zonas.
302
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Trabalhar com o Asset Manager
Gerenciamento de zonas
9
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone de início rápido do Asset Manager
selecione Gerenciamento de zonas.
2
Adicione uma zona ou subzona, edite ou remova zonas existentes ou importe e exporte
configurações de zona.
3
Distribua as mudanças que fizer e clique em OK
Adicionar uma zona
A primeira etapa de gerenciamento de zonas é adicionar as zonas usadas para categorizar seus
dispositivos e origens de dados. Elas podem ser adicionadas individualmente usando o recurso Adicionar
zona ou você pode importar um arquivo que foi exportado de outro sistema. Quando uma zona é
adicionada, você pode editar suas configurações quando necessário.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Clique no ícone de início rápido do Asset Manager
e clique na guia Gerenciamento de zonas.
Insira as informações solicitadas, atribua dispositivos à zona e clique em OK.
Exportar configurações de zona
Você pode exportar as configurações de zona do seu ESM para importá-las para outro ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone do Asset Manager
e clique em Gerenciamento de zonas.
2
Clique em Exportar e selecione o tipo de arquivo que deseja exportar.
3
Clique em OK e selecione o arquivo para fazer download agora.
Importar configurações de zona
Esse recurso de importação permite que você importe um arquivo de zona como está ou edite os
dados antes de importá-lo.
Antes de iniciar
Exporte um arquivo de configurações de zona de outro ESM para que possa ser importado
para o seu ESM.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
303
9
Trabalhar com o Asset Manager
Gerenciamento de zonas
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Abra o arquivo de configurações da zona que deseja importar.
•
Se esse for um arquivo de definição de importação de zona, ele terá oito colunas: Comando,
Nome da zona, Nome do pai, Localização geográfica, ASN, Padrão, IPStart e IPStop.
•
Se for um arquivo de atribuição de importação de um dispositivo para uma zona, ele terá três
colunas: Comando, Nome do dispositivo e Nome da zona.
Insira comandos na coluna Comando para especificar a ação a ser tomada para cada linha quando
importada.
•
adicionar — Importe os dados na linha como estão.
•
editar — (Disponível somente no arquivo de definição de zona) Importe os dados com as
alterações feitas.
Para fazer alterações em uma faixa de subzona, você deve remover a faixa existente e adicionar
a faixa com as alterações. Não é possível editá-la diretamente.
•
3
4
remover — Exclua do ESM a zona correspondente a essa linha.
Salve as mudanças feitas e feche o arquivo.
Clique no ícone de início rápido do Asset Manager
e clique na guia Gerenciamento de zonas.
5
Clique em Importar e selecione o tipo de importação.
6
Clique em OK, localize o arquivo a ser importado e clique em Fazer upload.
Você será notificado caso erros sejam detectados no arquivo.
7
Se houver erros, faça as correções necessárias no arquivo e tente novamente.
8
Distribua as mudanças para atualizar os dispositivos.
Adicionar uma subzona
Depois de adicionar uma zona, você pode adicionar subzonas para melhor categorizar os dispositivos e
eventos por endereço IP.
Antes de iniciar
Adicione zonas na guia Gerenciamento de zonas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
304
Clique no ícone de início rápido do Asset Manager
e clique na guia Gerenciamento de zonas.
2
Selecione uma zona e clique em Adicionar subzona.
3
Preencha as informações solicitadas e clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
9
Trabalhar com o Asset Manager
Ativo, ameaça e avaliação de risco
Ativo, ameaça e avaliação de risco
O McAfee Threat Intelligence Services (MTIS) e as origens de avaliação de vulnerabilidade no seu
sistema geram uma lista de ameaças conhecidas. A gravidade dessas ameaças e o nível crítico de
cada um dos seus ativos são usados para calcular o nível de risco para a sua empresa.
Asset Manager
Ao adicionar um ativo ao Asset Manager (consulte Gerenciar ativos), você atribui um nível crítico. Essa
configuração representa o nível crítico do ativo para a sua operação. Por exemplo, se você tem um
computador gerenciando a instalação da empresa, e ele não tem backup, o nível crítico é alto. Se, no
entanto, você tem dois computadores gerenciando a instalação, cada um com um backup, o nível
crítico é consideravelmente mais baixo.
Você pode selecionar se deseja usar ou ignorar um ativo em cálculo de risco para a sua empresa no
menu Editar da guia Ativo.
Gerenciamento de ameaças
A guia Gerenciamento de ameaças no Asset Manager mostra uma lista de ameaças conhecidas, sua gravidade,
o fornecedor e se elas são usadas no cálculo de risco. Você pode ativar ou desativar ameaças
específicas para que sejam ou não usadas para calcular risco. Você também pode exibir os detalhes
das ameaças na lista. Esses detalhes incluem recomendações de como lidar com a ameaça e medidas
defensivas que você pode usar.
Exibições pré-definidas
Três exibições pré-definidas (consulte Trabalhar com exibições do ESM) resumem e exibem dados de
risco, ameaças e ativos:
•
Resumo das ameaças do ativo — Exibe os principais ativos por pontuação de risco e níveis de ameaça e
níveis de ameaça por risco.
•
Resumo das ameaças recentes — Exibe as ameaças recentes por fornecedor, risco, ativo e produtos de
proteção disponíveis.
•
Resumo de vulnerabilidade — Exibe vulnerabilidades por ameaças e ativos.
Detalhes de itens individuais sobre essas exibições podem ser acessados nos menus dos
componentes.
Exibições personalizadas
Opções foram adicionadas ao Assistente de consulta para que você possa configurar exibições
personalizadas (consulte Adicionar uma exibição personalizada) que exibam os dados de que você
precisar.
•
Nos componentes Controle de discagem e Contagem, você pode exibir a pontuação de risco média da
empresa e a pontuação de risco total da empresa.
•
Nos componentes Gráfico de pizza, Gráfico de barras e Lista, você pode exibir os ativos em risco, proteção
contra ameaças do produto, ameaça por ativo, ameaça por risco e ameaça por fornecedor.
•
No componente Tabela, você pode exibir ativos, ameaças mais recentes, ativos principais por
pontuação de risco e principais ativos por pontuação de risco.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
305
9
Trabalhar com o Asset Manager
Gerenciar ameaças conhecidas
Gerenciar ameaças conhecidas
Selecione quais ameaças conhecidas deverão ser usadas em cálculos de risco.
Cada ameaça tem uma classificação de gravidade. Essa classificação e a classificação de nível crítico
dos seus ativos são usadas para calcular a gravidade geral de uma ameaça para o seu sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
.
2
Clique na guia Gerenciamento da ameaças para exibir a lista de ameaças conhecidas.
3
Selecione uma ameaça conhecida e siga um destes procedimentos:
4
306
No console do ESM, clique no ícone de início rápido do Asset Manager
•
Clique em Detalhes da ameaça para exibir os detalhes da ameaça.
•
Se a coluna Calcular risco informar Sim, e você não desejar que ela seja usada em cálculos de
risco, clique em Desativar.
•
Se a coluna Calcular risco informar Não, e você desejar que ela seja usada em cálculos de risco,
clique em Ativar.
Clique em OK.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
10
Gerenciamento de políticas e regras
Crie, aplique e exiba regras e modelos de política.
Conteúdo
Compreensão do Editor de políticas
A Árvore de políticas
Tipos de regras e suas propriedades
Configurações padrão de políticas
Operações de regras
Atribuir marcas a regras ou ativos
Modificar configurações de agregação
Ação de substituição em regras obtidas por download
Níveis de gravidade
Exibir histórico de alteração de política
Aplicar alterações de política
Gerenciar tráfego de prioridade
Compreensão do Editor de políticas
O Editor de políticas permite criar modelos de políticas e personalizar políticas individuais.
Os modelos de políticas, bem como as configurações de política em qualquer dispositivo, podem
herdar valores de seus pais. A herança permite que as configurações de política aplicadas a um
dispositivo sejam infinitamente configuráveis, mantendo ao mesmo tempo um nível de simplicidade e
facilidade de uso. Cada política adicionada, junto com todos os dispositivos, tem uma entrada na Árvore
de políticas.
Ao operar no modo FIPS, não atualize as regras por meio do servidor de regras. Em vez disso,
atualize-as manualmente (consulte Verificar atualizações de regras).
O servidor de regras da McAfee mantém todas as regras, variáveis e pré-processadores com valores
ou usos predefinidos. A Política padrão herda seus valores e configurações das definições mantidas pela
McAfee e é a ancestral de todas as outras políticas. Por padrão, as configurações de todas as demais
políticas e dispositivos herdam seus valores da Política padrão.
Para abrir o editor, clique no ícone Editor de políticas ou selecione o nó do dispositivo ou sistema na árvore
de navegação e clique no ícone Editor de políticas na barra de ferramentas de ações
McAfee Enterprise Security Manager 9.5.0
.
Guia de produto
307
10
Gerenciamento de políticas e regras
A Árvore de políticas
1
Barra de menus
4
Exibição de regra
2
Painel de navegação de trilha
5
Campo de pesquisa de marcas
3
Painel de tipos de regras
6
Filtros/Painel de marcação
Os tipos de regras listados no painel Tipos de regras variam de acordo com o tipo de dispositivo
selecionado na árvore de navegação do sistema. O painel de navegação de trilha exibirá a hierarquia
da política que você tiver selecionado. Para alterar a política atual, clique no nome da política no painel
de navegação de trilha e na seta do painel de navegação de trilha, que exibe as políticas filho. Ou
clique no ícone Árvore de políticas
política.
. O menu da Árvore de políticas lista o que você pode fazer com uma
Quando um tipo é selecionado no painel Tipo de regra, todas as regras desse tipo serão listadas na seção
de exibição de regras. As colunas listam os parâmetros de regras específicos que você pode ajustar
para cada regra (exceto Variável e Pré-processador). É possível alterar as configurações clicando na
configuração atual e selecionando uma nova na lista suspensa.
O painel Filtros/Marcação permite filtrar as regras exibidas no Editor de políticas, de modo que você possa
exibir somente aquelas que correspondam a seus critérios, ou adicionar marcas às regras para definir
suas funções.
A Árvore de políticas
A Árvore de políticas lista as políticas e os dispositivos do sistema.
A Árvore de políticas permite:
308
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
A Árvore de políticas
•
Navegar para exibir os detalhes de uma política ou dispositivo específico
•
Adicionar uma política ao sistema
•
Modificar a ordem das políticas ou dispositivos
•
Localizar qualquer política ou dispositivo pelo nome
•
Renomear, excluir, copiar ou copiar e substituir, importar ou exportar uma política
Ícone
10
Descrição
Política
Dispositivo fora de sincronização
Dispositivo preparado
Dispositivo atualizado
Dispositivo virtual fora de sincronização
Dispositivo virtual preparado
Dispositivo virtual atualizado
Origem de dados fora de sincronização
Origem de dados preparada
Origem de dados atualizada
ADM fora de sincronização
DEM fora de sincronização
Gerenciar políticas na Árvore de políticas
Gerencie as políticas do sistema realizando ações na Árvore de políticas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM, clique no ícone Editor de políticas
e, em seguida, no ícone Árvore de políticas
.
Siga um destes procedimentos:
Para...
Faça isto...
Exibir as regras
de uma política
• Clique duas vezes na política. As regras são listadas na seção de exibição de
regras do Editor de políticas.
Tornar uma
política em
política filho
• Selecione a política filho, arraste-a e solte-a no pai.
Localizar uma
política ou
dispositivo
• Digite o nome no campo de pesquisa.
Somente é possível arrastar e soltar dispositivos nas políticas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
309
10
Gerenciamento de políticas e regras
A Árvore de políticas
Para...
Faça isto...
Adicionar uma
nova política
1 Selecione a política à qual você deseja adicionar uma nova política e clique
no ícone de menu Itens do menu da árvore de políticas
.
2 Clique em Nova, insira um nome para a política e clique em OK.
Renomear uma
política
1 Selecione a política que você deseja renomear e clique no ícone Itens do menu
da árvore de políticas.
2 Clique em Renomear, insira o novo nome e clique em OK.
Excluir uma
política
1 Selecione a política que você deseja excluir e clique no ícone Itens do menu da
árvore de políticas.
2 Clique em Excluir e clique em OK na página de confirmação.
Copiar uma
política
1 Selecione a política que você deseja copiar e clique no ícone Itens do menu da
árvore de políticas.
2 Clique em Copiar, insira um nome para a nova política e clique em OK.
Mover
dispositivos para
uma política
1 Selecione os dispositivos que você deseja mover e clique no ícone Itens do
menu da árvore de políticas
.
2 Selecione Mover e a política para a qual você deseja mover os dispositivos.
Copiar e
substituir uma
política
1 Selecione a política que você deseja copiar, clique no ícone Itens do menu da
árvore de políticas e selecione Copiar e substituir.
2 Em Selecionar política, selecione a política que deseja substituir.
3 Clique em OK e em Sim.
As configurações da política copiada são aplicadas à política substituída, mas o
nome continua sendo o mesmo.
Importar uma
política
A importação ocorre a partir do dispositivo selecionado.
1 Selecione o nível na árvore para o qual você deseja importar a nova política,
clique no ícone Itens do menu da árvore de políticas e selecione Importar.
2 Procure e faça upload do arquivo que deseja importar.
Se for exibida uma mensagem de erro, consulte Solucionar problemas de
importação de política para obter solução.
3 Selecione as opções de importação que deseja usar e clique em OK.
Exportar uma
política
1 Selecione a política que você deseja exportar.
A exportação inclui o nó selecionado para cima na hierarquia. Somente as
regras padrão com configurações personalizadas ou regras personalizadas
são exportadas, dessa forma, pelo menos uma delas precisa ser selecionada
para ativar a opção Exportar.
2 Clique em Menu e selecione Exportar.
3 Selecione as opções de exportação que deseja usar, clique em OK e selecione
o local para salvar o arquivo de política exportado.
3
Para fechar a Árvore de políticas, clique duas vezes em uma política ou em um dispositivo ou clique no
ícone de fechar
310
.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Tipos de regras e suas propriedades
O painel Tipos de regras da página Editor de políticas possibilita o acesso a todas as regras por tipo.
É possível importar, exportar, adicionar, editar e executar várias operações em uma regra que tenha
sido selecionada. As funções que podem ser executadas são limitadas pelo tipo de regra.
Todas as regras baseiam-se em um sistema de hierarquia no qual cada regra herda sua utilização da
regra pai. A regra (exceto as regras Variável e Pré-processador) é marcada com um ícone para indicar de
onde ela herda sua utilização. O ícone apresentará um ponto no canto inferior esquerdo se a herança
for interrompida em algum ponto abaixo da linha em questão.
Ícone Descrição
Indica que a utilização deste item foi determinada pela configuração do pai. A utilização da
maioria das regras é definida para herança por padrão, mas pode ser alterada.
Indica que a herança foi interrompida neste nível e que o valor da herança foi desativado.
A atual utilização da regra é adotada quando a herança é interrompida.
Indica que a herança foi interrompida neste nível. Os itens abaixo deste ponto não herdam
mais nada. Esta configuração é útil para forçar as regras a usar este padrão.
Indica um valor personalizado. Você define um valor que não é o padrão.
Propriedades
Quando um tipo de regra é selecionado, o painel de exibição de regra mostra todas as regras desse
tipo existentes no sistema e suas configurações de propriedade. Essas propriedades podem ser Ação,
Gravidade, Lista negra, Agregação e Copiar pacote.
Esta
propriedade...
Permite...
Ação
Definir a ação executada por essa regra. As opções disponíveis baseiam-se no
tipo de regra.
Os itens da lista negra não podem ser movidos para seu destino. Se a ação
Aprovação for selecionada na coluna Lista negra, o sistema mudará
automaticamente para Alerta.
Gravidade
Selecione a gravidade da porção da regra quando a regra for disparada. A
gravidade vai de 1 a 100, sendo 100 a maior.
Lista negra
Crie uma entrada na lista negra automaticamente para cada regra quando a
regra for disparada no dispositivo. Você pode optar por incluir na lista negra
somente o endereço IP ou o endereço IP e a porta.
Agregação
Defina a agregação por regra para os eventos criados quando uma regra é
disparada. As configurações de agregação definidas nas páginas Agregação do
evento (consulte Agregar eventos ou fluxos) aplicam-se somente às regras
definidas no Editor de políticas.
Copiar pacote
Copie os dados do pacote para o ESM, o que será útil no caso de comunicação
perdida. Se houver alguma cópia dos dados do pacote, você poderá acessar as
informações recuperando a cópia.
Altere essas configurações clicando na configuração atual e selecionando uma outra.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
311
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Variáveis
Uma variável é uma configuração global ou um marcador de posição para informações específicas do
usuário ou de um local. Várias regras usam variáveis.
Recomendamos que você tenha um profundo conhecimento do formato Snort antes de adicionar ou
modificar variáveis.
As variáveis são usadas para fazer com que regras comportem-se de uma maneira específica, o que
pode variar de dispositivo para dispositivo. O ESM possui diversas variáveis predefinidas, mas também
permite a adição de variáveis personalizadas. Ao adicionar uma regra, essas variáveis são exibidas
como opções na lista suspensa para o tipo de campo selecionado no campo Tipo na página Nova variável.
Cada variável possui um valor padrão, mas é recomendável que você defina alguns valores que
correspondam ao ambiente específico de cada dispositivo. Espaços não são permitidos ao inserir o
nome de uma variável. Caso seja necessário adicionar um espaço, use o caractere underscore ( _ ).
Para maximizar a eficiência de um dispositivo, é especialmente importante definir a variável
HOME_NET para a rede doméstica protegida pelo dispositivo específico.
Esta tabela mostra uma lista de variáveis comuns e seus valores padrão.
Nomes de variáveis Descrição
Padrão
Descrição padrão
EXTERNAL_NET
Todos fora da rede protegida
!$HOME_NET
Porta 80
HOME_NET:
Espaço de endereço da rede local
protegida: (10.0.0.0/80)
Qualquer
O mesmo que
HOME_NET
HTTP_PORTS
Portas de servidor Web: 80 ou 80:90
para um intervalo entre 80 e 90
80
Qualquer porta
exceto HTTP_PORTS
HTTP_SERVE RS
Endereço dos servidores Web:
192.168.15.4 ou
[192.168.15.4,172.16.61.5]
$HOME_NET
O mesmo que
HOME_NET
SHELLCODE_PORTS
Qualquer uma, menos portas de
servidor Web
!$HTTP_PORTS O mesmo que
HOME_NET
SMTP
Endereços de servidor de e-mail
$HOME_NET
O mesmo que
HOME_NET
SMTP_SERVERS
Endereços de servidor de e-mail
$HOME_NET
O mesmo que
HOME_NET
SQL_SERVERS
Endereços de servidores SQL DB
$HOME_NET
O mesmo que
HOME_NET
TELNET_SERVERS
Endereços de servidores telnet
$HOME_NET
O mesmo que
HOME_NET
As variáveis que vêm com o sistema podem ser modificadas. Variáveis personalizadas podem ser
adicionadas, modificadas ou excluídas.
Você pode atribuir tipos a variáveis personalizadas. Tipos de variável são usadas ao filtrar regras para
fins de geração de relatórios e determinam o campo em que as variáveis estarão disponíveis ao
adicionar ou modificar uma regra. Os tipos de variáveis são globais por natureza, e qualquer alteração
feita será refletida em todos os níveis da política.
Gerenciar variáveis
Ao selecionar o tipo de regra da variável no Editor de políticas, você pode executar várias ações para
gerenciar variáveis personalizadas e predefinidas.
312
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Clique no ícone Editor de políticas.
2
No painel Tipos de regras, selecione Variável.
3
Siga um destes procedimentos:
Para...
Faça isto...
Adicionar uma
nova categoria
1 Selecione Novo | Categoria.
Adicionar uma
variável
personalizada
2 Insira um nome para a nova categoria e clique em OK.
1 No painel de exibição de regras, selecione a categoria e clique em Novo.
2 Selecione Variável e defina as configurações solicitadas.
3 Clique em OK.
Modificar uma
variável
1 No painel de exibição de regras, selecione a variável a ser modificada.
2 Selecione Editar e clique em Modificar.
3 Modifique o valor ou descrição e clique em OK.
Excluir uma
variável
personalizada
1 No painel de exibição de regras, selecione a variável a ser excluída.
Importar uma
variável
1 Selecione Arquivo e clique em Importar | Variáveis.
2 Selecione Editar e clique em Excluir.
2 Clique em Importar, procure e faça upload do arquivo.
O arquivo de importação deve ser um arquivo .txt contendo as informações
a seguir neste formato: NomedaVariável;ValordaVariável;
NomedaCategoria (opcional); Descrição (opcional). Se um campo estiver
ausente, um ponto-e-vírgula deve ser inserido em seu lugar para servir
como marcador de posição.
Modificar o tipo de
variável
personalizada
1 Selecione a variável personalizada.
2 Clique em Editar e selecione Modificar.
3 Altere o tipo de variável.
Quando o tipo de variável é definido para outro diferente de Nenhum tipo
selecionado e vinculado, não é possível alterar o valor.
4 Clique em OK para salvar as alterações.
Detectar anomalias do protocolo TCP e sequestro de sessão
Você pode detectar e alertar sobre anomalias do protocolo TCP e verificar a existência de sequestro de
sessão TCP usando a variável do pré-processador Stream5.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
313
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, clique no ícone Editor de políticas
.
2
No painel Tipos de regras, clique em Variável.
3
No painel de exibição de regras, clique em pré-processador e selecione STREAM5_TCP_PARAMS.
4
Na página Modificar variável, adicione no campo Valor:
•
Para detectar e alertar sobre anomalias do protocolo TCP, adicione detect_anomalies após
política primeiro.
•
Para verificar a existência de sequestro de sessão TCP, adicione detect_anomalies
check_session_hijacking após política primeiro.
Regras de pré-processador
Os pré-processadores são um modo de unificar a detecção de anomalias e a inspeção de pacotes no
McAfee Nitro IPS e detecção de intrusão.
Os pré-processadores são essenciais para a detecção correta de muitas regras. Use os
pré-processadores que se aplicam à sua configuração de rede. Os parâmetros dos pré-processadores
podem ser alterados ao editar as respectivas variáveis no tipo de regra Variáveis do Editor de políticas.
Tipo
Descrição
Normalização de
RPC
Normaliza o tráfego específico de protocolo de RPC de modo uniforme somente
para fins de detecção. Esse pré-processador pode evitar que ataques relacionados à
fragmentação de RPC sejam ignorados no Nitro IPS.
Detecção de
varredura de porta
Gera um evento caso detecte uma varredura de porta nos dispositivos no lado
confiável de sua rede.
Uma vez configurada corretamente a variável HOME_NET, você deve modificar a
variável SFPORTSCAN_PARMS (Variáveis | pré-processador) para ler:
proto { all } scan_type { all } sense_level { medium } ignore_scanners
Isso será adicionado à variável sfportscan para eliminar o que o Nitro IPS
reconhece como varreduras de porta da variável HOME_NET. As redes que colocam
o Nitro IPS ou a detecção de intrusão perto de um roteador ou firewall que faça
NAT (Network Address Translation) parecem estar fazendo varreduras de porta para
o Nitro IPS. Modificar a variável reduz o que parecem ser eventos falsos positivos.
A variável HOME_NET não pode ser configurada para “qualquer”, para que
ignore_scanners funcione corretamente.
ZipZap
Ao atender conteúdos da Web (HTTP), muitos servidores Web aceitam solicitações
de navegadores da Web, indicando que o conteúdo pode ser compactado antes de
ser enviado. Embora isso economize largura de banda de rede, páginas da Web
compactadas não podem ser analisadas por um dispositivo. O pré-processador
ZipZap faz com que o servidor Web retorne esses dados em formato bruto, não
compactado e analisável. Ativar esse pré-processador aumenta o volume de largura
de banda utilizado pelo tráfego da Web.
Desfragmentador de Modela os destinos reais da rede em vez de simplesmente modelar os protocolos e
IP com base em
pesquisar ataques dentro deles. Utiliza a estrutura de dados sfxhash e listas
destino
vinculadas para tratar dados internamente, permitindo desempenho previsível e
determinista em qualquer ambiente, o que ajuda a gerenciar ambientes altamente
fragmentados.
314
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Tipo
Descrição
Normalização de
solicitações da Web
Normaliza solicitações da Web de modo uniforme somente para fins de detecção.
Está sempre ativada; no entanto, não é possível fazer alterações. Há dois tipos de
pré-processadores para normalização de solicitações da Web: um para uso em
versões até 8.2.x e outro para a versão 8.3.0 e versões posteriores.
Esse pré-processador detecta os seguintes ataques:
• Ataques de passagem de diretório Web (http://something.com/./attack.cmd)
• Cadeias com dupla codificação (http://something.com/
%25%32%35%25%33%32%25%33%30attack.cmd)
• Normalização de Unicode
• Caracteres inválidos em um URI de solicitação da Web
Remontagem de
TCP com base em
destino e
rastreamento de
sessão TCP/UDP
Sessões de rastreamentos. Com o Stream5, as palavras-chave de regra "flow" e
"flowbits" podem ser usadas com tráfego TCP e UDP.
Gerenciar regras de pré-processador
Ative ou desative cada pré-processador e defina a herança.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, clique em IPS | Pré-processador.
2
Selecione Herdar, Ligar ou Desligar para as regras ativas.
Regras de firewall
As regras de firewall são usadas para detectar eventos de rede com base nas informações do pacote,
como protocolo, porta ou endereço IP em um IPS do Nitro.
A política de firewall varre os pacotes de entrada e toma decisões com base nas informações iniciais
encontradas antes de o pacote ser passado para o mecanismo de inspeção de pacote detalhada. As
regras de firewall bloquearão, por exemplo, endereços IP falsificados e inválidos, entre outras coisas.
Elas também rastreiam a taxa e o tamanho do tráfego da rede.
Estes são os tipos de regras de firewall:
•
Anomaly (Anomalia) — Detecta anomalias. Várias regras baseadas em anomalia coincidem umas
com as outras e são usadas com os valores definidos na guia Variáveis. Por exemplo, a regra Conexão
de longa duração e a variável Longa duração em segundos são usadas juntas para determinar o número de
segundos até a regra ser disparada. Para ver mais detalhes específicos sobre cada regra, verifique
a seção de detalhe, localizada na parte inferior da página.
•
Anti-Spoof (Antispoof) — Detecta endereços IP inválidos. Por exemplo, se um endereço IP interno
reservado for visto entrando na rede através de um dispositivo, a regra antispoof será disparada.
•
Blacklist (Lista negra) — Determina a ação que será executada em pacotes que estão sendo
enviados de um endereço IP ou porta, e para eles, e que estão na lista negra.
•
DHCP — Ativa e desativa a capacidade de permitir tráfego DHCP em um dispositivo.
•
IPv6 — Detecta o tráfego IPv6.
•
Port-Block (Bloqueio de porta) — Bloqueia determinadas portas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
315
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Detecção de anomalias
Algumas regras de firewall são baseadas em taxa. Uma regra baseada em taxa é aquela que dispara
um alerta somente quando o tráfego da rede excede os limites definidos pelas variáveis de categoria
do firewall no Editor de políticas. Os valores padrão dessas variáveis podem não fazer sentido para o
tráfego da rede, por isso, o Assistente Detecção de anomalias com base em taxa permite analisar gráficos de
dados do fluxo da rede relacionados a esses parâmetros (consulte Assistente de detecção de
anomalias).
Exceções do firewall
Algumas vezes, as exceções do firewall são necessárias para permitir que determinados tipos de
tráfego passem pelo firewall que, de outra maneira, seriam bloqueados. Por exemplo, se um endereço
interno válido chega da rede externa, por exemplo, uma VPN, ela dispara um alerta de Entrada de
bogons. Para interromper o alerta, é preciso configurar uma exceção para a regra de firewall.
Você pode também optar por tratar uma exceção como uma exceção aos padrões definidos em outras
exceções, criando uma exceção para a lista de exceções (ou seja, incluir um endereço ou bloco de
endereços). Se um endereço precisa ser verificada com a regra de firewall e o endereço IP está em um
bloco de endereços que já foi aceito, ele pode ser excluído da lista de exceções inserindo o endereço
IP (ou máscara) e marcando a caixa.
Por exemplo, a lista de exceções já contém o bloco de endereços 10.0.0.0/24. Todos os endereços
desse intervalo são uma exceção à regra. Se o endereço de origem 10.0.0.1 estiver ativo para essa
regra, selecione Tratar como uma exceção aos padrões definidos em outras exceções e digite 10.0.0.1 no campo de
origem. A regra de firewall será aplicada ao 10.0.0.1, mas não será aplicada a nenhum outro endereço
do bloco 10.0.0.0/24, porque 10.0.0.1 é agora a exceção à lista de exceções.
Adicionar uma regra de firewall personalizada
Normalmente, as regras de firewall padrão são suficientes para proteger a rede. No entanto, pode
haver ocasiões em que seja necessário adicionar regras específicas a um sistema ou ambiente
protegido.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione IPS | Firewall.
2
Selecione Novo e clique em Regra de firewall.
3
Defina as configurações e clique em OK.
Os filtros na nova regra serão aplicados e a nova regra será exibida no painel de exibição de regras.
Se você clicar no ícone de filtro
, a filtragem será limpa.
Adicionar exceções de firewall
Adicione exceções às regras de firewall para permitir que os eventos de rede de protocolos, endereços
IP ou portas especificadas passem pelo firewall.
316
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione IPS | Firewall.
2
No painel de exibição de regras, clique na regra à qual deseja adicionar uma exceção.
Para ajudar a encontrar a regra, use filtros no painel Filtros/Marcação (consulte Filtrar regras).
3
Selecione Novo e clique em Exceção de firewall.
4
Clique em Adicionar e selecione ou digite os valores que definem essa exceção.
5
Clique em OK.
Regras de inspeção de pacote detalhadas
As regras de inspeção de pacotes detalhadas avaliam o conteúdo de um pacote e o compara a padrões
nas assinaturas de regra. Quando há uma correspondência, a ação esperada é realizada.
O filtro BASE (no painel Filtros/Marcação) oferece proteção contra invasões conhecidas que podem ser
prejudiciais para um sistema ou para os dados dele. O mesmo se aplica aos filtros MALWARE e VIRUS.
Os filtros POLICY e MULTIMEDIA inibem ou alertam a respeito de atividades de rede associadas a
especificações de uso de rede definidas pelo usuário e não estão associadas a intrusões de rede
potencialmente perigosas. Esses são os tipos de grupo de filtro gerais:
•
Regras de proteção (BASE, MALWARE, PERIMETER, VIRUS)
•
Regras de política (CHAT, MULTIMEDIA, PEERTOPEER, POLICY, SECURE APPLICATION GATEWAY)
Normalmente, as regras padrão são suficientes para proteger a rede. No entanto, poderá haver um
momento no qual as regras específicas de um ambiente ou de um sistema protegido serão
necessárias. Você pode adicionar regras de inspeção de pacotes detalhadas ao ESM (consulte
Adicionar regras de inspeção de pacotes detalhadas).
Adicionar regras de inspeção de pacote detalhadas
Adicionar uma regra de inspeção de pacote detalhada quando uma é necessária para um sistema ou
um ambiente protegidos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione Nitro IPS | Inspeção de pacote detalhada.
2
Clique em Novo e selecione Regra de inspeção de pacote detalhada.
3
Defina as configurações e clique em OK.
Os filtros na nova regra serão aplicados e a nova regra será exibida no painel de exibição de regras.
Se você clicar no ícone de filtro, a filtragem é cancelada e todas as regras de inspeção de pacotes
detalhadas serão exibidas.
Adicionar atributo de inspeção de pacote detalhada
Quando você adiciona ou edita uma regra de inspeção de pacote detalhada, uma das etapas
necessárias é definir um atributo para a regra. Esses atributos definem a ação para a regra. Você pode
adicionar e excluir opções personalizadas da lista existente para que elas possam ser atribuídas a uma
regra.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
317
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione IPS | Inspeção de pacote detalhada | Adicionar.
2
Na lista suspensa, selecione a categoria deste atributo.
3
No campo Opções, selecione a ação associada a este atributo.
4
Insira um valor para a opção selecionada e clique em OK.
O nome e o valor da opção são adicionados à tabela Opções da regra. Selecione o valor a editar ou
exclua-o.
Regras internas
O tipo de regra Interna contêm regras com IDs de assinatura entre 3.000.000 e 3.999.999, que são
alertas internos e não têm assinaturas como outras regras têm. Essas regras podem ser somente
ativadas ou desativadas.
Esse tipo de regra fica disponível somente quando um Nitro IPS ou dispositivo virtual é selecionado na
árvore de navegação do sistema.
Gerenciar regras internas
Exibir a lista de regras internas existentes ou alterar seu status.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Na árvore de navegação do sistema, selecione um Nitro IPS ou um dispositivo virtual.
2
No painel Tipos de regras do Editor de políticas, selecione IPS | Internas.
3
Na coluna Ativar, clique em Selecionar tudo, Não selecionar nenhum, ou selecione ou desmarque regras
individuais.
Regras de filtragem
As regras de filtragem permitem especificar a ação a ser tomada quando os dados definidos são
recebidos pelo Receiver.
Ordem de dados
As regras de filtragem são gravadas no Receiver nesta ordem de dados:
1 Todas as regras não "genéricas".
a interromper = verdadeiro, analisar = falso e registrar em log = falso
b interromper = verdadeiro, analisar = verdadeiro e registrar em log = verdadeiro
c
interromper = verdadeiro, analisar = verdadeiro e registrar em log = falso
d interromper = verdadeiro, analisar = falso e registrar em log = verdadeiro
318
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
2 Todas as regras "genéricas"
Ordem de regras
Se tiver direitos de Administrador de políticas, você poderá definir a ordem de execução das regras de
filtragem. Essas regras serão executadas na ordem mais eficiente para gerar os dados necessários
(consulte Definir ordem das regras de filtragem e do ASP).
Adicionar regras de filtragem
Você pode adicionar regras de filtro ao Editor de políticas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione Receptor | Filtro.
2
Selecione Novo e clique em Regra de filtragem.
3
Preencha os campos e clique em OK
4
Para ativar a regra, selecione-a no painel de exibição de regras, clique na configuração da coluna
Ação e clique em ativado.
Regras de ASP
O ASP oferece um mecanismo para analisar dados de mensagens de syslog com base em regras
definidas pelo usuário.
As regras instruem o ASP a reconhecer uma determinada mensagem e a parte do evento específico
dessa mensagem em que residem os dados, como IDs de assinatura, endereços IP, portas, nomes de
usuário e ações.
Ele também é ideal para pesquisar em origens de registros complexos, como servidores Linux e UNIX.
Essa funcionalidade exige que você grave regras sob medida para o seu ambiente Linux ou UNIX.
É preciso ter conhecimento sobre expressões regulares para usar esse recurso.
Quando o sistema recebe um log do ASP, o formato de hora deve coincidir com o formato especificado
na regra do ASP. Quando isso não ocorre, o log não é processado. Você pode adicionar vários formatos
de hora personalizados para aumentar a probabilidade de correspondência do log (consulte Adicionar
formato de hora às regras do ASP).
Se tiver direitos de Administrador de políticas, você poderá definir a ordem de execução das regras do ASP.
Essas regras gerarão os dados necessários (consulte Definir ordem das regras de filtragem e do ASP).
Adicionar uma regra de ASP personalizada
O editor de Regra de analisador de syslog avançado permite que você crie regras para analisar dados de
registro do APS.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione Receptor | Analisador avançado de syslog.
2
Selecione Nova e clique em Regra de analisador de syslog avançado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
319
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
3
Clique em cada guia e preencha as informações solicitadas.
4
Clique em Finalizar.
Definir ordem das regras de filtragem e do ASP
Se tiver direitos de Administrador de políticas, você agora pode definir a ordem de execução das regras de
filtragem ou do ASP. Essa opção classifica as suas regras de forma eficiente para que você tenha os
dados de que mais precisa.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM, clique no ícone Editor de políticas
.
No menu Operações, selecione Ordenar regras de ASP ou Ordenar regras de filtragem e selecione a origem de
dados no campo Tipo de origem de dados.
O painel esquerdo é preenchido com as regras disponíveis para serem colocadas em ordem. As
regras ordenadas estão no painel direito.
3
Na guia Regras padrão ou Regras personalizadas, mova uma regra do painel esquerdo para o direito
(arraste e solte ou use as setas), posicionando-a acima ou abaixo das Regras sem ordem.
As Regras sem ordem representam as regras do painel esquerdo, que estão na ordem padrão.
4
Use as setas para reordenar as regras e clique em OK para salvar as alterações.
Adicionar formatos de hora às regras do ASP
Quando o sistema recebe um log do ASP (analisador avançado de syslog), o formato de hora deve
coincidir com o formato especificado na regra do ASP.
Você pode adicionar vários formatos de hora personalizados para aumentar a probabilidade de
correspondência do log com um dos formatos fornecidos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
320
No console do ESM, clique no ícone Editor de políticas
.
2
No painel Tipos de regras, clique em Receiver | Analisador avançado de syslog.
3
Após o download das regras do ASP, siga um destes procedimentos:
•
Para editar uma regra existente, clique nela e em Editar | Modificar.
•
Para adicionar uma nova regra, clique em Nova | Regra de analisador avançado de syslog e preencha as
guias Geral, Análise e Atribuição de campo.
4
Clique na guia Mapeamento e no ícone de mais acima da tabela Formato de hora.
5
Clique no campo Formato e selecione o formato de hora.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
6
10
Selecione os campos de hora desejados para usar esse formato.
Primeira vez e Última vez se referem à primeira e à última vez em que o evento foi gerado. Outros
campos de hora do Tipo personalizado que você tiver adicionado ao ESM (consulte Filtros de tipo
personalizado) também serão listados.
7
Clique em OK e preencha com as informações restantes na guia Mapeamento.
Regras de origem de dados
A lista de regras de origem de dados inclui regras predefinidas e aprendidas automaticamente.
O Receptor aprende automaticamente as regras da origem de dados conforme processa as
informações enviadas para ele pelas origens de dados associadas ao Receptor.
A opção Origem de dados no painel Tipos de regras fica visível somente quando uma política, uma origem de
dados, ou um Analisador de syslog avançado ou um Receptor estiver selecionado na árvore de navegação do
sistema. A área da descrição na parte inferior da página oferece informações detalhadas sobre a regra
selecionada. Todas as regras têm uma configuração de gravidade que determina a prioridade
associada a uma regra. A prioridade afeta como os alertas gerados para essas regras são mostrados
para fins de geração de relatórios.
As regras de origem de dados têm uma ação padrão definida. O Receiver atribui isso ao subtipo de
evento associado à regra. Você pode alterar essa ação (consulte Definir ações de regras de origem de
dados).
Definir ações de regras de origem de dados
As regras de origem de dados têm uma ação padrão definida. O Receiver atribui essa ação ao subtipo
de evento associado à regra. Você pode alterar essa ação.
Você pode definir o valor do subtipo de evento por regra de origem de dados. Isso significa que você
pode definir ações de regra para dashboards, relatórios, regras de análise ou alarmes com valores
diferentes, como o resultado de uma regra de acesso seletiva (permitir/negar).
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
No console do ESM, clique no ícone Editor de políticas
Tipos de regras.
e selecione Receiver | Origem de dados no painel
Clique na coluna Subtipo da regra que você precisar alterar e selecione a nova ação.
•
Selecione ativar para preencher o subtipo do evento com a ação padrão, alertar.
•
Selecione desativar se não desejar coletar eventos da regra correspondente.
•
Selecione qualquer outra ação para preencher o subtipo do evento com essa ação.
Gerenciar regras de origem de dados aprendidas automaticamente
Exibir uma lista de todas as regras de fontes de dados aprendidas automaticamente e editá-las ou
excluí-las.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione Receptor | Origem de dados.
2
No painel Filtros/Marcação, clique na barra Avançado na parte inferior do painel.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
321
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
3
Na lista suspensa Origem, selecione definido pelo usuário e clique no ícone Executar consulta
.
Todas as regras de origem de dados aprendidas automaticamente são listadas no painel de
exibição.
4
Selecione a regra que deseja editar ou excluir, clique em Editar e selecione Modificar ou Excluir regras
aprendidas automaticamente.
•
Se você selecionou Modificar, altere o nome, a descrição ou a ID normalizada da regra e clique
em OK.
•
Se você selecionou Excluir regras aprendidas automaticamente, selecione a opção correta e clique em OK.
Regras de eventos do Windows
As regras de eventos do Windows são usadas para gerar eventos relacionados ao Windows.
Elas são regras de origens de dados para eventos do Windows, e estão separadas do tipo de regra de
origem de dados porque são um caso de uso comum. Todas as regras desse tipo são definidas pela
McAfee. Você não pode adicionar, modificar ou excluí-las, mas pode alterar suas configurações de
propriedade.
Regras de ADM
McAfee ADM é uma série de appliances de rede equipado com o mecanismo de Inspeção de pacote
detalhada (DPI) de ICE.
O Mecanismo ICE é uma biblioteca de software e coleção de módulos de plug-in de conteúdo e
protocolo que identifica e extrai conteúdo do tráfego bruto da rede em tempo real. Ele pode remontar
e decodificar totalmente o conteúdo no nível de aplicativo, transformando os fluxos de pacote de rede
criptografados em conteúdo de fácil leitura, como se fossem lidos em um arquivo local.
O mecanismo de ICE é capaz de identificar automaticamente protocolos e tipos de conteúdo sem a
necessidade de contar com números de porta TCP fixos ou extensões de arquivo. O mecanismo de ICE
não depende de assinaturas para executar análises e decodificações, pois seus módulos implementam
análises completas para cada protocolo ou tipo de conteúdo. Isso resulta na identificação e
decodificação extremamente precisas do conteúdo e permite que este último seja identificado e
extraído mesmo quando ele está compactado, ou codificado e, portanto, não passa pela rede em texto
claro.
Como resultado dessa identificação e decodificação altamente precisas, o mecanismo de ACE é capaz
de oferecer uma exibição exclusivamente detalhada do tráfego da rede. Por exemplo, o mecanismo de
ACE poderia receber um fluxo de documento PDF que percorreu a rede dentro de um arquivo zip,
como um anexo codificado BASE-64 para um e-mail SMTP de um servidor proxy SOCKS.
Esse reconhecimento de aplicativo e documento permite que o ADM forneça um contexto de
segurança valioso. Ele pode detectar ameaças que podem ser facilmente detectadas por uma detecção
de intrusão tradicional ou IPS do Nitro, como:
322
•
Vazamento de informações e documentos confidenciais ou violações de políticas de comunicação.
•
Tráfego de aplicativos não autorizado (por exemplo, quem está usando Gnutella?).
•
Aplicativos usados de maneira inesperada (por exemplo, HTTPS em porta não padrão).
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
•
Documentos possivelmente maliciosos (por exemplo, o documento não corresponde à sua
extensão).
•
Nova geração de explorações (por exemplo, documento PDF com um executável incorporado).
10
O ADM também detecta padrões de tráfego maliciosos detectando anomalias em protocolos de
transporte e aplicativo (por exemplo, uma conexão RPC incorreta ou a porta de destino TCP é 0).
Aplicativos e protocolos compatíveis
Existem mais de 500 aplicativos e protocolos compatíveis nos quais o ADM pode monitorar, decodificar
e detectar anomalias. Veja uma lista de amostra:
•
Protocolos de rede de nível inferior — TCP/IP, UDP, RTP, RPC, SOCKS, DNS e outros
•
E-mail — MAPI, NNTP, POP3, SMTP, Microsoft Exchange
•
Bate-papo — MSN, AIM/Oscar, Yahoo, Jabber, IRC
•
Webmail — AOL Webmail, Hotmail, Yahoo! E-mails do Mail, Gmail, Facebook e MySpace
•
P2P — Gnutella, bitTorrent
•
Shell — SSH (detecção somente), Telnet
•
Mensagens instantâneas — AOL, ICQ, Jabber, MSN, SIP e Yahoo
•
Protocolos de transferência de arquivo — FTP, HTTP, SMB e SSL
•
Protocolos de compactação e extração — BASE64, GZIP, MIME, TAR, ZIP e outros
•
Arquivamentos — Arquivos RAR, ZIP, BZIP, GZIP, Binhex e arquivos UU-encoded
•
Pacotes de instalação — Pacotes Linux, gabinetes InstallShield, gabinetes Microsoft
•
Arquivos de imagem — GIFs, JPEGs, PNGs, TIFFs, AutoCAD, Photoshop, Bitmaps, Visio, Digital RAW
e ícones do Windows
•
Arquivos de áudio — WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio,
SHOUTCast e muito mais
•
Arquivos de vídeo — AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, Digital Video (DV), Motion
JPEG, e muito mais
•
Outros aplicativos e arquivos — Bancos de dados, planilhas, fax, aplicativos Web, fontes, arquivos
executáveis, aplicativos do Microsoft Office, jogos e até ferramentas de desenvolvimento de
software
•
Outros protocolos — Impressora de rede, acesso ao shell, VoIP e ponto a ponto
McAfee Enterprise Security Manager 9.5.0
Guia de produto
323
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Principais conceitos
A chave para compreender como o ADM funciona é conhecer os seguintes conceitos:
•
Objeto — Um objeto é um item de conteúdo individual. Um e-mail é um objeto, mas também é
um contêiner de objeto, já que tem um corpo de mensagem (ou dois) e anexos. Uma página HTML
é um objeto que pode conter objetos adicionais, como imagens. Um arquivo zip e todos os arquivos
em seu interior são objetos. O ADM descompacta o contêiner e trata cada objeto interno como seu
próprio objeto.
•
Transação — Uma transação é um wrapper da transferência de um objeto (conteúdo). Uma
transação contém pelo menos um objeto, no entanto, se esse objeto for um contêiner, como o
arquivo zip, uma única transação poderá conter vários objetos.
•
Fluxo — Um fluxo é a conexão de rede TCP ou UDP. Um fluxo pode conter várias transações.
Regras do DEM
O verdadeiro poder do McAfee DEM está na forma como ele captura e normaliza as informações nos
pacotes de rede.
O DEM também tem a capacidade de criar regras complexas usando expressões lógicas e regulares
para correspondência de padrão, que oferecem a capacidade de monitorar mensagens de aplicativo e
banco de dados praticamente sem falsos positivos. Os dados normalizados (métricas) variam para
cada aplicativo, pois alguns protocolos e mensagens de aplicativos são mais completos do que outros.
As expressões de filtro devem ser criadas com atenção, não somente à sintaxe, mas também
certificando-se de que a métrica seja compatível com o aplicativo.
O DEM é enviado com um conjunto de regras padrão. As regras de conformidade padrão monitoram
eventos de banco de dados significativos como logon/logoff, atividade do tipo DBA como alterações de
DDL, atividades suspeitas e ataques de bancos de dados que normalmente são necessários para
cumprir os requisitos de conformidade. Você pode ativar ou desativar cada regra padrão e definir o
valor de cada parâmetro de regras definidas pelo usuário.
Estes são os tipos de regras DEM: banco de dados, acesso de dados, descoberta e rastreamento de
transações.
Tipos de
regras
Descrição
Banco de dados O conjunto padrão de regras DEM inclui regras para cada tipo de banco de dados
compatível e normas comuns como SOX, PCI, HIPAA e FISMA. Você pode ativar ou
desativar cada uma das regras padrão e definir o valor de cada parâmetro definido
pelo usuário das regras.
Além disso, para usar as regras enviadas com o DEM, você pode criar regras
complexas usando expressões lógicas e regulares. Isso oferece a capacidade de
monitorar mensagens do aplicativo ou do banco de dados com praticamente
nenhum falso positivo. Como algumas mensagens ou protocolos de aplicativos são
mais completas do que outras, os dados normalizados (métricas) variam para cada
aplicativo.
As regras podem ser tão complexas quanto você precisar e incluem operadores
lógicos e de expressão regular. Uma expressão de regra pode ser aplicada contra
uma ou mais métricas disponíveis para o aplicativo.
Acesso a dados As regras de acesso a dados do DEM oferecem a capacidade de rastrear caminhos
de acesso desconhecidos no banco de dados e enviar alertas em tempo real. As
violações comuns nos ambientes de bancos de dados, como desenvolvedores de
aplicativos que acessam sistemas de produção que usam IDs de logon de
aplicativos, podem ser rastreadas rapidamente após a criação das regras de acesso
apropriadas.
324
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Tipos de
regras
Descrição
Descoberta
As regras de descoberta de banco de dados do DEM oferecem uma lista de exceção
de servidores de bancos de dados, dos tipos compatíveis com o ESM, que estão na
rede, mas não estão sendo monitoradas. Isso permite que o administrador de
segurança descubra novos servidores de bancos de dados adicionados ao ambiente
e portas de ouvinte ilegais abertas para acessar dados dos bancos de dados. As
regras de descoberta (Editor de políticas | Tipo de regra DEM | Descoberta) são regras
prontas para serem usadas que não podem sofrer adições ou edições. Quando a
opção de descoberta na página dos servidores de banco de dados está ativada
(Propriedades do DEM | Servidores de banco de dados | Ativar), o sistema usa essas regras
para pesquisar por servidores de banco de dados que estão na rede, mas não estão
listados no DEM ou na árvore de navegação do sistema.
Rastreamento
de transação
As regras de rastreamento de transação permitem que você rastreie as transações
de banco de dados e ajuste as alterações automaticamente. Por exemplo, o
processo demorado de rastreamento das alterações dos bancos de dados e
ajustá-las às ordens de serviço autorizadas em seu sistema de tíquetes de
alterações pode ser totalmente automatizado.
O uso desse recurso é compreendido melhor com um exemplo:
O DBA, como procedimento, executaria o procedimento armazenado de marca de
início (spChangeControlStart neste exemplo) no banco de dados no qual o trabalho
seria executado antes do início real do trabalho autorizado. O recurso Rastreamento de
transação no DEM permite que o DBA inclua até três parâmetros de cadeia opcionais
como argumento para a marca na sequência correta:
1 ID
2 Nome ou iniciais DBA
3 Comentário
Por exemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’
Quando o DEM observa a execução do procedimento spChangeControlStart, ele não
somente registra a transação, mas também os parâmetros (ID, Name, Comment)
como informações especiais.
Depois que o trabalho é concluído, o DBA executa o procedimento armazenado de
marca final (spChangeControlEnd) e, como opção, inclui um parâmetro de ID, que
precisa ser igual ao do ID na marca de início). Quando o DEM observa a marca de
fim (e o ID), ele pode associar todas as atividades entre a marca de início (que tem
o mesmo ID) e a marca de fim como uma transação especial. Então você pode
relatar de acordo com as transações e pesquisar por ID, que nesse exemplo de
ajuste de ordem de trabalho poderia ser o número de controle da alteração.
Você também pode usar o rastreamento de transação para registrar o início e o fim
de uma execução de transações ou até mesmo iniciar e vincular declarações a
relatórios por transação em vez de consultas.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
325
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Referências de métrica da regra do DEM
Aqui está uma lista de referências de métrica para expressões de regra do DEM que estão disponíveis
na página Componente da expressão quando você adiciona uma regra DEM.
326
Nome
Definição
Tipos de banco de dados
Nome do aplicativo
O nome que identifica o tipo de banco de dados ao
qual a regra se aplica.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix, PIServer,
InterSystems Cache
Hora de início
Data e hora iniciais da consulta.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Desvio da hora de
início
Captura os desvios do relógio do servidor.
MSSQL, Oracle, DB2, Sybase,
MySQL, PostgreSQL,
Teradata, PIServer,
InterSystems Cache
IP de cliente
Endereço IP do cliente.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nome do cliente
Nome da máquina do cliente.
MSSQL, Oracle, DB2, Sybase,
Informix, PIServer,
InterSystems Cache
PID do cliente
ID do processo atribuída pelo sistema operacional
ao processo do cliente.
MSSQL, DB2, Sybase, MySQL
Porta do cliente
Número da porta da conexão de soquete do cliente.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nome do comando
Nome do comando MySQL.
MSSQL, Oracle, DB2, Sybase,
Informix
Tipo de comando
Tipo de comando MySQL: DDL, DML, Show ou
Replication.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Dados de entrada
Número total de bytes no pacote de consulta de
entrada.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Dados de saída
Número total de bytes nos pacotes de resultados de MSSQL, Oracle, DB2, Sybase,
saída.
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nome do banco de
dados
Nome do banco de dados sendo acessado.
McAfee Enterprise Security Manager 9.5.0
MSSQL, DB2, Sybase,
MySQL, Informix,
PostgreSQL, PIServer,
InterSystems Cache
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Nome
Definição
Tipos de banco de dados
Hora de término
Fim da data e hora de conclusão da consulta.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Mensagem de erro
Contém o texto da mensagem associada às
variáveis SQLCODE e SQLSTATE na estrutura de
dados da Área de comunicação SQL (SQLCA), que
oferece informações a respeito do sucesso ou da
falha de declarações SQL solicitadas.
DB2, Informix
Número da
mensagem
Um número de mensagem exclusivo atribuído pelo
servidor de banco de dados a cada erro.
MSSQL, Oracle, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Gravidade da
mensagem
Número do nível de gravidade entre 10 e 24, o que
indica o tipo e a gravidade do problema.
MSSQL, Sybase, Informix
Texto da mensagem
Texto completo da mensagem.
MSSQL, Oracle, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Hora de rede
Tempo gasto para enviar o conjunto de resultados
de volta para o cliente (response_time server_response_time).
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nome do cliente do
NT
O nome da máquina Windows pela qual o usuário
fez login.
MSSQL
Nome de domínio do
NT
O domínio do Windows pelo qual o usuário fez login. MSSQL
Nome do usuário do
NT
Nome de login do usuário do Windows.
MSSQL
Nome do objeto
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix
Nome do usuário do
OSS
Oracle
Nome do pacote
Um pacote contém estruturas de controle para
executar declarações SQL. Os pacotes são
produzidos durante a preparação do programa e
criados usando o subcomando BIND PACKAGE do
DB2.
DB2
Pacotes de entrada
Número de pacotes que compõe a consulta.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Pacotes de saída
Número de pacotes que compõe o conjunto de
resultados de retorno.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
McAfee Enterprise Security Manager 9.5.0
Guia de produto
327
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Nome
Definição
Tipos de banco de dados
Senha
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, InterSystems
Cache
Tamanho da senha
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, InterSystems
Cache
Tamanho do
O bloco de consulta é a unidade básica de
bloqueio de consulta transmissão de dados de consultas e de conjuntos
de resultados. A especificação do tamanho do
bloqueio de consulta permite que o solicitante, que
pode ter restrições de recursos, controle a
quantidade de dados retornada em determinado
momento.
DB2, Informix
Status de saída da
consulta
Status de saída de uma consulta.
Número da consulta
Um número exclusivo atribuído a cada consulta pelo MSSQL, Oracle, DB2, Sybase,
agente de monitoração AuditProbe, começando com MySQL, PostgreSQL,
zero na primeira consulta e incrementando por um. Teradata, PIServer,
InterSystems Cache
Texto da consulta
A consulta SQL real enviada pelo cliente.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Tipo de consulta
Um número inteiro atribuído a diferentes tipos de
consulta.
MSSQL, Oracle, Sybase
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Nome real do usuário Nome de login do usuário cliente.
Conteúdo de
resposta
328
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix
Tempo de resposta
Tempo de resposta de ponta a ponta da consulta
(server_response_time + network_time).
MSSQL, Oracle, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Linhas de retorno
Número de linhas no conjunto de resultados de
retorno.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache.
Sinalizador de
segurança
Métrica do sinalizador de segurança, cujo valor está
definido como 1 (TRUSTED) ou 2 (UNTRUSTED)
quando os critérios do arquivo de políticas
especificados pelo administrador são cumpridos.
Valor de 3 indica que os critérios do arquivo de
políticas não foram cumpridos. Valor de 0 indica que
o monitoramento de segurança não foi ativado.
MSSQL, Oracle, DB2, Sybase,
MYSQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Mecanismo de
segurança
O mecanismo de segurança usado para validar a
identidade do usuário (por exemplo, ID e senha do
usuário).
DB2
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Nome
Definição
IP de servidor
Endereço IP do host do servidor de banco de dados. MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Nome do servidor
Este é o nome do servidor. O nome do host é
atribuído como o nome de servidor por padrão.
MSSQL, Oracle, DB2, Sybase,
Informix, PIServer,
InterSystems Cache
Porta do servidor
Número da porta do servidor.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Tempo de resposta
do servidor
Resposta inicial do servidor de banco de dados à
consulta do cliente.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Código de gravidade
Tipos de banco de dados
DB2
SID
Identificador do sistema Oracle.
Oracle, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
SPID
ID de processo do sistema de banco de dados
atribuída a cada conexão/sessão única.
MSSQL, Sybase
Código de SQL
Sempre que uma declaração SQL é executada, o
cliente recebe um SQLCODE, que é um código de
retorno que oferece informações adicionais
específicas do DB2 sobre um erro ou um aviso SQL:
• SQLCODE EQ 0, indica que a execução foi
bem-sucedida.
• SQLCODE GT 0, indica que a execução foi
bem-sucedida com um aviso.
• SQLCODE LT 0, indica que a execução não foi
bem-sucedida.
• SQLCODE EQ 100, indica que não foram
encontrados dados.
O significado de SQLCODEs diferente de 0 e 100
varia de acordo com o determinado produto
implementando o SQL.
Comando SQL
Tipo de comando SQL.
Estado de SQL
DB2 SQLSTATE é um código de retorno adicional
que oferece programas de aplicativos com códigos
de retorno comuns para condições de erro comuns
encontradas entre os sistemas de bancos de dados
relacionais da IBM.
DB2
Nome do usuário
Nome de login do usuário do banco de dados.
MSSQL, Oracle, DB2, Sybase,
MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
McAfee Enterprise Security Manager 9.5.0
Guia de produto
329
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Regras de correlação
O objetivo fundamental do mecanismo de correlação é analisar o fluxo de dados do ESM, detectar
padrões interessantes no fluxo de dados, gerar alertas que representem esses padrões e inserir esses
alertas no banco de dados de alerta do Receptor. O mecanismo de correlação é ativado quando uma
origem de dados de correlação é configurada.
No mecanismo de correlação, um padrão interessante resulta em dados interpretados por uma regra
de correlação. Uma regra de correlação é totalmente separada e diferente de um firewall ou de uma
regra padrão e possui um atributo que especifica seu comportamento. Cada receptor obtém um
conjunto de regras de correlação de um ESM (conjunto de regras de correlação implantadas), que é
composto de zero ou mais regras de correlação com quaisquer valores de parâmetros definidos pelo
usuário configurados. Como um firewall ou um conjunto de regras padrão, um conjunto básico de
regra de correlação será incluído em cada ESM (conjunto básico de regra de correlação) e as
atualizações desse conjunto de regras serão implantadas nos dispositivos ESM pelo servidor de
atualização da regra.
As regras no servidor de atualização de regras incluem valores padrão. Quando você atualiza o conjunto
de regras básico do mecanismo de correlação, é necessário personalizar os valores padrão para que
eles representem sua rede de forma apropriada. Se você distribuir essas regras sem alterar os valores
padrão, elas poderão gerar falsos positivos ou falsos negativos.
Somente uma origem de dados de correlação pode ser configurada por Receptor, de forma similar à
configuração de syslog ou OPSEC. Depois que a origem de dados de correlação for configurada, você
pode editar o conjunto básico de regras de correlação para criar o conjunto de regras de correlação
implantado usando o Editor de regra de correlação. Você pode ativar ou desativar cada regra de correlação e
definir o valor dos parâmetros definidos pelo usuário de cada regra.
Além disso, para ativar ou desativar as regras de correlação, o Editor de regra de correlação permite que
você crie regras personalizadas e crie componentes de correlação personalizados que podem ser
adicionados às regras de correlação.
Exibir detalhes de correlação de regras
As regras de correlação então exibem os detalhes sobre o que causou o disparo da regra. Essas
informações podem ajudá-lo no ajuste de falsos positivos.
Os detalhes sempre são reunidos no momento da solicitação na interface do usuário. No entanto, para
regras que usam listas de observação dinâmicas ou outros valores que podem ser alterados com
frequência, é possível definir a regra para obter detalhes imediatamente após o disparo. Isso reduz a
possibilidade de os detalhes não estarem mais disponíveis.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Definir cada regra para mostrar os detalhes imediatamente:
a
No console do ESM, clique no ícone de início rápido Correlação
.
O Editor de políticas é aberto com o tipo de regra Correlação selecionado.
b
Clique na coluna Detalhes referente à regra e selecione Ativada.
É possível selecionar mais de uma regra por vez.
330
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
2
10
Exiba os detalhes:
a
Na árvore de navegação do sistema, clique em Regra de correlação no dispositivo ACE.
b
Na lista de exibições, selecione Exibições de eventos | Análise de eventoe clique no evento que você
deseja exibir.
c
Clique na guia Correlação de detalhes para exibir os detalhes.
Adicionar regras personalizadas de ADM, banco de dados ou
correlação
Além de usar as regras predefinidas de ADM, banco de dados ou correlação, você pode criar regras
complexas usando expressões lógicas e regulares. Os editores que você usa para adicionar esses tipos
variados de regras são bem semelhantes entre si e estão descritos nas mesmas seções.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione ADM, DEM | Banco de dados ou Correlação.
2
Clique em Novo e selecione o tipo de regra sendo adicionado.
3
Insira as informações solicitadas, arraste e solte elementos lógicos e componentes de expressão da
barra de ferramentas para a área Lógica da expressão para criar a lógica da regra.
4
Clique em OK.
Tarefas
•
Adicionar parâmetros a uma regra ou componente de correlação na página 332
Os parâmetros de uma regra ou um componente de correlação controlam o comportamento
da regra ou do componente durante a execução. Parâmetros não são obrigatórios.
•
Adicionar ou editar uma regra de acesso a dados na página 335
As políticas de acesso a dados do DEM oferecem a capacidade de rastrear caminhos de
acesso desconhecidos para o banco de dados e enviar eventos em tempo real.
•
Adicionar ou editar uma regra de rastreamento de transação na página 335
As regras de rastreamento de transação rastreiam transações do banco de dados e ajustam
as alterações automaticamente, além de registrar o início e término de uma execução de
transações e iniciar e vincular declarações a relatórios por transação em vez de consultas.
•
Gerenciar regras personalizadas de ADM, DEM ou correlação na página 335
Copie uma regra predefinida e use-a como modelo para uma regra personalizada. Quando
você adiciona uma regra personalizada, pode editar as configurações, copiar e colar a regra
para usar como um modelo para uma nova regra personalizada, ou excluí-la.
•
Configurar regra e relatório para trilhas de auditoria de banco de dados na página 336
Um relatório de Trilhas de auditoria de usuário com privilégios permite que você exiba a trilha de
auditoria para ver as modificações feitas ao banco de dados ou para rastrear o acesso a um
banco de dados ou a uma tabela associada a um evento de banco de dados específico.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
331
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Elementos lógicos
Quando você adiciona uma regra de ADM, de banco de dados e de correlação ou um componente de
correlação, deve criar a funcionalidade principal da regra arrastando os elementos lógicos para a área
Lógica da expressão ou Lógica de correlação. Os elementos lógicos definem a estrutura da regra.
Elemento Descrição
AND Funciona da mesma forma que um operador lógico em uma linguagem de computador.
Tudo o que está agrupado nesse elemento lógico deve ser verdadeiro para que a
condição seja verdadeira. Use essa opção caso queira que todas as condições desse
elemento lógico sejam atendidas antes que uma regra seja disparada.
OR
Funciona da mesma forma que um operador lógico em uma linguagem de computador.
Somente uma condição agrupada nesse elemento deve ser verdadeira para que essa
condição seja verdadeira. Use esse elemento caso queira que somente uma condição
seja atendida antes do disparo da regra.
SET Para regras de correlação ou componentes, esse elemento permite definir mais de uma
condição e selecionar o número de condições que precisam ser verdadeiras para que a
regra seja disparada. Por exemplo, se você tiver três condições no conjunto e duas delas
precisarem ser atendidas para a regra ser disparada, a leitura do conjunto será "2 de 3."
Cada um desses elementos tem um menu com pelo menos duas das opções a seguir:
•
editar — Você pode editar as configurações padrão (consulte Editar configurações padrão de
elementos lógicos).
•
remover elemento lógico — Você pode excluir o elemento lógico selecionado. Se ele tiver filhos, estes
não serão excluídos e movem para cima na hierarquia.
Isso não se aplica ao elemento raiz (o primeiro na hierarquia). Se você remover o elemento raiz,
todos os filhos também serão removidos.
•
remover elemento lógico e todos os seus filhos — Você pode excluir o elemento selecionado e todos os filhos
da hierarquia.
Quando você configura a lógica da regra, deve adicionar componentes para definir as condições da
regra. Para as regras de correlação, você pode também adicionar parâmetros para controlar o
comportamento da regra ou componente na execução.
Editar elementos lógicos
Os elementos lógicos AND, OR e SET têm configurações padrão. Elas podem ser alteradas na página
Editar elemento lógico .
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
No editor de regra, arraste e solte um elemento lógico na área Lógica da expressão ou Lógica de
correlação.
Clique no ícone Menu
do elemento que deseja editar e clique em Editar.
Altere as configurações e clique em OK.
Adicionar parâmetros a uma regra ou componente de correlação
Os parâmetros de uma regra ou um componente de correlação controlam o comportamento da regra
ou do componente durante a execução. Parâmetros não são obrigatórios.
332
McAfee Enterprise Security Manager 9.5.0
Guia de produto
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Tarefa
Para obter definições de opções, clique em ? na interface.
1
Nas páginas Regra de correlação ou Componente de correlação, clique em Parâmetros.
2
Clique em Adicionar e insira um nome para o parâmetro.
3
Selecione o tipo de parâmetro desejado e marque ou desmarque os valores.
Os valores Lista e Intervalo não podem ser usados ao mesmo tempo. Um valor de lista não pode ser
incluído em um intervalo (1–6 8, 10, 13). A maneira correta de gravar esses valores é 1, 2, 3, 4, 5,
6, 8, 10, 13.
4
Para selecionar o valor padrão do parâmetro, clique no ícone do Editor de valores padrão
.
5
Se não quiser que o parâmetro seja visível externamente, desmarque Visível externamente. O
parâmetro é local ao escopo da regra.
6
Digite uma descrição do parâmetro, que aparece na caixa de texto Descrição na página Parâmetro da
regra quando o parâmetro é realçado.
7
Clique em OK e em Fechar.
Exemplo de regra ou componente de correlação personalizados
Adicione um componente a uma regra de correlação.
A regra que vamos adicionar neste exemplo gera um alerta quando o ESM detecta cinco tentativas de
login malsucedidas de uma única origem em um sistema Windows, seguida de êxito no login, tudo em
10 minutos.
1
No painel Tipos de regras do Editor de políticas, clique em Correlação.
2
Clique em Novo e selecione Regra de correlação.
3
Digite um nome descritivo e selecione a configuração de gravidade.
Como um evento gerado por esta regra pode indicar que uma pessoa não autorizada acessou o
sistema, uma configuração de gravidade apropriada é 80.
4
Selecione a ID de normalização, que pode ser Autenticação ou Autenticação | Login, em seguida arraste
e solte o elemento lógico AND.
Selecione AND, pois há dois tipos de ação que precisam acontecer (primeiro as tentativas de login e
depois do êxito no login).
5
Clique no ícone Menu
e selecione Editar.
6
Selecione Sequência para indicar que as ações (primeiro cinco tentativas malsucedidas de login e
segundo um êxito no login) precisam acontecer em sequência e defina o número de vezes que essa
sequência precisa acontecer, que é "1."
7
Defina o período no qual as ações precisam acontecer e clique em OK.
Como há duas ações que requerem janelas de tempo, o período de 10 minutos precisa ser dividido
entre as duas. Neste exemplo, cinco minutos é o período de cada ação. Depois que as tentativas
malsucedidas tiverem acontecido em cinco minutos, o sistema começará a ouvir em busca de um
êxito no login do mesmo IP de origem nos próximos cinco minutos.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
333
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
8
No campo Agrupar por, clique no ícone, mova a opção IP de origem da esquerda para a direita, indicando
que todas as ações precisam partir do mesmo IP de origem e clique em OK.
9
Defina a lógica dessa regra ou componente.
Para fazer isto...
Faça isto...
Especifique o tipo de filtro 1
Arraste e solte o ícone Filtro
e solte-o no elemento lógico AND.
que identifica os eventos
de interesse (neste caso,
várias tentativas de login 2 Na página Componentes de campo de filtro, clique em Adicionar.
malsucedidas em um
3 Selecione Regra de normalização | Em, e selecione:
sistema Windows).
• Normalização
• Autenticação
• Login
• Login em host
• Várias tentativas falhas de login em um host Windows
4 Clique em OK .
Defina o número de vezes 1 Arraste e solte o elemento lógico AND para a barra Filtro.
que a falha de login
precisa ocorrer e durante
O elemento AND é usado porque há cinco tentativas separadas que
qual período.
precisam acontecer. O elemento permite que você defina o número de
vezes e por quanto tempo elas precisam acontecer.
2
Clique no ícone do Menu
do elemento AND que você acabou de
adicionar e clique em Editar.
3 No campo Limite, digite 5 e remova outros valores que estão presentes.
4 Defina o campo Janela de tempo como 5.
5 Clique em OK.
Defina o segundo tipo de
filtro que precisa ocorrer,
que é o login
bem-sucedido.
1 Arraste e solte o ícone Filtro para a ponta inferior do primeiro colchete
do elemento lógico AND.
2 Na página Corresponder ao componente, clique em Adicionar.
3 Nos campos, selecione Regra de normalização | Em, e selecione:
• Normalização
• Autenticação
• Login
• Login em host
4 Clique em OK para voltar para a página Corresponder ao componente.
5 Para definir "bem-sucedido", clique em Adicionar, selecione Subtipo de
evento | Eme clique no ícone de Variáveis e em Subtipo de evento | bem-sucedido
| Adicionar.
6 Clique em OK para voltar para o Editor de políticas.
A nova regra será adicionada à lista de regras de correlação no Editor de políticas.
334
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
10
Adicionar ou editar uma regra de acesso a dados
As políticas de acesso a dados do DEM oferecem a capacidade de rastrear caminhos de acesso
desconhecidos para o banco de dados e enviar eventos em tempo real.
As violações comuns nos ambientes de bancos de dados, como desenvolvedores de aplicativos que
acessam sistemas de produção usando IDs de logon de aplicativos podem ser rastreados rapidamente
depois que você criar as políticas de acesso apropriadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras no Editor de políticas, selecione DEM | Acesso a dados.
2
Siga um destes procedimentos:
3
•
Para adicionar uma nova regra, selecione Novo e clique em Regra de acesso a dados
•
Para editar uma regra, selecione a regra no painel de exibição de regras e clique em Editar |
Modificar.
Preencha as informações e clique em OK.
Adicionar ou editar uma regra de rastreamento de transação
As regras de rastreamento de transação rastreiam transações do banco de dados e ajustam as
alterações automaticamente, além de registrar o início e término de uma execução de transações e
iniciar e vincular declarações a relatórios por transação em vez de consultas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione DEM | Rastreamento de transação.
2
Siga um destes procedimentos:
3
•
Para adicionar uma nova regra, clique em Nova e em Regra de rastreamento de transação.
•
Para editar uma regra, selecione a regra no painel de exibição de regras e clique em Editar |
Modificar.
Preencha as informações e clique em OK.
Gerenciar regras personalizadas de ADM, DEM ou correlação
Copie uma regra predefinida e use-a como modelo para uma regra personalizada. Quando você
adiciona uma regra personalizada, pode editar as configurações, copiar e colar a regra para usar como
um modelo para uma nova regra personalizada, ou excluí-la.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, selecione ADM ou DEM | Banco de dados, Acesso a dados ou Rastreamento de transação.
2
Execute uma das seguintes ações:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
335
10
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
Para...
Faça isto...
Exibir todas as regras
personalizadas de ADM
ou DEM
1 Selecione a guia Filtro no painel Filtros/Marcação.
2 Clique na barra Avançado na parte inferior do painel.
3 No campo Origem, selecione definido pelo usuário.
4 Clique em Executar consulta.
As regras personalizadas do tipo selecionado são listadas no painel de
exibição de regras.
Copiar e colar uma regra
1 Selecione uma regra predefinida ou personalizada.
2 Clique em Editar | Copiar
3 Clique em Editar | Colar.
A regra que você copiou será adicionada à lista de regras com o
mesmo nome.
4 Para alterar o nome, clique em Editar | Modificar.
Modificar uma regra
personalizada
1 Selecione a regra personalizada.
Excluir uma regra
personalizada
1 Selecione a regra personalizada.
2 Clique em Editar | Modificar.
2 Clique em Editar | Excluir.
Configurar regra e relatório para trilhas de auditoria de banco de dados
Um relatório de Trilhas de auditoria de usuário com privilégios permite que você exiba a trilha de auditoria para
ver as modificações feitas ao banco de dados ou para rastrear o acesso a um banco de dados ou a
uma tabela associada a um evento de banco de dados específico.
Depois da configuração dos parâmetros para gerar este relatório, você receberá notificações de
relatórios de conformidade que exibirão a trilha de auditoria associada a cada evento. Para gerar os
eventos da trilha de auditoria, será necessário adicionar uma regra de Acesso de dados e um relatório de
Trilhas de auditoria de usuário com privilégios.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione DEM | Acesso a dados.
2
Destaque DEM – Regra modelo – Acesso de usuário confiável pela faixa de IP no painel de exibição das regras.
3
Clique em Editar | Copiar E clique em Editar | Colar.
4
Altere o nome e as propriedades da nova regra.
5
336
a
Destaque a nova regra e selecione Editar | Modificar.
b
Digite um nome para a regra e digite o nome do usuário.
c
Selecione o tipo de ação Não confiável e clique em OK.
Clique no ícone Distribuir
.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Tipos de regras e suas propriedades
6
7
10
Configure o relatório:
a
Em Propriedades do sistema, clique em Relatórios | Adicionar.
b
Preencha as seções 1 a 3 e 6.
c
Na seção 4, selecione PDF de relatório ou HTML de relatório
d
Na seção 5, selecione Conformidade | SOX | Trilhas de auditoria de usuário com privilégios (Banco de dados).
e
Clique em Salvar.
Para gerar o relatório, clique em Executar agora.
Regras do ESM
As regras do ESM são usadas para gerar eventos relacionados ao ESM.
Todas as regras desse tipo são definidas pela McAfee. Elas podem ser usadas para gerar relatórios de
conformidade ou de auditoria que mostrem o que aconteceu no ESM. Você não pode adicionar,
modificar nem excluir esses relatórios. No entanto, você pode alterar as configurações de propriedade
(consulte Tipos de regras e suas propriedades).
Normalização
As regras são nomeadas e descritas por cada fornecedor. Como resultado, o mesmo tipo de regra
muitas vezes apresenta nomes diferentes, dificultando a coleta de informações sobre os tipos de
evento que estão ocorrendo.
A McAfee reuniu, e atualiza continuamente, uma lista de IDs normalizados que descrevem regras,
para que os eventos sejam agrupados em categorias úteis. Ao clicar em Normalização no painel Tipos de
regras do Editor de políticas, esses IDs, nomes e descrições são listados.
Esses recursos de eventos oferecem a opção de organizar as informações de eventos usando IDs
normalizados:
•
Campos de componentes de exibição: a opção Resumo de eventos normalizados pode ser usada quando
se definem os campos para uma consulta de evento no gráfico de pizza, no gráfico de barras e nos
componentes da lista (consulte Gerenciar uma consulta).
•
Filtros de componentes de exibição: quando você cria uma nova exibição, é possível escolher filtrar
dados de eventos em um componente por meio dos IDs normalizados (consulte Gerenciar uma
consulta).
•
Filtros de exibição: a opção ID normalizado é uma opção da lista de filtros de exibição (consulte
Filtragem de exibições).
•
Lista de exibição: uma exibição de Resumo de eventos normalizados está disponível na lista de Exibições de
eventos.
A guia Detalhes na exibição Análise de evento lista o ID de normalização para os eventos que aparecem na
lista.
Ao adicionar os filtros de ID normalizado a uma exibição nova ou existente, você pode:
•
Filtrar por todos os IDs normalizados em uma pasta de primeiro nível. Uma máscara (/5 para uma
pasta de primeiro nível) é incluída ao final do ID para indicar que os eventos também serão
filtrados pelos IDs filhos da pasta selecionada.
•
Filtrar pelos IDs em uma pasta de segundo ou terceiro nível. Uma máscara (/12 para uma pasta de
primeiro nível, /18 para uma pasta de terceiro nível) será incluída ao final do ID para indicar que os
eventos serão filtrados pelos IDs filho da subpasta selecionada. O quarto nível não tem uma
máscara.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
337
10
Gerenciamento de políticas e regras
Configurações padrão de políticas
•
Filtrar por um único ID.
•
Filtrar por diversas pastas ou IDs de uma vez só usando Ctrl ou Tecla Shift para selecioná-los.
Ativar Copiar pacote
Quando Copiar pacote está ativado para uma regra, os dados de pacotes são copiados para o ESM. Se
ativado, os dados do pacote são incluídos nos dados do evento de origem de um alarme de
Correspondência de evento interna ou Correspondência de campos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No console do ESM, clique no ícone Editor de políticas
.
2
No painel Tipos de regras, clique no tipo de regra que deseja acessar e localize a regra no painel de
exibição de regras.
3
Clique na configuração atual na coluna Copiar pacote, que é desativada por padrão, e clique em ativada.
Configurações padrão de políticas
Você pode configurar a política padrão para operar em modo de somente alerta ou no modo de
excesso de assinaturas. Você também pode exibir o status das atualizações de regras e iniciar uma
atualização.
Modo somente alertas
As políticas podem ser aplicadas ao IPS do Nitro e aos dispositivos virtuais em Modo somente alerta.
Quando o Modo somente alertas é ativado, todas as regras ativadas são enviadas para dispositivos com uso
de alertas, mesmo que a regra esteja definida como uma ação de bloqueio, como Descartar. Ao exibir os
eventos gerados, a coluna Subtipo de evento lista a ação como um Alerta, seguida pela ação realizada se o
Modo somente alertas não estava ativado, como Alerta-descarte. Isso é útil para administradores de sistema
que ainda estão se familiarizando com os padrões de tráfego de suas redes, permitindo que eles
analisem eventos gerados sem bloquear eventos ativamente, vendo as ações realizadas quando o Modo
somente alertas está desativado.
Ativar o Modo somente alertas não muda as configurações de uso individuais para as regras do Editor de
políticas. Por exemplo, quando ele está ativado, uma regra pode ser enviada para o IPS do Nitro ou
para um dispositivo virtual com um uso de alerta, mesmo que esse uso no Editor de políticas esteja
definido como Descartar (com a exceção de uma regra definida como Pass, que permanece nesse modo).
Isso permite que você ative e desative o Modo somente alertas com facilidade sem afetar as configurações
de políticas. O Modo somente alertas não afeta regras desativadas. Regras nunca são enviadas a um
dispositivo quando ele está definido como Desativar.
Ativar Modo somente alertas
Se desejar que todas as regras ativas sejam enviadas aos dispositivos com uso de alertas, ative o
recurso Modo somente alertas. A herança é aplicável a essa configuração, então a configuração dessa
política substitui o valor que seria herdado normalmente.
338
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Configurações padrão de políticas
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Configurações
2
.
No campo Modo somente alertas, selecione Ligado.
Configurar Modo de excesso de assinaturas
O Modo de excesso de assinaturas define como os pacotes serão manipulados se a capacidade do dispositivo
for excedida. Em cada caso, o pacote é registrado como um evento.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Configurações
.
2
No campo Modo de excesso de assinaturas, clique em Atualizar.
3
No campo Valor, insira a funcionalidade.
4
a
Aprovação (aprovação ou 1) permite que os pacotes, que seriam descartados, sejam aprovados
sem varredura.
b
Descarte (descarte ou 0) descarta os pacotes que excedem a capacidade do dispositivo.
c
Para aprovar ou descartar um pacote sem gerar um evento, insira spass ou sdrop.
Clique em OK.
A partir da versão 8.1.0, a alteração do Modo de excesso de assinaturas afeta o dispositivo e os filhos do
dispositivo (dispositivos virtuais). Para que essa alteração tenha efeito, é necessário alterar o modo
no dispositivo pai.
Exibir status de atualização de política de dispositivos
Exiba um resumo do status de atualizações de política de todos os dispositivos no ESM.
Isso ajuda a determinar quando você deve distribuir atualizações para o sistema.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Configurações
.
2
No campo Status , exiba o número de dispositivos atualizados, desatualizados e programados para
uma distribuição automática.
3
Clique em Fechar.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
339
10
Gerenciamento de políticas e regras
Operações de regras
Operações de regras
É possível executar várias operações com as regras a fim de gerenciá-las e gerar as informações
necessárias.
Gerenciar regras
As regras de ADM, DEM, Inspeção de pacote detalhada, Analisador de syslog avançado e Correlação podem ser
exibidas, copiadas e coladas. As regras personalizadas desses tipos podem ser modificadas ou
excluídas. As regras padrão podem ser modificadas, mas precisam ser salvas como novas regras
personalizadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra com o qual deseja trabalhar.
2
Siga um destes procedimentos:
Para fazer isto...
Faça isto...
Exibir regras
personalizadas
1 Selecione a guia Filtro no painel Filtros/Marcação.
2 Na parte inferior do painel, clique na barra Avançada.
3 No campo Origem, selecione definido pelo usuário e clique em Executar consulta
.
Copiar e colar uma
regra
1 Selecione uma regra predefinida ou personalizada.
2 Selecione Editar | Copiare Editar | Colar.
A regra que você copiou será adicionada à lista de regras com o mesmo
nome.
3 Para alterar o nome, selecione Editar | Modificar.
Modificar uma regra
1 Destaque a regra que deseja exibir e selecione Editar | Modificar.
2 Altere as configurações e clique em OK. Se for uma regra personalizada,
ela será salva com as alterações. Se for uma regra padrão, você deverá
salvar as alterações como uma nova regra personalizada. Clique em Sim.
Se você não alterou o nome da regra, ela será salva com o mesmo nome e
outra sigID. Para alterar o nome, selecione a regra e Editar | Modificar.
Excluir uma regra
personalizada
• Selecione a regra personalizada.
• Selecione Editar | Excluir.
Importar regras
É possível importar um conjunto de regras que tenha sido exportado de outro ESM e salvá-lo no ESM.
340
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Operações de regras
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, clique no tipo de política ou regra que está sendo
importada.
2
Clique em Arquivo | Importare selecione Regras.
Essas alterações não são rastreadas e, portanto, não podem ser desfeitas.
3
Clique em Importar regras, procure o arquivo que deseja importar e selecione Fazer upload.
O arquivo é carregado no ESM.
4
Na página Importar regras, selecione a ação a ser executada se as regras que estão sendo importadas
tiverem a mesma ID das regras existentes.
5
Clique em OK para importar as regras, solucionando os conflitos conforme indicado.
O conteúdo do arquivo é verificado e as opções apropriadas são ativadas ou desativadas dependendo
do conteúdo do arquivo selecionado.
Conflitos ao importar regras de correlação
Ao importar regras de correlação, é criado um arquivo com os dados da regra. No entanto, ele não
inclui itens referenciados que a regra pode usar, como variáveis, zonas, listas de observação, tipos
personalizados e ativos.
Quando o arquivo de exportação é importado para outro ESM, qualquer item referenciado contido na
regra que não exista no sistema de importação resultará em um conflito de regra. Por exemplo, se
uma regra fizer referência à variável $abc e nenhuma variável com esse nome estiver definida no
sistema de importação, essa condição será um conflito. Conflitos são registrados e a regra é sinalizada
como em conflito.
Os conflitos são solucionados com a criação dos itens referenciados necessários (manualmente ou com
as devidas importações) ou a edição da regra de correlação, alterando suas referências.
Em caso de regras em conflito, uma página é imediatamente exibida após o processo de importação,
indicando quais regras estão em conflito ou quais falharam. As regras podem ser editadas para
solucionar os conflitos por essa página ou a página pode ser fechada. Regras em conflito são
sinalizadas com um ícone de exclamação que indica seu status. Editar uma regra em conflito no editor
de regras apresenta um botão de conflito que, ao ser clicado, exibe os detalhes do conflito da regra.
Importar variáveis
Você pode importar um arquivo de variáveis e alterar seu tipo. Se houver conflitos, a nova variável
será automaticamente renomeada.
Antes de iniciar
Configure o arquivo a ser importado.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
341
10
Gerenciamento de políticas e regras
Operações de regras
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painelTipos de regras do Editor de políticas, clique em Variável.
2
Clique em Arquivo | Importar | Variáveis, em seguida, procure o arquivo de variáveis e clique em Fazer
upload.
Se houver conflitos ou erros no arquivo, será aberta a página Importar - Registro de erro informando
cada problema.
3
Na página Importar Variável(eis), clique em Editar para alterar o Tipo das variáveis selecionadas.
4
Clique em OK.
Regras de exportação
Exporte as regras personalizadas ou todas as regras de uma política e importe-as para outro ESM.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, clique no tipo de regra que está sendo exportada.
2
Acesse uma lista das regras personalizadas do tipo selecionado:
a
No painel Filtros/Marcação, verifique se a guia Filtro está selecionada.
b
Clique na barra Avançado na parte inferior do painel.
c
Na lista suspensa Origem, selecione definido pelo usuário.
d
Clique no ícone Executar consulta
.
3
Selecione as regras que deseja exportar e clique em Arquivo | Exportar | Regras.
4
Na página Regras de exportação, selecione o formato a ser usado quando exportar as regras.
5
Na página Fazer download, clique em Sim, selecione o local e clique em Salvar.
Se você abrir o arquivo .csv usando o Microsoft Excel, alguns dos caracteres UTF-8 podem ser
corrompidos. Para corrigir isso, abra o Assistente de importação de texto no Excel e selecione Delimitado e
Vírgula.
Definir regras para inclusão automática na lista negra
As regras podem ser marcadas para inclusão automática na lista negra. O endereço IP ou o endereço
IP e a porta do infrator são adicionados à lista negra quando ocorrem as condições definidas.
Tarefa
Para obter definições de opções, clique em ? na interface.
342
1
No painel Tipos de regras do Editor de políticas, expanda IPS e selecione o tipo de regra. Por exemplo,
para definir as regras de vírus para inclusão automática na lista negra, selecione Inspeção de pacote
detalhada.
2
Na guia Filtro do painel Filtros/Marcação, selecione o filtro. Seguindo o exemplo anterior, selecione Vírus.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Operações de regras
3
10
Clique no ícone Atualizar.
As regras filtradas aparecem na área de exibição de regras.
4
5
6
Clique no cabeçalho da coluna Lista negra ou selecione as regras na lista e clique em IP ou IP e porta.
Distribua as alterações clicando no ícone Distribuir
políticas.
no canto superior direito e feche o Editor de
Selecione um dispositivo IPS do Nitro ou virtual na árvore de navegação do sistema e clique no
ícone Propriedades
.
7
Clique em Lista negra e em Configurações.
8
Na página Configurações de inclusão automática na lista negra, defina as configurações e clique em OK.
Filtrar regras existentes
Quando você seleciona um tipo de regra no Editor de políticas, todas as regras do tipo selecionado
aparecem em ordem alfabética por padrão. Você pode relacioná-las por tipo ou usar marcas para
filtrá-las e exibir somente as que atendem a seus critérios.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser filtrada.
2
Verifique se a guia Filtro está selecionada no painel Filtros/Marcação.
3
Siga um destes procedimentos:
Para...
Faça isto...
Filtrar com várias marcas
• Selecione as categorias ou marcas e clique no ícone Executar
consulta
.
Somente as regras correspondentes a todos os filtros serão
exibidas.
Exibir as regras que
atendem a um dos filtros
selecionados
1 Selecione mais de uma categoria ou marca.
2 Clique no ícone ou e no ícone Executar consulta.
Os campos que são afetados por herança (Ação, Gravidade, Lista
negra, Agregação e Copiar pacote) não podem ser filtrados com o
ícone ou.
Procurar uma marca
específica
1 Digite o nome da marca no campo Digite aqui para pesquisar uma marca.
2 Selecione a que deseja na lista de opções.
Relacionar as regras pela
hora em que foram criadas
• Clique no ícone Classificar por hora
ícone Executar consulta.
Relacionar as regras em
ordem alfabética
•
McAfee Enterprise Security Manager 9.5.0
Clique no ícone Classificar por nome
ícone Executar consulta.
na barra de ferramentas e no
na barra de ferramentas e no
Guia de produto
343
10
Gerenciamento de políticas e regras
Operações de regras
Para...
Faça isto...
Limpar a filtragem
• Clique no ícone de filtro laranja na barra de título do painel de
exibição de regras .
Os filtros são removidos e todas as regras são novamente exibidas
no painel.
Limpar as marcas de filtro
• Clique no ícone Limpar tudo
na barra de ferramentas.
As marcas são removidas, mas a lista de regras permanece filtrada.
Filtrar por ID de assinatura
1 Clique na barra Avançada na parte inferior do painel Filtro.
2 Digite a ID da assinatura e clique no ícone Executar consulta.
Filtrar por nome ou
descrição
1 No painel Avançada, insira o nome ou a descrição.
Filtrar por tipo de
dispositivo, ID normalizada
ou ação
1 No painel Avançada, clique no ícone Filtrar
2 Para ter acesso aos resultados, independentemente do caso,
clique no ícone de não diferenciação de maiúsculas e minúsculas
.
.
2 Na página Filtrar variáveis, selecione a variável.
Comparar as diferenças nas
configurações baseadas em
política de um tipo de regra
e seu pai imediato
• No painel Avançada, selecione Exibir exceções e clique no ícone Executar
consulta.
Filtrar por gravidade, lista
negra, agregação, copiar
pacote, origem e status da
regra
• Selecione o filtro na lista suspensa de cada um desses campos.
Exibir somente regras
personalizadas
• Selecione definido pelo usuário no campo Origem do painel Avançado e
clique no ícone Executar consulta.
Exibir as regras criadas em
determinado período
1 Clique no ícone de calendário ao lado do campo Hora do painel
Avançada.
2 Na página Intervalo personalizado, selecione a hora de início e
término, clique em OK e no ícone Executar consulta.
Exibir a assinatura de uma regra
Se você acessar o banco de dados de assinaturas on-line da McAfee, poderá exibir informações sobre
a assinatura de uma regra. A opção está disponível para regras de firewall, inspeção de pacote
detalhada e origens de dados.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser exibida.
2
Selecione uma regra no painel de exibição de regras.
3
Clique em Operações e selecione Procurar referência.
A tela NTAC - Resumo de vulnerabilidade é aberta no navegador.
4
344
Para exibir o resumo de uma assinatura, clique nos links da seção Assinaturas da tela.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Operações de regras
10
Recuperar atualizações de regra
As assinaturas de regra usadas por um dispositivo IPS do Nitro IPS ou virtual para examinar o tráfego
da rede são atualizadas continuamente pela equipe de assinatura da McAfee e ficam disponíveis para
download no servidor central. Essas atualizações de regras podem ser recuperadas automática ou
manualmente.
Tarefa
Consulte a seção sobre substituição de ação nas regras obtidas por download para configurar
substituições para as ações executadas quando as regras são recuperadas no servidor.
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Configurações
.
2
Na linha Atualização de regras, clique em Atualizar.
3
Defina o ESM para que recupere as atualizações automaticamente ou verifique as atualizações
imediatamente.
4
5
Se foi realizado o download manual das atualizações, clique no ícone Distribuir
para aplicá-las.
Para exibir as atualizações manuais, faça o seguinte:
a
No painel Filtros/Marcação, clique na barra Avançada.
b
No campo Status de regra, selecione Atualizado, Novo ouAtualizado/Novo para indicar o tipo de regras
atualizadas que deseja exibir.
c
Clique no ícone Executar consulta
.
As regras atualizadas aparecem com um ícone em forma de estrela
ponto de exclamação
se foram adicionadas ou um
se foram modificadas.
Limpar status de regra atualizada
Quando as regras são modificadas ou adicionadas ao sistema. É possível limpar essas marcações
quando houver a oportunidade de revisar as atualizações.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser limpa.
2
Siga um destes procedimentos:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
345
10
Gerenciamento de políticas e regras
Operações de regras
Para...
Faça isto...
Limpar todas as
marcações de status
de regra
1 Clique em Operações e selecione Limpar status de regra atualizada.
Limpar as regras
selecionadas
1 No painel Filtros/Marcação, clique na barra Avançada.
2 Clique em Tudo.
2 No campo Status de regra, selecione Atualizado, Novo ou Atualizado/Novo para
indicar o tipo de marcação que deseja limpar.
3
Clique no ícone Executar consulta
.
As regras com as marcações selecionadas serão exibidas no painel de
regras.
4 Selecione as regras que serão limpas.
5 Clique em Operação | Limpar status de regra atualizada | Selecionado.
Comparar arquivos de regra
É possível comparar o estado da política (aplicado, atual, reverter ou preparado) dos arquivos de regra
do IPS do Nitro, Receptor, ADM e DEM.
Esse procedimento é útil quando você precisa verificar o que mudaria no caso da aplicação da política
atual a um dispositivo. Nesse caso, você compara as regras atuais e as regras aplicadas.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
3
Na árvore de navegação do sistema, clique em um dispositivo IPS do Nitro, Receptor, ADM ou DEM.
Clique no ícone Editor de políticas
arquivos de regra.
na barra de ferramentas de ações e em Ferramentas | Comparar
Faça as seleções, exiba os resultados e clique em Fechar.
Exibir o histórico de alterações de regra
É possível exibir as regras que foram alteradas, atualizadas ou adicionadas ao sistema, e também a
última versão de cada regra.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique em Ferramentas | Histórico de alterações de regra.
2
Na página Histórico de regra, exiba as alterações realizadas nas regras ou clique na guia Versão de regra
para ver a versão mais recente de cada regra.
3
Clique em Fechar.
Criar uma nova lista de observação de regras
Uma lista de observação é um agrupamento de tipos específicos de informação que pode ser usado
como filtros ou como uma condição de alarme para que você seja notificado quando elas ocorrerem
em um evento. Essas listas de observação podem ser globais ou específicas para um usuário ou grupo
do ESM.
346
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Atribuir marcas a regras ou ativos
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra e depois as regras que deseja
ter nesta lista de observação.
2
Clique em Operações e selecione a opção Criar nova lista de observação .
A página Adicionar lista de observação lista as regras que você selecionou.
3
Digite um nome e certifique-se de que o botão de seleção Estático esteja selecionado.
Consulte Adicionar uma nova lista de observação para adicionar uma lista de observação dinâmica.
4
Selecione o tipo de dados que serão observados por esta lista de observação e selecione o
responsável.
Um usuário com privilégios de administrador pode atribuir uma lista de observação a qualquer
pessoa ou grupo no sistema. Se você não tiver privilégios de administrador, só poderá atribuir listas
de observação a você mesmo e a grupos dos quais é membro.
5
É possível adicionar mais valores à lista de observação das seguintes maneiras:
•
Para importar um arquivo de valores no formato separados-por-linha, clique em Importar e
selecione o arquivo.
•
Para adicionar valores individuais, digite um valor por linha na caixa Valores.
O número máximo de valores é 1000.
6
Para receber um alarme quando for gerado um evento que contenha qualquer um dos valores na
lista de observação, clique em Criar alarme.
7
Clique em OK.
Adicionar regras a uma lista de observação
Depois de criar uma lista de observação, talvez seja necessário adicionar valores de regra a ela. A
opção Anexar à lista de observação permite que você faça isso.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra.
2
Selecione as regras que você deseja anexar à lista de observação no painel de exibição de regras.
3
Clique no menu Operações e selecione Anexar à lista de observação.
4
Selecione a lista de observação à qual deseja anexar as regras e clique em OK.
Atribuir marcas a regras ou ativos
Você pode atribuir marcas a regras indicando seus atributos e depois filtrar as regras pelas marcas. O
ESM possui um conjunto predefinido de marcas, mas também oferece a capacidade de adicionar novas
marcas e novas categorias de marca.
A guia Marcas não está disponível para os tipos de regra de Variável, Pré-processador ou Normalização.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
347
10
Gerenciamento de políticas e regras
Modificar configurações de agregação
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra que você deseja marcar.
2
Clique na guia Marcas no painel Filtros/Marcação.
3
Siga um destes procedimentos:
Para...
Faça isto...
Adicionar uma nova
categoria de marcas
1
Clique no ícone Marca de nova categoria
.
2 Digite o nome da categoria.
3 Se você deseja que essa marca seja usada no cálculo de gravidade do
evento, selecione Usar marca para cálculo de gravidade de evento e clique em OK.
A categoria será adicionada com uma marca de base. Você pode adicionar
novas marcas nessa categoria.
Adicionar uma nova
marca
1 Clique na categoria em que deseja adicionar a marca e clique no ícone
Nova marca
.
2 Digite o nome da marca.
3 Se você deseja que essa marca seja usada no cálculo de gravidade do
evento, selecione Usar marca para cálculo de gravidade de evento e clique em OK.
Editar uma categoria
ou marca existente
1 Clique na categoria ou marca que deseja editar e clique no ícone Editar
marca
.
2 Altere o nome ou configuração e clique em OK.
Excluir uma marca
personalizada
1
Destaque a marca que deseja excluir e clique no ícone Remover marca
2 Clique em Sim para confirmar.
Modificar configurações de agregação
Eventos agregados são eventos que têm campos correspondentes.
A agregação é selecionada por padrão e você pode escolher o tipo de agregação que será usado em
todos os eventos gerados em um dispositivo na página Agregação do evento de cada dispositivo. Você
pode modificar as configurações de agregação para regras individuais.
Tarefa
Para obter definições de opções, clique em ? na interface.
348
1
No painel Tipos de regras do Editor de políticas, selecione o tipo de regra.
2
Selecione a regra cujas configurações de agregação você deseja modificar.
3
Clique em Operações na barra de ferramentas e selecione Modificar configurações de agregação.
McAfee Enterprise Security Manager 9.5.0
Guia de produto
.
Gerenciamento de políticas e regras
Ação de substituição em regras obtidas por download
4
10
Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3.
Os campos selecionados devem ser de tipos diferentes, caso contrário, ocorrerá erro.
5
Clique em OK para salvar as configurações.
6
Caso tenha feito alterações que afetam o modo de agregação dos dispositivos, você será
questionado se deseja distribuir as alterações. Faça o seguinte:
a
Clique em Sim.
A página Distribuição de exceções de agregação exibe o status dos dispositivos afetados pela alteração.
Todos os dispositivos desatualizados são verificados.
b
Se necessário, desmarque os dispositivos para os quais você não deseja aplicar as alterações.
c
Clique em OK para distribuir as alterações.
A coluna Status mostra o status da atualização conforme as alterações são distribuídas.
Ação de substituição em regras obtidas por download
Quando as regras são transferidas por download do servidor central na McAfee, existe uma ação
padrão atribuída a elas.
Você pode definir uma ação de substituição para regras do tipo selecionado no momento do download.
Se não houver nenhuma ação de substituição definida, as regras usarão a ação padrão.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique em Ferramentas e selecione Configuração de nova regra.
A página Configuração de nova regra lista as substituições que existem para a Política padrão.
2
Defina as configurações da ação de substituição e clique em Fechar.
Níveis de gravidade
A gravidade do evento é calculada com base no nível de gravidade de itens como ativos, marcas,
regras e vulnerabilidades.
Cada uma das quatro gravidades é ponderada no cálculo final. Esse cálculo final é a soma de cada
uma das quatro gravidades multiplicada por seus respectivos níveis. A página Níveis de gravidade mostra
os níveis associados aos grupos de ativos, marcas, regras e vulnerabilidade. A soma das configurações
deve ser igual a 100. Ao se alterar uma configuração, pode haver alterações em algumas ou em todas
as outras configurações. Abaixo, encontra-se uma descrição de cada tipo de gravidade:
McAfee Enterprise Security Manager 9.5.0
Guia de produto
349
10
Gerenciamento de políticas e regras
Exibir histórico de alteração de política
Tipo de
gravidade
Descrições
Ativo
Um ativo é um endereço IP, opcionalmente dentro de uma zona. A gravidade do
ativo de um evento é determinada como segue:
1 O endereço IP de destino e a zona de destino do evento são comparados com
todos os ativos. Se houver alguma correspondência, a gravidade desse ativo
será usada como gravidade do ativo para este evento.
2 Se a correspondência de um endereço IP de destino e de uma zona de destino
não for encontrada, o endereço IP de origem e a zona de origem do evento
serão comparados com todos os ativos. Se a correspondência de um endereço IP
de origem e de uma zona de origem for encontrada, a gravidade do ativo será
usada como gravidade de ativo para este evento.
3 Se não houver correspondências, a gravidade do ativo será zero.
Marca
A gravidade da marca é calculada usando as marcas McAfee e as definidas pelo
usuário. Para que uma marca seja usada no cálculo de gravidade, ela deve ser
definida na regra e no ativo do evento. Se a regra ou o ativo não tiver nenhuma
marca definida ou se não houver correspondências de ativos, a gravidade da
marca será zero. Para calcular a gravidade da marca, o número de marcas de
ativo e de regra de correspondência deve ser multiplicada por 10. A gravidade da
marca está limitada a 100.
Regra
A gravidade da regra é a definição da gravidade para o evento quando ele foi
criado. Ela é baseada na gravidade da regra do evento, como definido em Editor de
políticas, e em qualquer enriquecimento de dados configurados para o coletor de
eventos.
Vulnerabilidade
Se as informações SVE de VA estiverem disponíveis para ativo e regra de um
evento, a maior gravidade de todos os SVEs de VA de ativo e regra de
correspondência será usada para a gravidade de vulnerabilidade. Caso contrário, o
zero será usado.
Defina os níveis de gravidade
O ativo, a marca, a regra e as gravidades de vulnerabilidade são ponderados ao calcular a gravidade
do evento. Você deve definir as gravidades.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
2
Em Editor de políticas, clique no ícone Níveis de gravidade
.
Defina as configurações e clique em OK.
Exibir histórico de alteração de política
Você pode exibir ou exportar um registro das alterações feitas na política. Esse registro pode reter no
máximo 1 GB de dados. Quando esse limite é atingido, os arquivos mais antigos são excluídos,
conforme o necessário.
350
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Gerenciamento de políticas e regras
Aplicar alterações de política
10
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Exibir histórico de alteração de política
2
.
Exiba ou exporte um registro e clique em Fechar.
Aplicar alterações de política
Ao fazer alterações nas políticas, é necessário distribuir essas alterações para aplicá-las. As alterações
feitas na política padrão são aplicadas a todas as políticas quando você distribui para todos os
dispositivos.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no ícone Distribuir
.
2
Selecione como a distribuição deverá ser feita.
3
Clique em OK.
Depois que cada dispositivo concluir a distribuição, o status da política indicará uma distribuição
bem-sucedida. Se o comando de distribuição não obtiver êxito, uma página mostrará um resumo dos
comandos com falha.
Gerenciar tráfego de prioridade
É possível configurar o tráfego para que ele seja transmitido ao Nitro IPS sem ser testado por
nenhuma regra.
Por exemplo, pode ser necessário configurar o tráfego do VoIP (Voice over Internet Protocol) para
cruzar o Nitro IPS sem pausa para verificação.
Tarefa
Para obter definições de opções, clique em ? na interface.
1
No Editor de políticas, clique no tipo de regra Variável.
2
Expanda a categoria priority_traffic e clique em PRIORITY_TRAFFIC_LIST.
3
Clique em Editar e selecione Modificar.
4
Gerencie as configurações e clique em OK
McAfee Enterprise Security Manager 9.5.0
Guia de produto
351
10
Gerenciamento de políticas e regras
Gerenciar tráfego de prioridade
352
McAfee Enterprise Security Manager 9.5.0
Guia de produto
Índice
A
ação de substituição em regras obtidas por download 349
ACE
adicionar um gerenciador de correlação de risco 128
correlação histórica 128
mecanismo de correlação 126
mecanismo de correlação de risco 126
mecanismos de correlação 126
pontuação de correlação de risco, adicionar 128
resumo 12, 57
selecionar tipo de dados para enviar do ESM 127
acessar dispositivo remoto 200
acesso, conceder a dispositivos 43
ações
adicionar ao DEM 147
barra de ferramentas 27, 31
definir para o DEM 146
mapeamentos 95
origens de dados 95
Active Directory
autenticação de login 187
configurar a autenticação 189
recuperar dados 301
adicionar uma subzona 304
ADM
configurações 129
eventos 129
resumo 12, 57
agregação
adicionar exceções 47, 241
configurações do dispositivo 47, 241
gerenciar exceções de evento 47, 242
modificar configurações de regra 348
modificar configurações na exibição 268
o que é isso 46, 240
alarme
gerenciar consultas 199
alarme de correlação
incluir eventos de origem 219
alarmes
adicionar à regra 220
adicionar evento do monitor de integridade 222
alarmes do Threat Intelligence Exchange 155
arquivos de áudio, gerenciar 233
McAfee Enterprise Security Manager 9.5.0
alarmes (continuação)
arquivos de relatório, gerenciar 235
ativar 232
configurar e gerenciar 215
copiar 231
criar 216
criar novo do evento de exibição 268
desativar 232
excluir 233
exibir detalhes 233
gerenciar destinatários 233
modelos, adicionar 232
modelos, gerenciar 232
notificação de queda de energia 176, 221
notificações 165
notificações, adicionar destinatários 166
painel 27
painel, mostrar 29, 186
personalizar resumo 232
reconhecer 233
registro 215
relatórios, exibir e gerenciar 234
responsável, alterar 233, 258
símbolos de gravidade 215
alarmes disparados
criar um caso 258
editar 258
excluir 258
exibir detalhes 258
filtrar 258
reconhecer 258
alocação de armazenamento, reduzir ELM 116
alocação de dados, definir limites 183
alocação, definir limites de dados 183
alternar as funções do Receptor-HA 64
ameaças
ativar ou desativar para cálculo de risco 306
exibir detalhes 306
analisador de syslog avançado
adicionar regra personalizada 319
origens de dados 96
regras 319
Anomalia de protocolo IP para regras de ADM 143
Anomalias de protocolo DNA para regras de ADM 143
Guia de produto
353
Índice
Anomalias de protocolo TCP para regras de ADM 143
anomalias de protocolo, TCP 313
API externa
gerenciar consultas 199
Aplicar configurações do DEM 146
aquisição de dados
ativar McAfee Risk Advisor 154
McAfee Risk Advisor 154
ArcSight, adicionar origem de dados 102
armazenamento
configurar dados de VM do ESM 182
configurar dados do ESM 182
armazenamento de dados
configurar ESM 182
configurar ESM VM 182
armazenamento de dados espelhados, adicionar ELM 117
armazenamento de dados externos do ELM 118
armazenamento de dados, adicionar espelhados do ELM 117
armazenamento de dados, espelhamento do ELM 116
armazenamento de dados, preparar para armazenar dados do
ELM 112
armazenamento, local alternativo do ELM 124
armazenar dados do ELM, preparar para 112
armazenar registros de ELM 113
arquivo
configurações, definir para Receptor 67
configurar partições inativas 183
arquivo de partições inativas, configuração 183
arquivos de áudio, gerenciar alarme 233
arquivos de backup, trabalhar com 193
arquivos de configuração, sincronizar DEM 145
árvore de navegação do sistema
diagrama 31
organizar dispositivos 37
ASN
definir configurações do dispositivo 46, 239
pesquisa da exibição 268
pesquisa, realizar 269
assinatura, exibir regras 344
Assistente de consulta 271
ativar modo FIPS 20
ativar, pesquisas mais rápidas no ELM 124
ativos
definir ativos antigos 298
gerenciar 298
gravidade 349
ativos antigos, definir 298
atualizações
recuperar regra 345
verificar regras 23
atualizar
software em vários dispositivos 52
status de dispositivos, exibir política 339
atualizar dispositivos 56
atualizar licença do DEM 145
354
McAfee Enterprise Security Manager 9.5.0
atualizar software do dispositivo 37, 43
atualizar software do ESM 22
autenticação para o ePO 152
avaliação de
vulnerabilidade 302
B
banco de dados
gerenciar 181
gerenciar configurações de indexação 184
servidor, adicionar 150
status 164
trilhas de auditoria 336
trilhas de auditoria, configuração de regra e relatório 336
utilização da memória 185
banco de dados de gerenciamento espelhado, substituir ELM
125
banco de dados de gerenciamento, restaurar ELM 123
C
CAC
adicionar usuários 188
autenticação 187
configurações 188
login, configurar 188
casos
adição 291
adicionar eventos a um caso existente 292
caso de e-mail selecionado 294
criar a partir do alarme 233
criar a partir do alarme disparado 258
editar 292
enviar e-mail ao adicionar ou alterar 294
eventos de origem, exibição 294
exibir detalhes 293
exibir todos 294
fechar 292
filtrar 294
notificação por e-mail 294
personalizar resumo 232
relatórios, gerar 295
status, adicionar 293
status, adicionar ou editar 294
categoria
adicionar nova marca 347
adicionar nova variável 312
editar 347
certificado
instalar novo 174
senha do McAfee Vulnerability Manager, obter 162
chave
dispositivo 35
exportar 35
gerenciar dispositivo 34
Guia de produto
Índice
chave (continuação)
importar 36
chaves de comunicação, exportar e restaurar 198
codificação para origem de dados ASP 100
Collector
SIEM Collector 69
comandos do Linux, inserir no dispositivo 43
compactação, definir ELM 122
compactação, gerenciar o ELM 122
comparação de valores em gráficos de distribuição 273
comparar arquivos de regra 346
compartilhamento de arquivo HomeGroup, desativar 114
compartilhamento de arquivo, desativar HomeGroup 114
compilação, exibir software 44
componentes
adicionar parâmetros a 332
barra de ferramentas 265
exemplo de regra 333
exibições 261
exibir 260
exportar 270
opções do menu 268
personalizar 262
vincular 272
condição, adicionar relatório 248
conexões
alterar com o ESM 45
configurar o McAfee Vulnerability Manager 163
Configuração com critérios comuns 19
configuração de estação final para descoberta de rede 301
configuração de indexação, banco de dados 184
configurações avançadas do DEM, configurar 146
configurações de filtro, editar encaminhamento de evento 245
configurações de mensagem 165
configurações de ping para descoberta de rede 301
configurações de rede
configuração de porta IPMI 170
configurações do ELM 110
configurações do sistema
fazer backup 191
restaurar 191
salvar no ESM redundante 194
Configurações específicas do DEM 144
configurações, aplicar ao DEM 146
conjuntos de filtro
gerenciar 277
conjuntos de regras 109
Conjuntos de regras da McAfee 109
console
adicionar dispositivo 24, 34
alterar aparência 29, 186
diagrama 27
tema de cores 28
tempo limite 28
consulta aos dicionário de ADM 136
McAfee Enterprise Security Manager 9.5.0
consultas
excluir em execução 199
gerenciar 199
controle de tráfego de rede
dispositivos 37
ESM 171
convenções e ícones utilizados neste guia 9
copiar e colar regras 340
correlação histórica, ACE 128
correlação histórica, adicionar filtro 129
credenciais de autenticação do ePO 152
credenciais para o ePO 152
credenciais, obter e adicionar atualização de regra 22
criação automática de regras de origens de dados, adicionar 73
criar origens de dados automaticamente 73
D
dados brutos, arquivamento 66
dados de registro, restaurar ELM 123
DAS, atribuir para armazenar dados do ELM 119
DEM
adicionar ação 147
atualizar licença 145
configurações avançadas, configurar 146
configurações, aplicar 146
definir ações 146
definir operação 148
editar ação personalizada 147
identificação do usuário 149
máscaras de dados confidenciais 148
referências de métrica de regra 326
regras 324
resumo 12, 57
servidor de banco de dados, adicione 150
sincronização de arquivos de configuração 145
desativar a comunicação SSH com o ESM 45
desativar dispositivo de espelhamento do ELM 117
Descarga do TCP, 44
descoberta de rede 299
gerenciamento de configuração 298
descoberta de redeestações finais
intervalo de varredura de ping 301
sub-redes para executar ping 301
tempo limite de ping 301
descoberta de terminal 300
descobrir a rede 299
descobrir terminais 300
desfragmentador de IP com base em destino 314
DESM, resumo 12, 57
destinatários
adição 166
gerenciar alarme 233
detalhamento na exibição 268
detalhes da sessão, exibir 253
Guia de produto
355
Índice
detecção de anomalias
assistente 158
variáveis, editar 159
detecção de varredura de porta 314
DHCP, configurar 172
Dicionários de ADM 131
configuração 132
consulta 136
exemplos 134
gerenciar 135
dispositivo de armazenamento SAN, formatar para armazenar
dados do ELM 119
dispositivo de armazenamento, adicionar ELM 115
dispositivo de espelhamento, desativar ELM 117
dispositivo iSCSI, adicionar para armazenamento no ELM 118
dispositivo Receptor-HA secundário, reinicializar 63
dispositivo remoto, acesso 200
dispositivos
adicionar ao console 24, 34
adicionar link de URL 45, 53
alterar descrição 44
alterar exibição padrão 29, 186
alterar nome 44
ASN, definir configurações 46, 239
atualizar 56
atualizar software 37, 43
chave 35
Comandos do Linux 43
compilação 44
conceder acesso a 43
conexão com o ESM, alterar 45
configurações de agregação 47, 241
configurar downloads de eventos, fluxos e registros 45, 237
controle de tráfego de rede 37
dados de status, download 42
desativar origens de dados 29, 186
estatísticas do dispositivo 42
excluir 31
excluir nós 26, 56
exibir campo de tipo 31
exibir informações gerais 44
exibir registro 53
exportar uma chave 35
gerenciar chaves 34
gerenciar chaves de comunicação SSH 36
gerenciar vários 52
ID do computador 44
importar uma chave 36
iniciar 44
interromper 44
localização geográfica, definir configurações 46, 239
modelo 44
monitorar tráfego 44
nó de grupo, excluir 26, 56
número de série 44
356
McAfee Enterprise Security Manager 9.5.0
dispositivos (continuação)
organizar 25, 37, 50
porta IPMI, configuração 170
registro de mensagens 42
reinicializar 44
relatório de contagem 164
relatórios de resumo 53
Servidores NTP 40, 166
sincronizar com o ESM 41
sincronizar relógios 173
software, atualizar 37, 43
tipo de exibição 31
versão 44
dispositivos do ePO
consulta sobre enriquecimento de dados 157
consulta sobre relatórios ou exibições 157
dispositivos ePO
consulta no dashboard do Real Time for McAfee ePO 158
dispositivos simultâneos para descoberta de rede 301
dispositivos virtuais 48
adicionar ao dispositivo 50
lista negra 160
modo somente alertas 338
regras de seleção, gerenciar 50
regras internas 318
documentação
convenções tipográficas e ícones 9
específica do produto, como encontrar 10
público-alvo para este guia 9
E
e-mail
configurações 165
notificação de caso 294
editar alarme disparado 258
Editor de políticas
exibir status de atualização de dispositivos 339
histórico de alteração 350
modo de excesso de assinaturas, configurar 339
elementos lógicos para regras de ADM, banco de dados e
correlação 332
elementos lógicos, editar 332
ELM
adicionar armazenamento de dados espelhados 117
adicionar dispositivo de armazenamento 115
adicionar dispositivo iSCSI para armazenamento 118
alocação de armazenamento, reduzir 116
armazenamento de dados espelhados, adicionar 117
armazenamento de dados externos 118
armazenar registros 113
banco de dados de gerenciamento espelhado, substituir 125
compactação 122
compactação, definir 122
configurar comunicação com 41
definir local de armazenamento alternativo 124
Guia de produto
Índice
ELM (continuação)
desativar dispositivo de espelhamento 117
Dispositivo DAS para armazenar dados do ELM 119
espelhamento do armazenamento de dados 116
exibição da pesquisa 256
fazer backup 123
formatar dispositivo de armazenamento SAN para
armazenar dados 119
gerenciamento, restaurar banco de dados 123
lista de armazenamento espelhada, reconstruir 117
lista de armazenamento, adicionar ou editar 115
migração de banco de dados 124
mover lista de armazenamento 115
pesquisa, aprimorada 257
pesquisas mais rápidas, ativar 124
preparação para armazenar dados 112
recuperar dados 125
registro, restaurar dados 123
restaurar 123
resumo 12, 57
sincronizar com dispositivo 41
trabalho de pesquisa 125
trabalho de pesquisa, criar 126
trabalho de pesquisa, exibir resultados 122
trabalho de verificação de integridade 125
uso do armazenamento, exibir 124
verificação de integridade, criar trabalho 126
verificação de integridade, exibir resultados 122
ELM, estimar necessidade de armazenamento 110
encaminhamento de evento
adicionar destinos 242
adicionar filtros 245
agentes 243
ativar ou desativar 244
configuração 242
configurar 242
editar configurações de filtro 245
modificar configurações 244
endereços IP de destino, mostrar nome de host no relatório 249
endereços IP de origem, mostrar nome de host no relatório 249
enriquecimento de dados 203
Adicionar origens 203
consultar dispositivos do ePO 157
entrada da lista negra do McAfee Network Security Manager
removida, adicionar ou excluir 164
ePO
adicionar credenciais de autenticação 153
eventos de streaming, exibir 58
ePolicy Orchestrator
aquisição de dados do McAfee Risk Advisor, ativar 154
configurações 152
configurar o 4.0 102
iniciar de ESM 152
marcas, atribuir ao endereço IP 153
ESM
armazenamento de dados, configuração 182
McAfee Enterprise Security Manager 9.5.0
ESM (continuação)
arquivos de backup 193
atualizar software 22
controlar tráfego de rede 171
ESM redundante 192
exibir informações do sistema 164
fazer backup de configurações 192
fazer upgrade, primário e redundante 200
fora de sincronização com origem de dados 74
gerenciar 195
horário fora de sincronização com origens de dados 75
porta IPMI, configuração 170
recursos de segurança 187
redundante, como funciona 194
registro, configurar 198
regras 337
restaurar configurações 192
resumo 12, 57
sincronizar com dispositivo 41
substituir redundante 194
ESM distribuído
adicionar filtros 151
propriedades 151
ESM hierárquico, mascarar dados 197
ESM primário, fazer upgrade 200
ESM redundante
como funciona 194
configurar 192
fazer upgrade 200
salvar configurações do sistema 194
substituir 194
espelhamento do armazenamento de dados do ELM 116
estatísticas, exibir do dispositivo 42
Event Receiver
resumo 12, 57
evento de correlação, exibir eventos de origem 67
eventos
adicionar a um caso 292
configurar downloads 45, 237
criar um caso para rastrear 292
definir limite de inatividade 238
descrição 237
detalhes da sessão, exibir 253
excluir 268
gerenciar exceções de agregação 47, 242
lista negra de 268
marcar como revisado 268
níveis de gravidade, configuração 350
recuperar 239, 240
registro, gerenciar tipos de eventos 196
registros, configurar idioma 23, 198
verificar 239
verificar campos correspondentes 274
eventos de correlação histórica, download 129
eventos de metadados 129
Guia de produto
357
Índice
eventos de origem
incluir no alarme de correlação 219
eventos de origem, exibição por evento de correlação 67
eventos de streaming para o Receptor, NSM, ePO 58
eventos, fluxos e logs
limitar horário da coleta 238
exceções para configurações de agregação, adicionar 47, 241
exceções, adicionar regra de firewall 316
excluir
alarme disparado 258
eventos ou fluxos 268
regras personalizadas 340
exibição padrão, alterar 275
exibição personalizada, adicionar, editar, excluir 25, 50
exibições
adicionar personalizado 259
alterar padrão 275
barra de ferramentas 27, 254
barra de ferramentas de componentes 265
componentes 260
componentes, descrição 261
componentes, personalização 262
consultar dispositivos do ePO 157
dados em uma exibição 276
detalhes de dados 265
filtragem 276
filtros 276
fluxo 256
gerenciar 274
nomes de host, exibir em vez de endereço IP 259
painel 27
pesquisa do ELM aprimorada 256
predefinidas 255
exibições para uso imediato 255
exibições predefinidas 255
exibir
gerenciar consultas 199
exibir preferências de painel 28
exportar
chave 35
chaves de comunicação 198
componente 270
exibir 268
regras 342
exportar e importar
arquivo exk 17
arquivo puk 17
exportar zonas 303
extensões de arquivo para arquivos de exportação 16
F
fazer backup
Configurações do ESM 192
configurações do sistema 191
ELM 123
358
McAfee Enterprise Security Manager 9.5.0
fazer backup, restaurar 193
fazer download
eventos, fluxos e registros 45, 237
fazer upgrade
ESM primário e redundante 200
Receptor-HA 64
filtro contains 249
filtro, contains 249
filtros
adicionar ao ESM distribuído 151
adicionar regras 319
alarme disparado 258
barra de ferramentas 277
exibições 276
ID de evento do Windows 278
opções, adicionar e remover 277
painel 27
regras existentes 343
salvar valores atuais como padrão 277
tipo personalizado 282
UCF 278
usar padrão 277
visível para o usuário e todos, alternar entre 277
Filtros UCF 278
filtros, encaminhamento de evento 245
fluxos
configurar downloads 45, 237
definir limite de inatividade 238
descrição 237
excluir 268
exibições 256
recuperar 239, 240
verificar 239
formato de data, alterar 29, 186
Fornecedores de VA disponíveis no ESM 72
fuso horário
formato, alterar 29, 186
G
gerenciador de ativos 305
gerenciador de correlação de risco, adicionar 128
gerenciador de tarefas 199
gerenciamento de ameaças 305
gerenciamento de casos
painel, mostrar 29, 186
relatórios, gerar 295
gerenciamento de configuração 298
gerenciamento de zonas 302
gráfico de distribuição, comparar valores 273
gramática REGEX para regras de ADM 136
gravidade
mapeamentos 95
níveis 349
níveis, configuração 350
Guia de produto
Índice
gravidade (continuação)
origens de dados 95
gravidade de riscosgerenciamento de ameaças
exibições, personalizado e pré-definido 305
gerenciamento 305
grupo de dispositivos, gerenciar 26, 51
grupos
configurar usuários 190
usuários 185
H
Hadoop PIG 205
hardware 164
histórico
alteração de política 350
exibir alteração das regras 346
histórico de alteração, exibir das regras 346
Histórico de execução do TIE 268
hora, sincronizar hora 173
horário fora de sincronização entre o ESM e origem de dados
74, 75
I
ícone dos dispositivos, adicionar 31
ícones de início rápido 27
ID de cliente 164
ID do computador, exibir dispositivo 44
identificação do usuário
adicionar regra 149
gerenciar 149
idioma, configurar para registros de eventos 23, 198
IDs de assinatura do monitor de integridade 222
imagens
adicionar à página de login 21
incluir nos PDFs e relatórios 248
importar
arquivo de normalização de cadeia 282
chave de dispositivo 36
lista das origens de dados 77
regras 340
variável 312
importar configurações de zona 303
importar planilha de origens de dados 78
inclusão automática na lista negra, configurar 161
indexação do acumulador, gerenciar 184
indexação, acumulador 184
índices de acumulador, aumentar disponibilidade 182
índices, aumentar disponibilidade de acumulador 182
iniciar
ePolicy Orchestrator 268
ePolicy Orchestrator a partir do ESM 152
iniciar dispositivos 44
iniciar vários dispositivos 52
Instalação da origem de dados Adiscon 104
McAfee Enterprise Security Manager 9.5.0
interface
configurações de rede 38, 168
gerenciar rede 38, 167
interromper dispositivos 44
interromper vários dispositivos 52
IP
endereço, atribuir marcas do ePolicy Orchestrator 153
IPS
assistente de detecção de anomalias 158
definir configurações 158
inclusão automática na lista negra, configurar 161
lista negra 160
lista negra, gerenciar 161
modo somente alertas 338
regras internas 318
relatório de análise, gerar 159
variáveis de detecção de anomalias, editar 159
variável de tráfego de prioridade 351
IPS do Nitro
resumo 12, 57
L
layout, adicionar relatório 247
LDAP
autenticação de login 187
servidor, autenticar usuários 190
licença, atualizar o DEM 145
limite de inatividade, definir 238
limites de retenção de dados, configuração 183
limites, configurar retenção de dados 183
link de URL
adicionar informações do dispositivo 45
Links de URL
adicionar ao dispositivo 53
Linux
comandos 201
comandos disponíveis 201
lista de armazenamento espelhada, reconstruir 117
lista de armazenamento, adicionar dispositivo de
armazenamento para vincular à 115
lista de armazenamento, adicionar ou editar 115
lista de armazenamento, mover 115
lista de armazenamento, reconstruir espelhada 117
lista de controle de acesso, configurar 188
lista de exclusão de IP, gerenciar 300
lista de observação
adição 279
adicionar regras 347
anexar eventos a 268
criar na exibição 268
criar nova 346
gerenciar consultas 199
GTI 280
lista de observação do Threat Intelligence Exchange 155
visão geral 279
Guia de produto
359
Índice
lista
lista
lista
lista
de observação Global Threat Intelligence 280
de observação GTI 280
de registro padrão, definir 42
negra
adicionar entrada ao McAfee Network Security Manager 163
configurar global 203
configurar inclusão automática na lista negra 161
do evento na exibição 268
entrada do McAfee Network Security Manager removida,
adicionar ou excluir 164
gerenciar IPS 161
global 202
IPS ou dispositivo virtual 160
regras automaticamente 342
lista negra global 202
configurar 203
listas de observação
Origens da Internet 280
literais para regras de ADM 136
localização geográfica, definir configurações do dispositivo 46,
239
login
definir configurações 187
lista de controle de acesso 188
segurança 186
logotipo, adicionar à página de login 21
M
manutenção do arquivo, gerenciar 193
mapa da rede 300
mapa de rede 300
marcação, ePO 152
marcas
adicionar nova 347
atribuir a regras ou ativos 347
atribuir do ePolicy Orchestrator ao endereço IP 153
categoria, adicionar nova 347
editar existentes 347
excluir personalizada 347
gravidade 349
personalizada, excluir 347
mascarar endereços IP 197
máscaras de dados confidenciais 148
gerenciar 148
McAfee ePO
credenciais, configurar usuário 29, 189
McAfee Network Security Manager
adicionar ou excluir 164
configurações 163
entrada à lista negra, adicionar 163
entrada da lista negra removida 164
McAfee Risk Advisor
aquisição de dados 154
aquisição de dados, ativar 154
McAfee ServicePortal, como acessar 10
360
McAfee Enterprise Security Manager 9.5.0
McAfee Vulnerability Manager
certificado e senha, obter 162
conexões, configurar 163
configurações 162
executar varreduras 162
varredura, executar da exibição 268
mecanismo de correlação de risco, ACE 126
mecanismo de correlação, ACE 126
memória, utilização de banco de dados 185
MIB da McAfee 176
MIB, McAfee 176
migração de banco de dados, ELM 124
migrar origens de dados para outro Receptor 89
modelo, exibir dispositivo 44
modelos de alarme
adição 232
copiar 232
editar 232
padrão, definir 232
modelos, adicionar alarme 232
modelos, gerenciar alarme 232
modificar regras 340
modo de excesso de assinaturas, configurar 339
modo FIPS
ativar 14
recursos disponíveis fora de conformidade 14
recursos disponíveis somente no modo FIPS 14
recursos removidos 14
selecione 14
solução de problemas 19
Modo FIPS
backup de informações 16
comunicar-se com vários dispositivos do ESM 17
dispositivo codificado, adicionar 16
extensões de arquivo 16
restauração de informações 16
terminologia 16
verificar integridade 15
modo somente alertas
ativar 338
políticas 338
módulos de protocolo de e-mail para regras de ADM 142
módulos de protocolo de transferência de arquivo para regras
de ADM 142
módulos de protocolo de web mail para regras de ADM 142
monitor de integridade
IDs de assinatura 222
monitorar tráfego do dispositivo 44
mover lista de armazenamento 115
mover origens de dados para outro sistema 89
N
navegação do sistema
árvore 27
barra 27
Guia de produto
Índice
níveis, configurar gravidade 350
nomes de host
gerenciar 171
nomes de host, mostrar no relatório 249
normalização 337
normalização de cadeia
criar arquivo para importar 282
gerenciar arquivos 281
Normalização de RPC 314
normalização de solicitação da Web 314
nós de dispositivo duplicados, excluir 26, 52
nós de dispositivo, excluir duplicados 26, 52
notificação, configurar SNMP 40
NSM
eventos de streaming, exibir 58
Ferramenta de configuração NSM-SIEM (Security
Information and Event Management) 105
número de série
exibir dispositivo 44
sistema 164
O
obter ícone de eventos e fluxos 31
ocultação 197
operação, definir para o DEM 148
operadores para regras de ADM 136
origem de dados
fora de sincronização com o ESM 74
origem de dados de analisador avançado de syslog
Codificação diferente de UTF-8 100
Origem de dados do IBM ISS SiteProtector 107
Origens da Internet
criar lista de observação 280
origens de ativos 301
adicionar Receptor 110
gerenciar 301
Receptor 110
origens de dados 68
adição 68
adicionar ArcSight 102
adicionar filho 75
analisador de syslog avançado 96
aprendizado automático, configurar 90
Check Point, configurar 108
cliente 76
cliente, adicionar 76
cliente, localizar 77
codificação ASP 100
codificação para ASP 100
common event format 103
compatíveis 92
configurar o ePolicy Orchestrator 4.0 102
correlação 94
criação automática 73
criação automática de regras, adicionar 73
McAfee Enterprise Security Manager 9.5.0
origens de dados 68 (continuação)
exibir arquivos gerados 91
gerenciar 69
gravidade e mapeamento de ações 95
horário fora de sincronização com o ESM 75
IBM ISS SiteProtector 107
importar planilha 78
importar uma lista 77
Instalação de Adiscon 104
McAfee ePO 106
migrar para outro Receptor 89
mostrar desativadas 29, 186
mover para outro sistema 89
planilha a ser importada 78
registro de eventos WMI 93
registros de segurança do Windows 93
Security Device Event Exchange (SDEE) 101
suporte à retransmissão de syslog 104
tipos definidos pelo usuário 91
origens de dados aprendidas automaticamente, configurar 90
origens de dados cliente 76
adição 76
localizar 77
origens de dados common event format 103
origens de dados compatíveis 92
origens de dados de correlação 94
origens de dados do Check Point, configurar 108
Origens de dados do McAfee ePO 106
origens de dados filho, adicionar 75
origens de dados SDEE 101
origens de dados, ações de regras 321
origens, adicionar enriquecimento de dados 203
P
página de login, personalizar 21
painel de casos 27
parâmetros, adicionar a uma regra ou componente de
correlação 332
partições, configurar arquivo de inativas 183
PDFs, incluir imagem 248
perfil de comando remoto, configurar 174
perfis, configurar 174
personalizado
filtros de tipo 282
pesquisa, aprimorada do ELM 257
pesquisar ELM 268
placa de rede de desvio
configurar 40, 169
visão geral 39, 169
política
adição 309
aplicar alterações 351
Árvore de políticas 308
copiar 309
excluir 309
Guia de produto
361
Índice
política (continuação)
exibir regras 309
exportar 309
Ícones da Árvore de políticas 308
importar 309
localizar 309
política filho, adicionar 309
renomear 309
pontuação de correlação de risco 128
pontuação, correlação de risco 128
porta IPMI, configurar no ESM ou em dispositivos 170
porta IPMI, configurar rede 170
portas
Receptor-HA, rede 61
recursos de segurança 187
rede
componente de topologia, adicionar dispositivos 263
definir configurações 167
gerenciar interfaces 38, 167
interfaces, configurar para dispositivos 38, 168
portas do Receptor-HA 61
topologia, detalhes do dispositivo 264
redundância de ELM
alternar ELMs 120
retomar o serviço do ELM em espera 120
suspender comunicação com o ELM em espera
desativar redundância 120
exibir detalhes da sincronização de dados 120
preferências do console 27
preferências, console 27
procurar referência da exibição 268
propriedades específicas de protocolo para regras de ADM 142
protocolo
eventos de anomalia 129
reduzir a alocação de armazenamento do ELM 116
referências de métrica
Regras de ADM 140
Regras do DEM 326
registro
ativar fluxo 256
configurar ESM 198
console, primeira vez 20
definir a lista de registro padrão 42
efetuar logoff do console 20
exibir sistema ou dispositivo 53
registro de eventos WMI 93
registro de fluxo, ativar 256
registro de mensagens, exibir do dispositivo 42
registro do sistema, exibir 53
R
RADIUS
autenticação de login 187
configurações de autenticação 187
rastreamento de fluxo de trabalho 292
rastreamento de sessão de TCP/UDP 314
rastrear um evento 292
Real Time for McAfee ePO
consultar o ePO no dashboard 158
executar ações 154
Receptor
origem de ativos, adicionar 110
origens de dados 68
Receptor com falha, substituir 66
Receptor-HA 58
alternar funções 64
falha de solução de problema 66
fazer upgrade 64
instalar dispositivos 62
portas da rede 61
reinicializar dispositivo secundário 63
substituir Receptor com falha 66
verificar status 65
Receptores
arquivamento de dados brutos 66
configurações de arquivo, definir 67
definir configurações 58
eventos de streaming, exibir 58
origens de ativos 110
Receptores de alta disponibilidade 58
reconhecer alarme disparado 258
reconstruir lista de armazenamento espelhada 117
recuperar atualizações de regra 345
362
McAfee Enterprise Security Manager 9.5.0
registros
configurar downloads 45, 237
configurar idioma 23, 198
descrição 237
gerenciar 196
tipos a gerar 197
verificar 239
registros de segurança do Windows 93
registros, armazenar ELM 113
regra de acesso a dados, adicionar ou editar 335
regra de rastreamento de transação, adicionar ou editar 335
regra de seleção para dispositivos virtuais, gerenciar 50
regras
adicionar à lista de observação 347
adicionar alarme 220
analisador de syslog avançado 319
atualizar credenciais 22
comparar arquivos 346
copiar e colar 340
criar personalizado do evento 268
eventos do gatilho 129
Eventos do Windows 322
excluir personalizadas 340
exibir assinatura 344
exibir personalizadas 340
exportar 342
Guia de produto
Índice
regras (continuação)
filtrar existentes 343
firewall, acessar 160
gravidade 349
histórico, exibir alteração 346
importar 340
inclusão automática na lista negra 342
internas 318
limpar status das atualizadas 345
modificação 340
modificar configurações de agregação 348
normalização 337
obtidas por download, ação de substituição 349
origem de dados 321
padrão, acessar 160
pré-processador 314, 315
rastreamento de transação, adicionar ou editar 335
recuperar atualizações 345
tipos e propriedades 311
variáveis 312
verificar atualizações 23
Regras de ADM
adicionar novo 331
Anomalia de protocolo IP para regras de ADM 143
anomalias de protocolo 143
Anomalias de protocolo DNA para regras de ADM 143
Anomalias de protocolo TCP para regras de ADM 143
aplicativos e protocolos compatíveis 322
elementos lógicos 332
elementos lógicos, editar 332
gerenciar personalizado 335
gramática REGEX 136
literais 136
módulos de protocolo de e-mail 142
módulos de protocolo de transferência de arquivo 142
módulos de protocolo de web mail 142
operadores 136
principais conceitos 322
propriedades específicas de protocolo 142
referências de métrica 140
sintaxe 136
tipos de termo 139
regras de ASP personalizadas, adicionar 319
regras de banco de dados
adicionar novas 331
elementos lógicos 332
elementos lógicos, editar 332
regras de correlação 330
adicionar novas 331
adicionar parâmetros 332
conflitos ao importar 341
elementos lógicos 332
elementos lógicos, editar 332
exemplo 333
exibir detalhes
McAfee Enterprise Security Manager 9.5.0
regras de correlação 330
definir como mostrar detalhes 330
gerenciar personalizado 335
regras do Threat Intelligence Exchange 155
regras de filtragem
definir ordem 320
ordem de dados 318
ordem de regras 318
regras de firewall 315
acessar 160
adicionar exceções 316
adicionar personalizado 316
criar de evento ou fluxo 268
tipos 315
regras de inspeção de pacote detalhadas 317
adição 317
atributos, adicionar 317
regras de origem de dados 321
aprendidas automaticamente, gerenciar 321
regras de origem de dados aprendidas automaticamente,
gerenciar 321
regras de pré-processador 314, 315
regras do ASP
definir ordem 320
formatos de hora, adicionar 320
Regras do DEM
gerenciar personalizado 335
regras internas 318
gerenciar 318
regras obtidas por download, ação de substituição 349
regras padrão, acessar 160
regras para inclusão automática na lista negra 342
regras personalizadas
exibir 340
reinicializar dispositivo Receptor-HA secundário 63
reinicializar dispositivos 44
reiniciar vários dispositivos 52
relatório
gerenciar consultas 199
relatório de análise, gerar IPS 159
relatório de hora do evento 164
relatórios
adição 247
adicionar condição 248
análise do IPS, gerar 159
consultar dispositivos do ePO 157
contagem de tipos de dispositivo do ESM 164
definidos pelo usuário 246
fila de alarme 234
gerenciamento de casos, gerar 295
hora do evento 164
incluir imagem 248
layout 247
mostrar nomes de host 249
notificações, adicionar destinatários 166
Guia de produto
363
Índice
relatórios (continuação)
prontos 246
resumo de dispositivos 53
trimestral, definir o mês inicial 247
relatórios de CSV de consultas 165
relatórios trimestrais, definir o mês inicial 247
relógio do sistema 164
relógio, sincronizar dispositivo 173
remedy
configurações do servidor 165
ID do caso, definir 268
Remedy
ID de caso, adicionar ao registro de evento 270
remontagem de TCP com base em destino 314
restaurar
chaves de comunicação 198
configurações do sistema 191
restaurar arquivos de configuração com backup 193
restaurar configurações do ESM 192
restaurar ELM com backup 123
retenção, configurar limites de dados 183
risco
ameaças a serem incluídas no cálculo 306
rotas estáticas, adicionar 39, 169
S
status de casos, adicionar 293
status de regra atualizada, limpar 345
status do dispositivo, fazer download de dados sobre 42
substituir Receptor-HA com falha 66
subzonas
adição 304
suporte à retransmissão de syslog 104
suporte técnico, como encontrar informações sobre produtos 10
T
TCP
segurança, chaves de comunicação SSH 36
senha e certificado do McAfee Vulnerability Manager, obter 162
senhas
alterar 29, 186
padrão 20
senhas na visualização de sessão, exibir 131
sequestro de sessão, TCP 313
ServicePortal, como encontrar a documentação do produto 10
Servidor Altiris, recuperar dados 301
servidor de e-mail, conectar 165
Servidores NTP
configurar para um dispositivo 40, 166
exibir status 166
sinalizadores de status de integridade 31, 54
sinalizadores informativos 54
sinalizadores, dispositivo ou sistema 54
sincronização de hora 173
sincronizar dispositivo
relógios 173
sincronizar dispositivo com o ESM 41
sincronizar hora do sistema 173
SNMP
configuração 174
configurações 175
configurar notificações 40
MIB 176
notificação de queda de energia 175
sobre este guia 9
364
software
atualizar em vários dispositivos 52
software, atualizar dispositivo 37, 43
software, atualizar ESM 22
solução de problemas
Falha do Receptor-HA 66
solução de problemas modo FIPS 19
SSH
chaves de comunicação, gerenciar para dispositivos 36
comunicação, desativar com o ESM 45
gerar chave novamente 198
status
dispositivos, exibir atualização de política 339
inativo 54
Receptor-HA 65
McAfee Enterprise Security Manager 9.5.0
anomalias de protocolo 313
sequestro de sessão 313
tema de cores, console 28
tempo limite, console 28
terminal, usar comandos linux 201
Threat Intelligence Exchange
integração com o ESM
histórico de execução 155
tipo de exibição do dispositivo, selecionar 25, 51
tipo de exibição padrão, alterar 29, 186
tipo de exibição, selecionar 25, 51
tipo de origem de dados definidos pelo usuário 91
tipo personalizado
adicionar grupo de nomes/valores 289
tipo personalizado de grupo de nomes/valores, adicionar 289
tipos de regras 311
tipos de tempo personalizados, adicionar 288
tipos de termo para regras do ADM 139
tipos personalizados
adicionar tempo 288
criar 284
nome/valor 288
predefinidos 284
tipos personalizados de nome/valor 288
trabalho de pesquisa 125
trabalho de pesquisa, criar 126
trabalho de pesquisa, exibir resultados 122
trabalho de verificação de integridade 125
criar 126
Guia de produto
Índice
tráfego de prioridade, gerenciar 351
U
uso do armazenamento, exibir no ELM 124
usuários
adição 186
adicionar login do CAC 188
autenticar para um servidor LDAP 190
desativar 190
nome padrão 20
reativar 190
trabalhar com 185
V
VA, adicionar origem 71
VA, definir perfil do sistema 70
VA, integrar dados 70
VA, recuperar dados 71
VA, solucionar problemas de recuperação 72
variáveis 312
categoria, adicionar nova 312
excluir personalizada 312
importar 312
modificação 312
modificar tipo 312
personalizada, adicionar 312
priority_traffic 351
vários dispositivos
gerenciar 52
ícone de gerenciamento 31
varreduras do McAfee Vulnerability Manager, executar 162
McAfee Enterprise Security Manager 9.5.0
verificação de integridade, exibir resultados 122
verificar campos correspondentes em eventos 274
versão, exibir software 44
vincular componentes 272
visualização de sessão do ADM, exibir senhas 131
visualização de sessão, exibir senhas 131
VLAN
adição 40, 168
alterar 268
VM, configurar armazenamento de dados 182
vulnerabilidade
gerenciar origens 302
gravidade 349
W
WHOIS
pesquisa da exibição 268
pesquisa, realizar 269
Windows
filtros de ID de evento 278
regras de eventos 322
Z
zipzap 314
zonas
adição 303
adicionar uma subzona 304
exportar configurações 303
gerenciar 302
importar configurações de zona 303
Guia de produto
365
0-12
Download

Enterprise Security Manager 9.5.0 Guia de produto