kc.mcafee.com 1 Descripción general del producto 9 Descripción general...

Guía del producto de McAfee EnterpriseSecurity Manager 10.2.0

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

2 Guía del producto de McAfee Enterprise Security Manager 10.2.0 Guía del producto

Contenido

1 Descripción general del producto 9Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Funciones clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Recursos de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2 Introducción a McAfee ESM 15Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . . . 16Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . . . 17Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . . . . . . 18Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . . . 19Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . . . 19Conexión de dispositivos McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . . . 20Cambio de nombres de dispositivos, vínculos y descripciones . . . . . . . . . . . . . . . 21Conexión de dispositivos a ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 21Sincronización de dispositivos con McAfee ESM . . . . . . . . . . . . . . . . . . . . 22Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . . 22Organización de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . . . 23Cómo otorgar a McAfee acceso al sistema . . . . . . . . . . . . . . . . . . . . . . 24

3 Configuración de McAfee ESM 25Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Aplicación de la clave a un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 25Administración de claves SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Visualización de información de dispositivo . . . . . . . . . . . . . . . . . . . . . . 27Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 34Configuración del control de tráfico de la red . . . . . . . . . . . . . . . . . . . . . 37Configuración de notificaciones SNMP . . . . . . . . . . . . . . . . . . . . . . . . 38Configuración de la comunicación con ELM . . . . . . . . . . . . . . . . . . . . . . 39Configuración del grupo de registro predeterminado . . . . . . . . . . . . . . . . . . 39Inicio, detención, reinicio o actualización de un dispositivo . . . . . . . . . . . . . . . . 40Organización de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . . . 40Cómo otorgar a McAfee acceso al sistema . . . . . . . . . . . . . . . . . . . . . . 41

Configuración de dispositivos McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . 41McAfee Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41McAfee Enterprise Log Search (ELS) . . . . . . . . . . . . . . . . . . . . . . . . . 82McAfee Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . . . . . . 84McAfee Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . . . . . . 106McAfee Application Data Monitor . . . . . . . . . . . . . . . . . . . . . . . . . 111McAfee Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . . . . . . . 126

Guía del producto de McAfee Enterprise Security Manager 10.2.0 Guía del producto 3

ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 146McAfee Network Security Manager . . . . . . . . . . . . . . . . . . . . . . . . 147Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno . . . . . . . . . 149

Configuración de servicios auxiliares de McAfee ESM . . . . . . . . . . . . . . . . . . . . . 149Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 150Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . . 150Detención de la actualización automática del árbol de sistemas de McAfee ESM . . . . . . . . 150Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . . . 151Configuración del protocolo NTP . . . . . . . . . . . . . . . . . . . . . . . . . 153Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . . 154Configuración de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . . . 163Instalación del certificado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . 164Administración de perfiles de sistema . . . . . . . . . . . . . . . . . . . . . . . 164Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Administración de la base de datos de McAfee ESM . . . . . . . . . . . . . . . . . . . . . 172Configuración del almacenamiento de datos . . . . . . . . . . . . . . . . . . . . . 173Configuración del almacenamiento de datos de máquinas virtuales . . . . . . . . . . . . 173Aumento de los índices de acumulación . . . . . . . . . . . . . . . . . . . . . . 173Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . . . 174Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . . . 174Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . . 175Visualización del uso de memoria de la base de datos . . . . . . . . . . . . . . . . . 175

Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Adición de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176Configuración de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Definición de la seguridad de inicio de sesión . . . . . . . . . . . . . . . . . . . . 179Definición de la seguridad de la contraseña . . . . . . . . . . . . . . . . . . . . . 180Configuración de la autenticación RADIUS . . . . . . . . . . . . . . . . . . . . . . 181Configuración de la lista de control de acceso . . . . . . . . . . . . . . . . . . . . 181Configuración de Common Access Card (CAC) . . . . . . . . . . . . . . . . . . . . 181Configuración del inicio de sesión Common Access Card (CAC) . . . . . . . . . . . . . . 182Configuración de las opciones de autenticación de Active Directory . . . . . . . . . . . . 183Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . . 184Activación o desactivación de usuarios . . . . . . . . . . . . . . . . . . . . . . . 185Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . . . 185Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . . 185Adición de grupos con acceso limitado . . . . . . . . . . . . . . . . . . . . . . . 187

Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . . . . 188Copia de seguridad de la configuración y los datos de sistema de McAfee ESM . . . . . . . . 188Restauración de la configuración de McAfee ESM . . . . . . . . . . . . . . . . . . . 189Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . . . 190Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . . . 190

Administración de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . 192Configuración del registro de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . 192Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . . . 193Administración de consultas de tareas . . . . . . . . . . . . . . . . . . . . . . . 193Ampliación de dispositivos ESM principales o redundantes . . . . . . . . . . . . . . . 194

Funcionamiento de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . 194Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . . . 195

Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . . . 196Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . . . . 198

Contenido


Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . . . 199Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . . . . 200

4 Uso de paneles de McAfee ESM 203Uso del panel McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Vistas predefinidas (predeterminadas) . . . . . . . . . . . . . . . . . . . . . . . . . . 204Cuadro de mandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Funcionamiento de la vista del cuadro de mandos . . . . . . . . . . . . . . . . . . . 205Selección de los datos que mostrar en el cuadro de mandos . . . . . . . . . . . . . . . 206Visualización de datos de Policy Auditor en el cuadro de mandos . . . . . . . . . . . . . 206Configurar vista de cuadro de mandos . . . . . . . . . . . . . . . . . . . . . . . 207Configuración de grupos de punto de referencia . . . . . . . . . . . . . . . . . . . 207

Apertura de vistas de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Enlace de widgets de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208Filtrado de vistas de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208Adición de vistas de panel personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . 209Descripción de los componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . 211Respuesta a las notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Investigación de casos abiertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Uso de las vistas de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Administración de vistas de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . 213Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . . 214Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214Vistas de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Vista Búsqueda de ELM mejorada . . . . . . . . . . . . . . . . . . . . . . . . . . 218Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . 222

5 Supervisión de amenazas con McAfee ESM 227Administración de Cyber Threat . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . 227Configuración de una fuente de Cyber Threat para el dominio . . . . . . . . . . . . . . 228Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . 229Tipos de IOC admitidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . . 230

Funcionamiento de las alarmas en McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . 230Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . 231Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . 241Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Funcionamiento de los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Adición de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Cambio de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Visualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . 262Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . 262

Funcionamiento de los paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . 263Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . 263Instalación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . 264Cambio de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 264

6 Uso de listas de vigilancia de McAfee ESM 265Funcionamiento de las listas de vigilancia de McAfee ESM . . . . . . . . . . . . . . . . . . . 265Listas de vigilancia de McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Adición de listas de vigilancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Creación de listas de vigilancia de reglas . . . . . . . . . . . . . . . . . . . . . . . . . 269

Contenido


Adición de reglas a listas de vigilancia . . . . . . . . . . . . . . . . . . . . . . . . . . 269Creación de listas de vigilancia de amenazas IOC . . . . . . . . . . . . . . . . . . . . . . 270Adición de listas de vigilancia de Hadoop HBase . . . . . . . . . . . . . . . . . . . . . . 270Creación de listas de vigilancia de McAfee Active Response . . . . . . . . . . . . . . . . . . 271Uso compartido de listas de vigilancia, informes y vistas . . . . . . . . . . . . . . . . . . . 272

7 Uso de eventos de McAfee ESM 273Funcionamiento de los eventos de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . 273

Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . . . 273Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . . . 275Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . . . 276Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . . 276Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . 277Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . . . 277Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . . 277Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . . 279Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . . . 288Tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . 293Búsquedas de McAfee

®

Active Response . . . . . . . . . . . . . . . . . . . . . . . . . 294Ejecución de búsquedas de McAfee Active Response . . . . . . . . . . . . . . . . . . 295Visualización de los resultados de búsqueda de McAfee Active Response . . . . . . . . . . 296Adición de orígenes de enriquecimiento de datos de McAfee Active Response . . . . . . . . 296

8 Uso de McAfee ESM Asset Manager 299Funcionamiento de Asset Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 299Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . 303Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . . . 304Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Adición de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . . 308Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . . 308

Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . 309Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . . . 310

9 Uso de directivas y reglas de McAfee ESM 311Funcionamiento de las directivas y reglas de McAfee ESM . . . . . . . . . . . . . . . . . . . 311Administración de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312Configuración de pistas de auditoría de base de datos . . . . . . . . . . . . . . . . . . . . 313Funcionamiento de la normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . 314Tipos de reglas de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

Tipos de reglas de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 315Reglas de McAfee Application Data Monitor . . . . . . . . . . . . . . . . . . . . . 315Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . . . 330Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339Reglas de McAfee Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . . . 340Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Administración de reglas de rastreo de transacciones . . . . . . . . . . . . . . . . . 345Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Definición de sobresuscripción de paquetes . . . . . . . . . . . . . . . . . . . . . . . . 347

Contenido


Visualización del estado de actualización de directivas . . . . . . . . . . . . . . . . . . . . 348Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Visualización de firmas de reglas . . . . . . . . . . . . . . . . . . . . . . . . . 352Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . . . 352Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . . 353Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . . . 353Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . . . 354Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . 354

Cambie la configuración de agregación . . . . . . . . . . . . . . . . . . . . . . . . . . 354Definición de acciones de omisión para reglas descargadas . . . . . . . . . . . . . . . . . . 355Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

Definición de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . 356Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . . . 357Despliegue de cambios de directiva . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Activación de Copiar paquete para reglas . . . . . . . . . . . . . . . . . . . . . . . . . 357

10 Uso del modo FIPS 359Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Adición de dispositivos en modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Copia de seguridad y restauración de información de un dispositivo en modo FIPS . . . . . . . 361Activación de la comunicación con varios dispositivos ESM en el modo FIPS . . . . . . . . . 362

Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 364Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Índice 367

Contenido


Contenido


1 Descripción general del producto

Contenido Descripción general Funciones clave Funcionamiento Recursos de McAfee ESM

Descripción generalMcAfee

®

Enterprise Security Manager (McAfee ESM) es una solución de protección de datos y administración deeventos (SIEM) que le proporciona visibilidad en tiempo real de todas las actividades de sus sistemas, redes,bases de datos y aplicaciones.

Como la base de la solución de SIEM de McAfee, McAfee ESM:

• Recopila y agrega datos de eventos de sus dispositivos de seguridad, infraestructuras de red, bases de datosy aplicaciones.

• Aplica inteligencia a esos datos mediante su combinación con información contextual acerca de usuarios,activos, vulnerabilidades y amenazas.

• Correlaciona información para encontrar posibles incidentes de amenazas.

• Le permite investigar y responder a los incidentes mediante paneles interactivos personalizables.

Véase también Funcionamiento en la página 10Funciones clave en la página 9Recursos de McAfee ESM en la página 13

Funciones claveMcAfee ESM ofrece rendimiento, inteligencia útil e integración de la solución a la velocidad y la escala querequieren las organizaciones de seguridad. Puede dar prioridad, investigar y responder rápidamente a lasamenazas, y cumplir los requisitos de conformidad.

Las características clave de McAfee ESM incluyen:

• Paneles, informes, vistas, reglas y alertas centrados en el analista

• Paquetes de contenido con configuraciones preempaquetadas (por ejemplo, grupos de reglas, alarmas,desencadenadores, corrección automática, vistas, informes, variables y listas de vigilancia) para casosprácticos de seguridad comunes

1


• Paneles, pistas de auditoría e informes predefinidos para marcos globales de normativas y controles

• Informes de conformidad, reglas y paneles personalizables

• Capacidad para enriquecer eventos con información contextual (por ejemplo, soluciones de privacidad,información sobre amenazas y fuentes de reputación, y sistemas de administración de identidades yacceso)

• Agregación histórica o prácticamente en tiempo real, y correlación de datos sospechosos o amenazasconfirmadas frente a los datos de evento

• Capacidad para recopilar datos de fuentes de información sobre amenazas y dispositivos de proveedores deseguridad de otros fabricantes

• Acceso rápido al almacenamiento a largo plazo de datos de eventos

• Arquitectura de datos escalable que recopila y correlaciona eventos de registro de varios años

• Consultas, análisis forense, validación de reglas y conformidad bajo demanda

Véase también Descripción general en la página 9Funcionamiento en la página 10Recursos de McAfee ESM en la página 13

FuncionamientoEl diagrama siguiente muestra el flujo de trabajo de McAfee ESM.

1 La amenaza se introduce en su organización.

2 McAfee Event Receiver recopila datos y eventos de dispositivos de seguridad, bases de datos, redes,sistemas y aplicaciones.

3 McAfee Event Receiver recopila datos sin procesar.

4 McAfee Event Receiver analiza (o extrae) datos dividiéndolos en partes y relaciones en función de las reglasde sintaxis específicas.

5 McAfee Event Receiver normaliza (o alinea) valores recopilados según una escala común y los utiliza paraidentificar amenazas conocidas.

6 McAfee Advanced Correlation Engine (McAfee ACE) correlaciona (o identifica) patrones en la informaciónpara identificar amenazas de seguridad.

7 El analista puede utilizar el panel, alarmas, listas de vigilancia, casos e informes de McAfee ESM parasupervisar e identificar las amenazas.

8 Use Data Exchange Layer (DXL), McAfee Advanced Threat Defense (ATD) y McAfee®

Threat IntelligenceExchange (TIE) para identificar amenazas.

9 Use McAfee ePolicy Orchestrator para responder a las amenazas inmediatamente de forma automática.

1 Descripción general del productoFuncionamiento


El diagrama siguiente muestra cómo los dispositivos McAfee ESM funcionan entre sí.

Descripción general del productoFuncionamiento 1


Véase también Descripción general en la página 9Funciones clave en la página 9Recursos de McAfee ESM en la página 13

1 Descripción general del productoFuncionamiento


Recursos de McAfee ESMConecte con los recursos siguientes para maximizar sus conocimientos sobre McAfee ESM.

Recursos de McAfee ESM:

• Busque paquetes de contenido (McAfeeConnect)

• Búsqueda de información localizada en lapágina 17

• Descargue productos de McAfee

• Búsqueda de los problemas conocidos

• Aprenda a configurar orígenes de datos(referencia de configuración de orígenes dedatos)

• Descubra los orígenes de datos admitidos

Contactos:• Soporte técnico

• Servicios de atención al cliente

• Servicios profesionales

• Ventas

• Partners

Soporte:• Búsqueda en el Centro de conocimiento

• Suscripción a los mensajes del servicio de notificaciones desoporte (SNS)

• Búsqueda de las notas de la versión más recientes

• Registro para el soporte técnico mediante ServicePortal

Formación:

• Visualización de vídeos de McAfee ESM en YouTube

• Registro para clases impartidas por instructores y deaprendizaje electrónico

• Consiga la certificación de McAfee

• Lectura de informes, notas del producto, resúmenes desoluciones y hojas de datos

Comunidad:

• Visite el Centro de conocimiento

• Visite el Centro de expertos

• Visite la comunidad de la solución SIEM de McAfee

Véase también Descripción general en la página 9Funcionamiento en la página 10Funciones clave en la página 9

Descripción general del productoRecursos de McAfee ESM 1


https://www.mcafee.com/apps/search/default.aspx?region=us&q=McAfee+Connect

https://www.mcafee.com/apps/search/default.aspx?region=us&q=McAfee+Connect

http://www.mcafee.com/us/downloads/downloads.aspx

https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=known+issues&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

https://kc.mcafee.com/corporate/index?page=content&id=PD26993



https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/25000/PD25060/en_US/McAfee_ESM_Integration_List.pdf

http://www.mcafee.com/us/about/contact-us.aspx#ht=tab-techsupport

https://support.mcafee.com/ServicePortal/faces/customerservice?_afrLoop=513068864193000&_afrWindowMode=0&_afrWindowId=mlwp4jyr7&_adf.ctrl-state=t2ysvfx8p_160#!%40%40%3F_afrWindowId%3Dmlwp4jyr7%26_afrLoop%3D513068864193000%26_afrWindowMode%3D0%26_adf.ctrl-state%3Dt2ysvfx8p_164

https://prod.demand.intelsecurity.com/services-contact?region=us

https://prod.demand.intelsecurity.com/web-US_ContactMe

http://www.mcafee.com/apps/partners/channel/find/default.aspx?region=us

https://support.mcafee.com/ServicePortal/faces/wcnav_defaultSelection

https://sns.snssecure.mcafee.com/content/signup_login

https://sns.snssecure.mcafee.com/content/signup_login

https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=release+notes&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

https://support.mcafee.com/ServicePortal/faces/customerservice/csovrview/welcometosupport?_adf.ctrl-state=t2ysvfx8p_164&_afrLoop=513106339393000#!

https://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWC

http://www.mcafee.com/us/services/education-services/product-training.aspx

http://www.mcafee.com/us/services/education-services/product-training.aspx

http://www.mcafee.com/us/services/education-services/security-certification-program.aspx

http://www.mcafee.com/us/products/enterprise-security-manager.aspx

http://www.mcafee.com/us/products/enterprise-security-manager.aspx

https://support.mcafee.com

https://community.mcafee.com/community/business/expertcenter/products/siem

https://community.mcafee.com/community/business/expertcenter/products/siem

1 Descripción general del productoRecursos de McAfee ESM


2 Introducción a McAfee ESM

Contenido Inicio y cierre de sesión Personalización de la página de inicio de sesión Cambio de idioma de los registros de eventos Búsqueda de información localizada Establecimiento del valor de tiempo de espera de la consola Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Conexión de dispositivos McAfee ESM

Inicio y cierre de sesiónTras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera vez.

Procedimiento1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la interfaz de

red.

2 Escriba el nombre de usuario y contraseña predeterminados, y seleccione el idioma del sistema.

• Nombre de usuario predeterminado: NGCP

• Contraseña predeterminada: security.4u

3 Haga clic en Inicio de sesión y lea el Acuerdo de licencia de usuario final. A continuación, haga clic en Aceptar.

4 Cambie el nombre de usuario y la contraseña, y haga clic en Aceptar.

Si utiliza IPMI, no use estos caracteres especiales en la contraseña: `~!@#$%^&*()[]\{}|;':"<>

5 Indique si desea activar o no el modo FIPS.

En caso de que se requiera el modo FIPS, actívelo la primera vez que inicie sesión en el sistema, de forma queen todas las operaciones futuras con los dispositivos de McAfee se utilice el modo FIPS. Active el modo FIPSúnicamente cuando sea necesario, ya que una vez activado no se puede volver atrás.

6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para acceder alas actualizaciones de reglas.

2


7 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con estacuenta; después, haga clic en Siguiente.

c Defina la configuración en las páginas del asistente Configuración de ESM.

8 Haga clic en Aceptar.

9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:

• Si no hay páginas abiertas, haga clic en Cerrar sesión en la lista desplegable de la esquina superiorderecha de la página.

• Si hay alguna página abierta, cierre el navegador.

Véase también Personalización de la página de inicio de sesión en la página 16Establecimiento del valor de tiempo de espera de la consola en la página 18

Personalización de la página de inicio de sesiónPermite personalizar la configuración de inicio de sesión e impresión, editar los vínculos de dispositivos desistema y configurar las opciones de un servidor de correo electrónico Remedy.

Seleccionar un logotipo personalizado no tiene ningún efecto.

Procedimiento1 Para mostrar la Configuración personalizada, lleve a cabo una de las siguientes acciones:

• En el panel, haga clic en y seleccione Propiedades del sistema | Configuración personalizada.

• Desde el árbol de navegación del sistema, haga clic en y seleccione Configuración personalizada.

2 Realice cualquiera de las acciones siguientes:

• Para agregar texto personalizado (por ejemplo, las directivas de seguridad de la empresa) a la pantallade inicio de sesión, escriba texto en el cuadro situado en la parte superior de la página y seleccione lacasilla de verificación Incluir texto en pantalla de inicio de sesión.

• Seleccione si desea actualizar el árbol de sistemas de forma automática (cada cinco minutos) y si deseaactualizar la visualización del árbol de sistemas durante la actualización.

• Para cambiar los vínculos URL para los dispositivos del sistema, haga clic en Vínculos de dispositivo.

• Para configurar el servidor de correo electrónico de Remedy, haga clic en Remedy.

• Para definir el mes inicial de las vistas e informes trimestrales, seleccione el mes en la lista desplegable.

Véase también Inicio y cierre de sesión en la página 15Establecimiento del valor de tiempo de espera de la consola en la página 18

2 Introducción a McAfee ESMPersonalización de la página de inicio de sesión


Cambio de idioma de los registros de eventosCuando inicie sesión por primera vez en ESM, seleccione el idioma de los registros de eventos, como el registrodel monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma.

Procedimiento

1 Siga uno de estos procedimientos:

• Desde el panel, haga clic en y seleccione Propiedades del sistema | Administración de ESM.

• Desde el árbol de navegación del sistema, haga clic en y seleccione Administración de ESM.

2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar.

Véase también Búsqueda de información localizada en la página 17

Búsqueda de información localizadaSe proporcionan notas de la versión, Ayuda, guía del producto y guía de instalación de McAfee ESM localizadas(traducidas) en los idiomas siguientes:

• Chino simplificado

• Chino tradicional

• Inglés

• Francés

• Alemán

• Japonés

• Coreano

• Portugués brasileño

• Español

Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentación localizada del producto mediante los parámetros siguientes:

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión

• Producto: McAfee Enterprise Security Manager

• Versión: elija una versión

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la partederecha. Haga clic en el idioma relevante.

5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.

Véase también Cambio de idioma de los registros de eventos en la página 17

Introducción a McAfee ESMCambio de idioma de los registros de eventos 2


https://support.mcafee.com/

Establecimiento del valor de tiempo de espera de la consolaDefina durante cuánto tiempo la sesión actual en la consola de ESM puede permanecer abierta sin actividad.

Procedimiento1 Siga uno de estos procedimientos:

• Desde el panel, haga clic en y seleccione Propiedades del sistema | Seguridad de inicio de sesión.

• Desde el árbol de navegación del sistema, haga clic en y seleccione Seguridad de inicio de sesión.

2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos de inactividad que debentranscurrir y haga clic en Aceptar.

Si selecciona cero (0), la consola permanecerá abierta indefinidamente.

Véase también Inicio y cierre de sesión en la página 15Personalización de la página de inicio de sesión en la página 16

Actualización del software de ESMObtenga actualizaciones de software del servidor de actualizaciones o de un ingeniero de seguridad, ycárguelas en ESM.

Procedimiento1 Para mostrar la Administración de ESM, lleve a cabo una de las siguientes acciones:

• Desde el panel, haga clic en y seleccione Propiedades del sistema | Administración de ESM.

• Desde el árbol de navegación del sistema, haga clic en y seleccione Administración de ESM.

2 Haga clic en la ficha Mantenimiento y, a continuación, en Actualizar ESM.


• Seleccione el archivo que desea usar para actualizar el ESM y haga clic en Aceptar.

• Localice un archivo de actualización de software obtenido del servidor de actualizaciones y reglas deMcAfee ESM. Haga clic en Cargar y, a continuación, en Sí en la página de advertencia.

ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización.

Véase también Obtención y adición de credenciales de actualización de reglas en la página 19Comprobación de la existencia de actualizaciones de reglas en la página 19

2 Introducción a McAfee ESMEstablecimiento del valor de tiempo de espera de la consola


Obtención y adición de credenciales de actualización de reglasMcAfee ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato demantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes.

Procedimiento1 Para obtener las credenciales, envíe un mensaje de correo electrónico a [email protected] con la

siguiente información:

• ID de concesión de licencia de McAfee

• Nombre de cuenta

• Dirección

• Nombre de contacto

• Dirección de correo electrónico de contacto

2 Cuando reciba el ID y la contraseña de cliente de McAfee, realice alguna de las acciones siguientes:

• Desde el panel, haga clic en y seleccione Propiedades del sistema | Información del sistema | Actualización dereglas.

• Desde el árbol de navegación del sistema, haga clic en y seleccione Información del sistema | Actualizaciónde reglas.

3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña.

4 Haga clic en Validar.

Véase también Actualización del software de ESM en la página 18Comprobación de la existencia de actualizaciones de reglas en la página 19

Comprobación de la existencia de actualizaciones de reglasMcAfee actualiza continuamente las firmas de reglas empleadas para examinar el tráfico de red. Puededescargar actualizaciones de reglas de forma manual o automática desde el servidor de McAfee.

Procedimiento1 Desde el panel, haga clic en y seleccione Configuración.

2 En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

3 Haga clic en Actualización de reglas.

4 Seleccione una de estas opciones:

• Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia deactualizaciones automáticamente con la frecuencia seleccionada.

• Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.

• Actualización manual, para actualizar las reglas desde un archivo local.


Introducción a McAfee ESMObtención y adición de credenciales de actualización de reglas 2


Véase también Actualización del software de ESM en la página 18Obtención y adición de credenciales de actualización de reglas en la página 19

Conexión de dispositivos McAfee ESM

Contenido Adición de dispositivos a la consola de ESM Cambio de nombres de dispositivos, vínculos y descripciones Conexión de dispositivos a ESM Sincronización de dispositivos con McAfee ESM Selección de un tipo de pantalla Organización de tipos de pantallas personalizadas Cómo otorgar a McAfee acceso al sistema

Adición de dispositivos a la consola de ESMTras instalar y configurar los dispositivos físicos y virtuales, agréguelos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos.

Siga estos pasos únicamente en el caso de una instalación de ESM compleja con varios dispositivos ESM. Nolleve a cabo esta tarea en el caso de una instalación de ESM sencilla con una combinación de ESM.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 Haga clic en .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre del dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente.

5 Proporcione la información solicitada:

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar sesiónen la interfaz web y haga clic en Siguiente. Para la comunicación con la base de datos, indique laconfiguración.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombrede usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo.

6 Indique si desea o no utilizar la configuración del protocolo de tiempo de redes o NTP (Network TimeProtocol) en el dispositivo y, después, haga clic en Siguiente.

7 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

2 Introducción a McAfee ESMConexión de dispositivos McAfee ESM


Véase también Selección de un tipo de pantalla en la página 22Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Conexión de dispositivos a ESM en la página 21Sincronización de dispositivos con McAfee ESM en la página 22Organización de tipos de pantallas personalizadas en la página 23

Cambio de nombres de dispositivos, vínculos y descripcionesCuando se agrega un dispositivo al árbol de sistemas, asígnele un nombre que mostrar en el árbol. Puedecambiar el nombre del dispositivo, el nombre del sistema, la dirección URL y la descripción.


2 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono

Propiedades .

3 Haga clic en Nombre y descripción para cambiar el nombre, el nombre del sistema, la dirección URL y ladescripción, o para ver el número de ID de dispositivo.

Véase también Adición de dispositivos a la consola de ESM en la página 20Selección de un tipo de pantalla en la página 22Conexión de dispositivos a ESM en la página 21Sincronización de dispositivos con McAfee ESM en la página 22Organización de tipos de pantallas personalizadas en la página 23

Conexión de dispositivos a ESMCuando agregue dispositivos a ESM, también debe establecer la comunicación entre el dispositivo y ESM.

Antes de empezarSi aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivo secundario,asegúrese de que el puerto 443 esté abierto para poder reconectarse con el ESM.

Cambiar la configuración de la conexión solo afecta al modo con el que ESM se comunica con los dispositivos.

Introducción a McAfee ESMConexión de dispositivos McAfee ESM 2




Propiedades .

3 Haga clic en Conexión.

Opción Definición

Nombre/Dirección IP de destino Escriba la dirección IP o el nombre de host que ESM utiliza para comunicarsecon el dispositivo.

Puerto de destino El puerto utilizado para intentar la comunicación (el puerto predeterminadoes el 22).

Marcar este dispositivo comodesactivado

Detiene la comunicación SSH al ESM. El icono correspondiente a estedispositivo en el árbol de navegación del sistema indica que estádesactivado.

Estado Comprueba la conexión con ESM.

Véase también Adición de dispositivos a la consola de ESM en la página 20Selección de un tipo de pantalla en la página 22Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Sincronización de dispositivos con McAfee ESM en la página 22Organización de tipos de pantallas personalizadas en la página 23

Sincronización de dispositivos con McAfee ESMSi tiene que reemplazar McAfee ESM, sincronícelo para restaurar la configuración. Si no dispone de una copiade seguridad de la base de datos actualizada, también deberá sincronizar la configuración del origen de datos,el dispositivo virtual y el servidor de base de datos con McAfee ESM para que puedan reanudar la extracción deeventos.



3 Haga clic en Configuración de <etiqueta de dispositivo> | Sincronizar dispositivo.

4 Una vez completada la sincronización, haga clic en Aceptar.

Véase también Adición de dispositivos a la consola de ESM en la página 20Selección de un tipo de pantalla en la página 22Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Conexión de dispositivos a ESM en la página 21Organización de tipos de pantallas personalizadas en la página 23

Selección de un tipo de pantallaSeleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema.

Antes de empezarCree tipos de pantallas personalizadas.



Procedimiento1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización.

2 Seleccione uno de los tipos de pantalla.

La organización de los dispositivos en el árbol de navegación cambia para reflejar el tipo seleccionado para lasesión de trabajo en curso.

Véase también Adición de dispositivos a la consola de ESM en la página 20Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Conexión de dispositivos a ESM en la página 21Sincronización de dispositivos con McAfee ESM en la página 22Selección de un tipo de pantalla en la página 22Organización de tipos de pantallas personalizadas en la página 23

Organización de tipos de pantallas personalizadasEs posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos enagrupaciones lógicas.

Antes de empezarAsegúrese de que se ha creado un tipo de pantalla personalizada.


2 En el panel de navegación del sistema, haga clic en la lista desplegable de tipos de pantalla y seleccione lapantalla personalizada.

3 Seleccione la pantalla personalizada y realice alguna de las acciones siguientes:

• Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo .Rellene los campos y haga clic en Aceptar. Arrastre y suelte los dispositivos de la pantalla para agregarlosal grupo.

Si el dispositivo forma parte de un árbol de pantallas, el sistema creará un nodo de dispositivo duplicado.Podrá eliminar el duplicado en el árbol de sistemas.

• Para cambiar las propiedades, seleccione el grupo y haga clic en el icono Propiedades .

• Seleccione el grupo y haga clic en el icono Eliminar grupo . El sistema elimina el grupo y los dispositivosde la pantalla personalizada, pero no del sistema.

Véase también Adición de dispositivos a la consola de ESM en la página 20Selección de un tipo de pantalla en la página 22Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Conexión de dispositivos a ESM en la página 21Sincronización de dispositivos con McAfee ESM en la página 22

Introducción a McAfee ESMConexión de dispositivos McAfee ESM 2


Cómo otorgar a McAfee acceso al sistemaCuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero desoporte técnico para que vea su sistema.



3 Haga clic en Administración de ESM y seleccione la ficha Mantenimiento.

4 Haga clic en Conectar.

El botón cambia a Desconectar y el sistema muestra su dirección IP.

5 Informe de su dirección IP al servicio de soporte técnico.

El servicio de soporte técnico podría solicitar de información adicional, como la contraseña.

6 Haga clic en Desconectar para finalizar la conexión.



3 Configuración de McAfee ESM

Contenido Acerca de las claves de dispositivo Organización de los dispositivos Configuración de dispositivos McAfee ESM Configuración de servicios auxiliares de McAfee ESM Administración de la base de datos de McAfee ESM Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema Administración de McAfee ESM Funcionamiento de una lista negra global Enriquecimiento de datos

Acerca de las claves de dispositivoPara comunicarse con un dispositivo, ESM cifra las comunicaciones mediante la clave creada al aplicar la clave adicho dispositivo.

Todos los ajustes se almacenan en el ESM, lo que significa que la consola de ESM reconoce las clavesmantenidas en el ESM .

Los administradores de dispositivos pueden sobrescribir los ajustes del dispositivo desde otro ESM. Use unúnico ESM para administrar los dispositivos conectados a él. Un ESM distribuido (DESM) puede gestionar larecopilación de datos desde dispositivos conectados a otro ESM.

Véase también Administración de claves SSH en la página 26Aplicación de la clave a un dispositivo en la página 25

Aplicación de la clave a un dispositivoTras agregar un dispositivo al ESM, aplíquele una clave para permitir la comunicación. Aplicar una clave deldispositivo mejora la seguridad al garantizar que el dispositivo se comunica con el ESM.

Antes de empezarSi aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivo secundario,asegúrese de que el puerto 443 esté abierto para volver a conectar con el ESM.

Los caracteres siguientes no se pueden usar en el nombre de un dispositivo: ! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < > , / ?` ~ + = \ |

3


Procedimiento

1 Desde el panel, haga clic en y seleccione Configuración.


Propiedades .

3 Haga clic en Administración de ESM y seleccione la ficha Administración de claves.

Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el Asistente paraaplicar clave a dispositivo.

4 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.

5 Haga clic en Finalizar.

Véase también Acerca de las claves de dispositivo en la página 25Administración de claves SSH en la página 26

Administración de claves SSHVea o elimine las claves de los dispositivos compatibles con SSH que se comunican con McAfee ESM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades .

2 Haga clic en Administración de claves y, a continuación, en Administrar claves SSH.

a Claves autorizadas muestra los dispositivos compatibles con SSH para comunicarse con McAfee ESM.

b Hosts conocidos muestra los dispositivos compatibles con SSH que se han comunicado con McAfee ESM.Vea la dirección IP, el nombre de dispositivo y la huella digital ya introducidos de acuerdo con los datosdel host disponibles en el archivo de hosts conocidos (root/.ssh/known_hosts).

c Huella digital del dispositivo muestra la huella digital de McAfee ESM, generada a partir del dispositivo declave pública de SSH.

3 Para detener la comunicación con un dispositivo, resalte su ID, haga clic en Eliminar y seleccione Aceptar paraconfirmar la eliminación.

Véase también Acerca de las claves de dispositivo en la página 25Aplicación de la clave a un dispositivo en la página 25

Organización de los dispositivosEl árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Puede seleccionar la formacon la que desea que se muestren.

A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera lógica parapoder encontrarlos si los necesita. Por ejemplo, si tiene oficinas en varias ubicaciones, puede mostrarlos porzonas.

Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. En de cada pantallapersonalizada, puede agregar grupos para organizar más los dispositivos.

3 Configuración de McAfee ESMOrganización de los dispositivos


Véase también Visualización de información de dispositivo en la página 27Administración de varios dispositivos en la página 34Funcionamiento de los dispositivos virtuales en la página 35

Visualización de información de dispositivoUtilice esta información cuando necesite conocer las características del dispositivo. Por ejemplo, el soportetécnico puede solicitar esta información para solucionar problemas.


2 En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos .

La información de los dispositivos se sincroniza con McAfee ESM.


Propiedades .

Opción Definición

ID de equipo Número de identificación del dispositivo. Para reactivar su sistema, el Soporte deMcAfee usará este número para enviarle el archivo correcto.

Número de serie Número de serie del dispositivo.

Modelo Número de modelo del dispositivo.

Versión Versión de software que se ejecuta en ese momento en el dispositivo.

Compilación Número de compilación de la versión del software.

Reloj (GMT) Fecha y hora en que se abrió o actualizó el dispositivo por última vez.

Sincronizar reloj deldispositivo

Sincroniza el reloj de este dispositivo con el reloj de McAfee ESM.

Zona Zona a la que se ha asignado el dispositivo, si esta asignación se ha realizado. Sihace clic en Zona, se abre el Administrador de directivas de zona.

Directiva Estado actual de la directiva en el dispositivo. Si hace clic en Directiva, se abre elEditor de directivas.

Estado El estado de los procesos del dispositivo, así como el estado de FIPS tras laejecución de una prueba automática de FIPS (si el dispositivo se ejecuta en el modoFIPS).

Configuración de McAfee ESMOrganización de los dispositivos 3


Procedimientos• Administración de URL para dispositivos en la página 28

Puede configurar que se abra una dirección URL desde vínculos en las vistas Análisis de eventos yAnálisis de flujos de un dispositivo.

• Visualización de estadísticas de dispositivo en la página 29Vea la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.

• Visualización de informes de resumen de dispositivos en la página 30Vea informes de resumen de dispositivo para comprobar los tipos y el número de dispositivos enMcAfee ESM, y cuándo cada dispositivo recibe eventos. Puede exportar los informas con formatode valores separados por comas (CSV).

• Visualización de registros de sistema o dispositivo en la página 30Los registros de sistema y de dispositivo rastrean eventos en los dispositivos. Consulte los registrospara ver una lista detallada de los eventos por dispositivo o para McAfee ESM.

• Informes de estado de mantenimiento de los dispositivos en la página 31Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco

(informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos desistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, lapágina Alertas de estado de dispositivo proporciona distintas opciones para ver la información ysolucionar cualquier problema.

• Visualización de registros de mensajes y estadísticas del dispositivo en la página 34Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento deldispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.

Véase también Organización de los dispositivos en la página 26Administración de URL para dispositivos en la página 28Visualización de estadísticas de dispositivo en la página 29Visualización de informes de resumen de dispositivos en la página 30Visualización de registros de sistema o dispositivo en la página 30Informes de estado de mantenimiento de los dispositivos en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 34Administración de varios dispositivos en la página 34Funcionamiento de los dispositivos virtuales en la página 35

Administración de URL para dispositivosPuede configurar que se abra una dirección URL desde vínculos en las vistas Análisis de eventos y Análisis de flujosde un dispositivo.

Antes de empezarAsegúrese de que la dirección URL funciona correctamente.

Procedimiento



3 Haga clic en Configuración personalizada | Vínculos de dispositivo.

4 En la página Vínculos de dispositivo predeterminados, seleccione el dispositivo y haga clic en Editar.

5 Introduzca una dirección URL (512 caracteres como máximo).



6 Si la dirección URL incluye la dirección de una aplicación de terceros y necesita anexar las variables a ladirección URL, haga clic donde desee insertar la variable y, a continuación, haga clic en el icono de lavariable y seleccione la variable.

7 Para acceder a la página de información, haga clic en el icono Ejecutar URL de dispositivo en la parte inferiorde las vistas Análisis de eventos y Análisis de flujos de un dispositivo.

Véase también Visualización de información de dispositivo en la página 27Visualización de estadísticas de dispositivo en la página 29Visualización de informes de resumen de dispositivos en la página 30Visualización de registros de sistema o dispositivo en la página 30Informes de estado de mantenimiento de los dispositivos en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 34

Visualización de estadísticas de dispositivoVea la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.

Antes de empezarVerifique que dispone del permiso Administración de dispositivo.



Propiedades .

3 Haga clic en la opción Administración de <dispositivo> y, a continuación, en Ver estadísticas.

Opción Definición

Intervalo de fechas Seleccione el periodo cuyas estadísticas desee ver.

Métricas Seleccione los tipos de métricas que desee ver.

Actualizar Rellena el gráfico y la tabla con las estadísticas correspondientes a las métricasseleccionadas.

Gráfico Muestra las estadísticas seleccionadas en forma de gráfico.

Tabla Muestra las estadísticas seleccionadas en forma de tabla.

Columna Grupo Indica el tipo del grupo de métricas.

Columna Métrica Indica las métricas, que son subcategorías del grupo de métricas.

Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puede seleccionarlas métricas o anular su selección para que los cambios se reflejen en el gráfico.

Columna Escala Indica la escala de la métrica correspondiente.

Columna Color Indica el color de la línea del gráfico que representa cada métrica.

Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez minutos. Paramostrar los datos, se necesitan un mínimo de 30 minutos de datos. Cada tipo de métrica contiene variasmétricas, algunas de las cuales están activadas de forma predeterminada.



Véase también Visualización de información de dispositivo en la página 27Administración de URL para dispositivos en la página 28Visualización de informes de resumen de dispositivos en la página 30Visualización de registros de sistema o dispositivo en la página 30Informes de estado de mantenimiento de los dispositivos en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 34

Visualización de informes de resumen de dispositivosVea informes de resumen de dispositivo para comprobar los tipos y el número de dispositivos en McAfee ESM,y cuándo cada dispositivo recibe eventos. Puede exportar los informas con formato de valores separados porcomas (CSV).



3 Seleccione Información del sistema y haga clic en Ver informes.

4 Para ver o exportar una lista de dispositivos, seleccione la ficha Recuento de tipos de dispositivos o el informeHora de evento.

5 Para comparar la hora del día en los relojes de dispositivos, seleccione la ficha Hora de evento.

Véase también Visualización de información de dispositivo en la página 27Visualización de estadísticas de dispositivo en la página 29Administración de URL para dispositivos en la página 28Visualización de registros de sistema o dispositivo en la página 30Informes de estado de mantenimiento de los dispositivos en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 34

Visualización de registros de sistema o dispositivoLos registros de sistema y de dispositivo rastrean eventos en los dispositivos. Consulte los registros para veruna lista detallada de los eventos por dispositivo o para McAfee ESM.


2 Vea los registros de sistema.

a En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

b En Propiedades del sistema, haga clic en Registro del sistema.

c Establezca un intervalo de tiempo, seleccione si desea incluir particiones archivadas y haga clic en Ver.

En la página Registro del sistema puede ajustar sus selecciones de datos o exportar los datos a un archivode texto sin formato.



3 Vea los registros de dispositivo.

a En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono

Propiedades .

b Haga clic en Registro de dispositivo.

c Establezca un intervalo de tiempo, seleccione si desea incluir particiones archivadas y haga clic en Ver.

En la página Registro de dispositivo puede ajustar sus selecciones de datos o exportar los datos a unarchivo de texto sin formato.

Véase también Visualización de información de dispositivo en la página 27Visualización de estadísticas de dispositivo en la página 29Visualización de informes de resumen de dispositivos en la página 30Administración de URL para dispositivos en la página 28Informes de estado de mantenimiento de los dispositivos en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 34

Informes de estado de mantenimiento de los dispositivosCuando hay disponible un informe de estado, aparecen marcas de estado de color blanco (informativo),

amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos de sistema, grupo o dispositivo



en el árbol de navegación del sistema. Al hacer clic en la marca, la página Alertas de estado de dispositivoproporciona distintas opciones para ver la información y solucionar cualquier problema.

Una marcaen este tipode nodo...

Abre...

Sistema ogrupo

La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de estadocorrespondientes a los dispositivos asociados con el sistema o el grupo. Puede mostrar lassiguientes alertas de estado.• Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto podría

incluir el disco duro del ESM, el ESM redundante o el punto de montaje remoto.

• Crítico: el dispositivo no funciona bien.

• Advertencia: hay algo en el dispositivo que no funciona de forma adecuada.

• Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado.

• Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de base dedatos del ESM no está sincronizada con el dispositivo.

• Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que se hareiniciado. Esto significa que los registros nuevos están sobrescribiendo los antiguos.

• Inactivo: el dispositivo no ha generado eventos o flujos en el período de tiempo fijado comoumbral de inactividad.

• Desconocido: el ESM no ha podido conectar con el dispositivo.

Las marcas Espacio de unidad, Reiniciada e Informativo se pueden borrar si se marcan las casillas deverificación situadas junto a los indicadores y se hace clic en Borrar selección o Borrar todo.

Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a las ubicacionesdonde se deben resolver los problemas. Podría incluir los siguientes botones.• Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo muestran un

resumen de todas las acciones que han tenido lugar en el sistema o el dispositivo.

• Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de basede datos: indica los dispositivos de este tipo que hay en el sistema, lo cual permitecomprobar la existencia de problemas.

• Inactivo: la página Umbral de inactividad muestra la configuración de umbral para todos losdispositivos. Esta marca indica que el dispositivo no ha generado ningún evento en elintervalo de tiempo especificado.

Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia ocrítico. A continuación se ofrece una descripción de cada tipo de indicador informativo.

Estado Descripción e instrucciones

Modo de omisión La interfaz de red (NIC) está en el modo de omisión. Entre las causasposibles están el fallo de un proceso de sistema crítico, el establecimientomanual del dispositivo en el modo de omisión o un fallo de otro tipo. Sidesea sacar el dispositivo del modo de omisión, acceda en el dispositivo aPropiedades | Configuración | Interfaces.

No se está ejecutando lainspección profunda depaquetes (DPI)

Se ha producido un fallo de inspección profunda de paquetes (DPI). Podríarecuperarse sin necesidad de intervención. Si no es así, reinicie eldispositivo.

El programa de alerta defirewall (ngulogd) no se estáejecutando

Se ha producido un fallo de funcionamiento del agregador de alertas defirewall (FAA). Podría recuperarse sin necesidad de intervención. Si no es así,reinicie el dispositivo.



Estado Descripción e instrucciones

La base de datos no se estáejecutando

Se ha producido un fallo de funcionamiento en el servidor de McAfeeExtreme Database (EDB). Puede que el problema se resuelva reiniciando eldispositivo, pero cabe la posibilidad de que la base de datos necesitereconstrucción.

El canal de control no funciona El proceso que proporciona el canal de comunicación con el ESM ha fallado.El problema se podría solucionar reiniciando el dispositivo.

Los programas RDEP o Syslogno se están ejecutando

Si existe un fallo de funcionamiento en el subsistema que gestiona losorígenes de datos de terceros (como Syslog o SNMP), se genera una alertacrítica. Se genera una alerta de nivel de advertencia si el recopilador no harecibido datos del origen de datos de tercero durante una cantidad detiempo concreta. Esto indica que el origen de datos podría no estarfuncionando o no estar enviando datos al receptor como se esperaba.

El registrador del sistema no seestá ejecutando

El registrador del sistema no responde. El problema se podría solucionar conel reinicio del dispositivo.

Queda poco espacio libre en lapartición del disco duro

La cantidad de espacio libre es crítica.

Alerta de velocidad deventilador

El ventilador gira muy lentamente o no se mueve en absoluto. Hasta que sepueda reemplazar el ventilador, mantenga el dispositivo en una sala con aireacondicionado a fin de evitar daños.

Alerta de temperatura La temperatura de los componentes críticos supera un cierto umbral.Mantenga el dispositivo en una habitación con aire acondicionado paraevitar daños permanentes. Compruebe si hay algo bloqueando el flujo deaire en el dispositivo.

Errores de red Existen errores en la red o un exceso de colisiones en ella. La causa podríaser un dominio con mucha colisión o fallos en los cables de red.

Problema en un punto demontaje remoto

Existe un problema en un punto de montaje remoto.

Poco espacio de disco libre enpunto de montaje remoto

Queda poco espacio libre en el disco del punto de montaje remoto.

Todos los recopiladores deorigen de datos que no hanrecibido comunicación de unorigen de datos durante almenos diez minutos

El receptor no ha recibido comunicación alguna de un origen de datosdurante un mínimo de diez minutos.

El recopilador de orígenes dedatos no funciona

Existe un fallo de funcionamiento en el subsistema que controla los orígenesde datos de terceros (como Syslog o SNMP). El recopilador no ha recibidoningún dato del origen de datos de terceros en una cantidad de tiempoconcreta. Puede que el origen de datos no esté funcionando o no estéenviando datos al receptor como se esperaba.

El monitor de estado no puedeobtener un estado válido de unsubsistema

El monitor de estado no ha podido obtener un estado válido para unsubsistema.

Recuperación de un subsistemade un estado de advertencia ocrítico

Cuando se inicia y se detiene el monitor de estado, se genera una alertainformativa. Si el monitor de estado tiene problemas de comunicación conotros subsistemas del dispositivo, también se genera una alerta. Es posibleque el registro de eventos proporcione detalles sobre las causas de lasalertas de advertencia y críticas.



Véase también Visualización de información de dispositivo en la página 27Visualización de estadísticas de dispositivo en la página 29Visualización de informes de resumen de dispositivos en la página 30Visualización de registros de sistema o dispositivo en la página 30Administración de URL para dispositivos en la página 28Visualización de registros de mensajes y estadísticas del dispositivo en la página 34

Visualización de registros de mensajes y estadísticas del dispositivoEs posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del dispositivo odescargar un archivo .tgz con información de estado sobre el dispositivo.

Procedimiento



Propiedades .

3 Haga clic en Administración de <dispositivo>.

4 Seleccione una opción.

• Haga clic en Ver registro para ver los mensajes del sistema y seleccione Descargar todo el archivo paradescargar los datos.

• Haga clic en Ver estadísticas para ver estadísticas de rendimiento del dispositivo, como la interfaz Ethernet,ifconfig y el filtro iptables.

• Haga clic en Datos de dispositivo para descargar un archivo .tgz que contiene datos de estado deldispositivo.

Véase también Visualización de información de dispositivo en la página 27Visualización de estadísticas de dispositivo en la página 29Visualización de informes de resumen de dispositivos en la página 30Visualización de registros de sistema o dispositivo en la página 30Informes de estado de mantenimiento de los dispositivos en la página 31Administración de URL para dispositivos en la página 28

Administración de varios dispositivosInicie, detenga y reinicie, o actualice el software de varios dispositivos al mismo tiempo.

Procedimiento


2 En el árbol de navegación del sistema, utilice Ctrl + clic y Mayús + clic para seleccionar los dispositivos quedesee administrar.

3 Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones.

4 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla, y haga clic en Iniciar.



Procedimientos• Eliminación de nodos de dispositivos duplicados en la página 37

Pueden aparecer nodos de dispositivos duplicados en el árbol de navegación del sistema. Paraevitar confusiones, elimine los nodos de dispositivos duplicados.

Véase también Organización de los dispositivos en la página 26Visualización de información de dispositivo en la página 27Funcionamiento de los dispositivos virtuales en la página 35

Funcionamiento de los dispositivos virtualesUse dispositivos virtuales para supervisar tráfico, comparar los patrones de tráfico y generar informes.

Finalidad y ventajasUse dispositivos virtuales para:

• Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, configure dispositivos virtuales paraexaminar puertos con tráfico web y establezca directivas que le permitan activar o desactivar distintasreglas.

• Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.

• Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible disponer dedirectivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de acuerdo con directivasdistintas.

El número de dispositivos virtuales que puede agregar a un McAfee®

Application Data Monitor varía según elmodelo.

Cómo usa McAfee ESM reglas de selecciónMcAfee ESM usa reglas de selección como filtros para determinar qué paquetes procesará un dispositivovirtual.

Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtradodefinidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una únicaregla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en cuestión. De locontrario, pasa al siguiente dispositivo virtual en orden. A continuación, el propio McAfee Application DataMonitor lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de losdispositivos virtuales.

Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:

• El sistema ordena todos los paquetes para una conexión única en función únicamente del primer paqueteen la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercerdispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercerdispositivo virtual. Esto ocurre aunque los paquetes coincidan con un dispositivo virtual situado antes en lalista.

• El sistema dirige paquetes no válidos (un paquete que no establece conexión ni forma parte de unaconexión establecida) al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo virtual quebusca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido con el puerto 80, elsistema lo dirige al dispositivo de base en lugar de al dispositivo virtual que busca el tráfico del puerto 80.Por tanto, hay eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo virtual.

El orden en el que el sistema muestra las reglas de selección es importante ya que, la primera vez que unpaquete coincide con una regla, el sistema dirige el paquete automáticamente al dispositivo virtual en cuestiónpara su procesamiento. Por ejemplo, supongamos que se agregan cuatro reglas de selección y la que está en



cuarto lugar es el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar losdemás filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar laeficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.

Orden de los dispositivos virtuales

El sistema compara los paquetes que llegan al McAfee Application Data Monitor con las reglas de selección decada dispositivo virtual en el orden en el que estén configurados los dispositivos virtuales. Por lo tanto, el ordenen el que el sistema comprueba los dispositivos virtuales es importante. El paquete solamente llega a las reglasde selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de selección del primero.

Dispositivos virtuales McAfee Application Data Monitor

Los dispositivos virtuales McAfee Application Data Monitor supervisan el tráfico de una interfaz. Pueden existirhasta cuatro filtros de interfaz de McAfee Application Data Monitor en el sistema. Cada filtro solo puedeaplicarse a un dispositivo virtual McAfee Application Data Monitor de forma simultánea. Si se asigna un filtro aun dispositivo virtual McAfee Application Data Monitor, no aparece en la lista de filtros disponibles hasta que seelimina de ese dispositivo.

Véase también Organización de los dispositivos en la página 26Administración de varios dispositivos en la página 34Visualización de información de dispositivo en la página 27

Administración de reglas de selección de ADMEl sistema usa reglas de selección como filtros para determinar qué paquetes procesará un dispositivo virtual.Puede agregar, editar y eliminar reglas de selección.

Coloque reglas que coincidan con la mayoría de los paquetes en los primeros lugares del orden. Esto reduce elnúmero medio de veces que un paquete se analiza y, por tanto, también reduce el uso de la CPU.



Propiedades .

3 Haga clic en Dispositivos virtuales y, a continuación, en Agregar.

4 Agregue, edite o elimine las reglas de selección de la tabla, o cambie su orden.

Pueden existir hasta cuatro filtros de interfaz de McAfee Application Data Monitor. Cada uno de los filtrossolo se puede aplicar a un dispositivo virtual McAfee Application Data Monitor de forma simultánea.

Adición de dispositivos virtualesPuede agregar dispositivos virtuales a sus dispositivos McAfee Application Data Monitor y configurar reglas quedeterminan los paquetes que cada dispositivo virtual debe procesar.

Antes de empezarCompruebe que sus dispositivos McAfee Application Data Monitor admitan dispositivos virtuales.



Procedimiento1 En el árbol de navegación del sistema, seleccione un dispositivo McAfee Application Data Monitor y haga clic

en el icono Propiedades .

2 Haga clic en Dispositivos virtuales | Agregar.

3 Introduzca la información solicitada y haga clic en Aceptar:• Asigne un nombre al dispositivo virtual e introduzca la dirección URL para ver la información de este

dispositivo virtual, si lo ha configurado. Haga clic en el icono Variables si necesita agregar una variablea la dirección.

• Active el dispositivo.

• Si hay un ELM en su sistema y desea registrar los datos recibidos por este dispositivo virtual en el ELM,seleccione el grupo de almacenamiento.

• Si existen zonas, seleccione la zona de este dispositivo.

• Defina y determine el orden de las reglas de selección para el dispositivo.

4 Haga clic en Escribir para agregar la configuración al dispositivo.

Eliminación de nodos de dispositivos duplicadosPueden aparecer nodos de dispositivos duplicados en el árbol de navegación del sistema. Para evitarconfusiones, elimine los nodos de dispositivos duplicados.


2 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de visualización.

3 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.

4 Anule la selección de uno de los dispositivos duplicados y haga clic en Aceptar.

Configuración del control de tráfico de la redDefina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío detráfico saliente para cada dispositivo ESM.

Limitar el tráfico puede provocar fuga de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .

2 Haga clic en Configuración de red y, a continuación, en la ficha Tráfico.

3 Para agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de red,establezca la tasa en kilobits (kb), megabits (Mb) o gigabits (Gb), seleccione la tasa por segundo para el envíode tráfico, y haga clic en Aceptar.

Si establece la máscara como cero (0), se controlan todos los datos enviados.

4 Haga clic en Aplicar.



Configuración de notificaciones SNMPPara configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturas sedeben enviar, así como sus destinos.

Si configura SNMP en un receptor de disponibilidad alta, las capturas del receptor principal tendrán su origen enla dirección IP compartida. Por tanto, cuando configure los puertos de escucha, establezca uno para la direcciónIP compartida.



3 Haga clic en Configuración de SNMP.

4 Seleccione la ficha Solicitudes SNMP y realice la configuración.

Tabla 3-1 Definiciones de las opciones

Opción Definición

Solicitudes SNMP Puerto de solicitud

Aceptar Define las solicitudes que se aceptarán.

Permitir SNMPv1 Permite el tráfico SNMP de la versión 1 y la versión 2. Deberá establecer la cadenade comunidad.

Permitir SNMPv3 Permite el tráfico SNMP de la versión 3. Deberá seleccionar el nivel de seguridad,el protocolo de autenticación y el protocolo de privacidad.

Direcciones IP deconfianza

Muestra las direcciones IP que el dispositivo permite o considera de confianza. Esposible agregar direcciones nuevas y editar o eliminar las existentes. La direcciónIP puede incluir una máscara.

Debe existir una dirección IP de confianza.

Ver MIB Permite ver la MIB (Management Information Base, base de datos de informaciónde administración) de McAfee, la cual define los identificadores de objeto (OID) decada objeto o característica de interés.

5 Seleccione la ficha Capturas SNMP y realice la configuración.

Opción Definición

Puerto de captura Establece el puerto por el que debe pasar el tráfico de captura en frío/caliente, asícomo el tráfico de lista negra y de vínculo activo/inactivo.

Capturas de vínculoactivo/inactivo

Envía capturas de vínculo activo/inactivo. Si selecciona esta función y emplea variasinterfaces, se le notificará cuando una interfaz deje de funcionar, así como cuandovuelva a estar activa.

El tráfico de captura en frío/en caliente se permite de forma automática. Se generauna captura de inicio en frío cuando se producen un cierre o un restablecimientocompletos. Se genera una captura de inicio en caliente cuando se reinicia el sistema.

Capturas de base dedatos activa/inactiva

Envía una captura SNMP cuando la base de datos (cpservice, IPSDBServer) se active ose desactive.

Captura de error deregistro de seguridad

Envía una captura SNMP cuando no se escriba un registro en la tabla de registros.

Destinos Establece los nombres de perfil de los sistemas a los que desee enviar lasnotificaciones. La tabla muestra todos los perfiles de captura SNMP disponibles en elsistema. Puede modificar esta lista haciendo clic en Editar perfiles.



Configuración de la comunicación con ELMSi desea enviar datos desde este dispositivo al ELM, deberá identificar la dirección IP de ELM y sincronizar eldispositivo con el ELM.



Propiedades .

3 Asigne una dirección IP o sincronice los dispositivos.

• Haga clic en Configuración de <dispositivo>, seleccione IP de ELM e introduzca una dirección IP nueva.

• Si el dispositivo o el ELM se ha reemplazado, haga clic en Sincronizar dispositivo. Sincronizar el ELMrestablece la comunicación SSH entre ambos dispositivos por medio de la clave del nuevo dispositivo y laconfiguración anterior.

Configuración del grupo de registro predeterminadoConfigure dispositivos para enviar sus datos de eventos al ELM configurando grupos de registropredeterminados.

Los dispositivos no envían eventos al ELM hasta que termina su periodo de tiempo de agregación.



3 Haga clic en Configuración | Registro.

Opción Definición

Configuración de registro Seleccione Registro para activarlo.

Registro Haga clic para acceder a Opciones de registro de ELM.

Página Opciones de registro deELM

Seleccione el grupo de almacenamiento donde se registrarán los datos enel ELM.

Asociación dispositivo - ELM Si no ha seleccionado el ELM donde desea registro los datos, confirme quedesea hacerlo.

Una vez realizada esta asociación, no se puede cambiar.

Página Seleccionar ELM pararegistro

Si dispone de más de un ELM en el sistema, seleccione en cuál desearegistrar los datos.

Página Seleccionar dirección IPde ELM

Seleccione la dirección IP que desee usar para la comunicación deldispositivo con el ELM.

No hay grupos de ELM Si no dispone de grupos de almacenamiento de ELM, vaya a Propiedades deELM | Grupos de almacenamiento para agregarlos.



Inicio, detención, reinicio o actualización de un dispositivoEstas acciones pueden resultar útiles durante tareas de mantenimiento o de solución de problemas.



Propiedades .

3 Seleccione Información de <dispositivo>.

4 Haga clic en Iniciar, Detener, Reiniciar o Actualizar.

Organización de tipos de pantallas personalizadasEs posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos enagrupaciones lógicas.

Antes de empezarAsegúrese de que se ha creado un tipo de pantalla personalizada.


2 En el panel de navegación del sistema, haga clic en la lista desplegable de tipos de pantalla y seleccione lapantalla personalizada.

3 Seleccione la pantalla personalizada y realice alguna de las acciones siguientes:

• Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo .Rellene los campos y haga clic en Aceptar. Arrastre y suelte los dispositivos de la pantalla para agregarlosal grupo.

Si el dispositivo forma parte de un árbol de pantallas, el sistema creará un nodo de dispositivo duplicado.Podrá eliminar el duplicado en el árbol de sistemas.

• Para cambiar las propiedades, seleccione el grupo y haga clic en el icono Propiedades .

• Seleccione el grupo y haga clic en el icono Eliminar grupo . El sistema elimina el grupo y los dispositivosde la pantalla personalizada, pero no del sistema.

Véase también Adición de dispositivos a la consola de ESM en la página 20Selección de un tipo de pantalla en la página 22Cambio de nombres de dispositivos, vínculos y descripciones en la página 21Conexión de dispositivos a ESM en la página 21Sincronización de dispositivos con McAfee ESM en la página 22



Cómo otorgar a McAfee acceso al sistemaCuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero desoporte técnico para que vea su sistema.



3 Haga clic en Administración de ESM y seleccione la ficha Mantenimiento.

4 Haga clic en Conectar.

El botón cambia a Desconectar y el sistema muestra su dirección IP.

5 Informe de su dirección IP al servicio de soporte técnico.

El servicio de soporte técnico podría solicitar de información adicional, como la contraseña.

6 Haga clic en Desconectar para finalizar la conexión.

Configuración de dispositivos McAfee ESM

Contenido McAfee Event Receiver McAfee Enterprise Log Search (ELS) McAfee Enterprise Log Manager (ELM) McAfee Advanced Correlation Engine (ACE) McAfee Application Data Monitor McAfee Database Event Monitor (DEM) ESM distribuido (DESM) ePolicy Orchestrator McAfee Vulnerability Manager McAfee Network Security Manager Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno

McAfee Event ReceiverMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red medianteorígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow,etc.

McAfee Event Receiver recopila y normaliza datos de evento y flujo en una única solución fácil de administrar, locual proporciona una vista única de varios proveedores.

Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como copia deseguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor principal (A), y loscambios de configuración o de información de directiva se envían a ambos dispositivos. Cuando el receptor Bdetermina que el receptor A ha fallado, desconecta el NIC del origen de datos del receptor A de la red y seconvierte en el nuevo dispositivo principal. Este receptor seguirá actuando como principal hasta que el usuariointervenga manualmente a fin de restaurar el receptor A como principal.

Configuración de McAfee ESMConfiguración de dispositivos McAfee ESM 3


Véase también Visualización de eventos de transmisión en la página 42Receptores de disponibilidad alta en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Orígenes de datos de receptor en la página 52Adición de orígenes de activos de receptor en la página 81

Visualización de eventos de transmisiónVea un flujo de los eventos generados por McAfee ePO, McAfee

®

Network Security Manager, el receptor, elorigen de datos, el origen de datos secundario o el cliente seleccionado. Puede filtrar la lista y seleccionar unevento para mostrarlo en una vista.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic en el

icono Ver eventos de transmisión en la barra de herramientas de acciones.

2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.

3 Seleccione cualquiera de las acciones disponibles en el visor.

4 Haga clic en Cerrar.

Véase también McAfee Event Receiver en la página 41Receptores de disponibilidad alta en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Orígenes de datos de receptor en la página 52Adición de orígenes de activos de receptor en la página 81

Receptores de disponibilidad altaLos receptores de disponibilidad alta se emplean en los modos principal y secundario para que el dispositivosecundario pueda asumir funciones en caso de fallo del principal, lo cual proporciona una mejor recopilaciónde datos en comparación con un único receptor.

Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los receptores de disponibilidadalta no son conformes a FIPS .

La configuración de un receptor de disponibilidad alta requiere dos receptores: uno que actúa como el principalo preferente principal, y el otro como secundario para supervisar el principal de forma continua. Cuando elsecundario determina que el principal ha fallado, lo detiene y asume su función.

Para eliminar la posibilidad de que las NIC de ambos dispositivos empleen las direcciones IP y MACcompartidas a la vez, las tarjetas IPMI apagan el receptor con el fallo. Las tarjetas IPMI se conectan mediante uncable cruzado o directo al otro receptor. Los receptores se conectan mediante un cable cruzado o directo a laNIC de latido. Existe una NIC de administración para la comunicación con el ESM, así como una NIC de origende datos para recopilar datos.

3 Configuración de McAfee ESMConfiguración de dispositivos McAfee ESM


Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre losiguiente:

• Los receptores se comunican constantemente a través de la NIC de latido y la NIC de administracióndedicadas.

• Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.

• Todos los orígenes de datos utilizan la NIC de origen de datos.

• Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado internos comoerrores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.

• McAfee ESM se comunica con los receptores periódicamente para determinar su estado.

• La información de configuración nueva se envía a los dos receptores, el principal y el secundario.

• Asimismo, McAfee ESM envía la directiva a los receptores principal y secundario.

• Las funciones Detener/Reiniciar/Call Home se aplican a cada receptor por separado.

Fallo del receptor principal

El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe determinar el fallode forma rápida y precisa para minimizar la fuga de datos. Si se produce la conmutación en caso de error, sepierden todos los datos desde el último envío de datos del dispositivo principal a McAfee ESM y ELM. Lacantidad de datos perdidos depende del rendimiento del receptor y la tasa con la que McAfee ESM extrae datosdel receptor. Estos procesos rivales se deben equilibrar cuidadosamente para optimizar la disponibilidad de losdatos.

Cuando el receptor principal falla completamente (por ejemplo, en caso de corte del suministro dealimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync reconoce lapérdida de comunicación y marca el receptor principal como fallido. En el receptor secundario, Pacemakersolicita que la tarjeta IPMI del receptor principal apague el receptor principal. El receptor secundario asumeentonces las direcciones IP y MAC compartidas, e inicia todos los recopiladores.

Fallo del receptor secundario

El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la comunicaciónde latido. Esto significa que el sistema no ha podido comunicarse con el receptor secundario tras intentarlodurante un tiempo mediante las interfaces de administración y latido.

Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario como fallidoy Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo.

Problema de estado del dispositivo principal

El estado del receptor principal puede exponerse a riesgos serios. Entre estos riesgos serios están una base dedatos que no responde, una interfaz de origen de datos que no responde y un número excesivo de errores dedisco.

Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones, pone fin alos procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La terminación de estosprocesos hace que las tareas de recopilación de datos se transfieran al receptor secundario.



Problema de estado del dispositivo secundario

Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente:

• El receptor secundario informa de los problemas de estado a McAfee ESM cuando recibe una consulta ypone fin a los procesos de Corosync y Pacemaker.

• Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja de estardisponible en caso de fallo del receptor principal.

• El problema de estado se analiza y se intenta repararlo.

• Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal mediante elprocedimiento Nueva puesta en servicio.

• Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido.

Nueva puesta en servicio

Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo dealimentación, reparación del hardware o reparación de la red), ocurre lo siguiente:

• Los receptores en modo de disponibilidad alta no empiezan a recopilar datos tras el inicio. Permanecen enmodo secundario hasta que se establecen como principal.

• El dispositivo principal preferido asume la función de principal y empieza a utilizar la dirección IP de origende datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el dispositivo que seconsidere principal empieza a utilizar el origen de datos compartido y a recopilar datos.

Ampliación de receptor de disponibilidad alta

El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente,empezando por el secundario. Ocurre de la siguiente forma:

1 El archivo de ampliación se carga en McAfee ESM y se aplica al receptor secundario.

2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio defunciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el principal y el queno se ha ampliado aún sea el secundario.

3 El archivo de ampliación se aplica al nuevo receptor secundario.

4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el procesoIntercambio de funciones de receptor de disponibilidad alta, de forma que los receptores asuman de nuevo susfunciones originales.

A la hora de realizar una ampliación, se recomienda no tener un receptor principal preferido.

Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, se recomiendacambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta, seleccione Ninguno en elcampo Dispositivo principal preferido. Esto permite utilizar la opción Conmutación en caso de error, la cual no estádisponible si se ha configurado un receptor principal preferido. Una vez ampliados ambos receptores, puedeaplicar la configuración de receptor principal preferido de nuevo.



Véase también Configuración de receptores de disponibilidad alta en la página 45Reinicialización de receptores secundarios de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Restablecimiento de dispositivos de disponibilidad alta en la página 47Cambio de funciones del receptor de disponibilidad alta en la página 47Sustitución de receptores con fallos en la página 48McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Adición de orígenes de activos de receptor en la página 81

Configuración de receptores de disponibilidad altaDefina la configuración de los receptores de disponibilidad alta. Agregue el receptor que actúa como eldispositivo principal. Debe disponer de tres o más NIC.

Antes de empezar

Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los receptores dedisponibilidad alta no son conformes a FIPS .

Procedimiento

1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo de disponibilidad alta

principal y haga clic en el icono Propiedades .

2 Haga clic en Configuración del receptor y, después, en Interfaz.

3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.

4 Rellene la información solicitada y, después, haga clic en Aceptar.

Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplicaglobals.conf y sincroniza ambos receptores.

Véase también Receptores de disponibilidad alta en la página 42Reinicialización de receptores secundarios de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Restablecimiento de dispositivos de disponibilidad alta en la página 47Cambio de funciones del receptor de disponibilidad alta en la página 47Sustitución de receptores con fallos en la página 48

Reinicialización de receptores secundarios de disponibilidad altaSi se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de volver ainstalarlo.

Procedimiento

1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta.

2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria.

3 Haga clic en Reinicializar secundario.



Véase también Receptores de disponibilidad alta en la página 42Configuración de receptores de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Restablecimiento de dispositivos de disponibilidad alta en la página 47Cambio de funciones del receptor de disponibilidad alta en la página 47Sustitución de receptores con fallos en la página 48

Configuración de receptores de disponibilidad alta con IPv6Configure la disponibilidad alta con IPv6 debido a que no se puede establecer la dirección IPv6 manualmentemediante la pantalla LCD.

Antes de empezar

• Asegúrese de que McAfee ESM utilice IPv6, ya sea de forma manual o automática (Propiedades delsistema | Configuración de red).

• Averigüe la dirección IP compartida, creada por el administrador de la red.

Procedimiento

1 En los dos receptores del par de disponibilidad alta:

a Encienda el receptor y active IPv6 mediante la pantalla LCD.

b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección IP deadministración. Esto podría tardar algún tiempo debido a la latencia de la red.

2 Agregue uno de estos receptores a McAfee ESM.

• Nombre: nombre del par de disponibilidad alta.

• Dirección IP o URL de destino: la dirección IPv6 de administración de este receptor de disponibilidad alta queanotó previamente.

3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga clic enPropiedades de receptor | Configuración del receptor | Interfaz.

4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).

5 Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en el campo IPv6 yhaga clic en Aceptar.

Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta. De locontrario, la disponibilidad alta no realizará correctamente una conmutación en caso de error.

6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/Dirección IPde destino y haga clic en Aceptar.

7 Continúe con el proceso de instalación de disponibilidad alta.

Véase también Receptores de disponibilidad alta en la página 42Configuración de receptores de disponibilidad alta en la página 45Reinicialización de receptores secundarios de disponibilidad alta en la página 45Restablecimiento de dispositivos de disponibilidad alta en la página 47Cambio de funciones del receptor de disponibilidad alta en la página 47Sustitución de receptores con fallos en la página 48



Restablecimiento de dispositivos de disponibilidad altaSi necesita restablecer receptores de disponibilidad alta al estado en el que se encontraban antes deconfigurarlos como tales, puede hacerlo en la consola de McAfee ESM o, si falla la comunicación con losreceptores, en el menú de la pantalla LCD.

• Siga uno de estos procedimientos:

• Restablezca un receptor en McAfee ESM

Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco minutos y devolverán lasdirecciones MAC a sus valores originales.

1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y, después, haga clic enConfiguración del receptor | Interfaz.

2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar.

3 Haga clic en Sí en la página de advertencia y, después, en Cerrar.

• Restablezca el receptor principal o secundario en el menú de la pantalla LCD

1 En el menú LCD del receptor, pulse X.

2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar disponibilidad alta).

3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary (Desactivar principal) en lapantalla LCD.

4 Para restablecer el receptor principal, pulse la marca de verificación.

5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una vez y, después, la marca deverificación.

Véase también Receptores de disponibilidad alta en la página 42Configuración de receptores de disponibilidad alta en la página 45Reinicialización de receptores secundarios de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Sustitución de receptores con fallos en la página 48Cambio de funciones del receptor de disponibilidad alta en la página 47

Cambio de funciones del receptor de disponibilidad altaEste proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los receptoresprincipal y secundario.

Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para devolverlo alfabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la cantidad de datosperdidos.

Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor dedisponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá comunicar con elreceptor de disponibilidad alta hasta que los conmutadores situados entre ambos asocien la nueva direcciónMAC del receptor que ha fallado con la dirección IP compartida. Esto puede tardar desde unos minutos a variosdías, en función de la configuración de la red.



Procedimiento

1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en

el icono Propiedades .

2 Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente:

• McAfee ESM indica al receptor secundario que empiece a usar la dirección IP de origen de datoscompartida y a recopilar datos.

• El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de intercambiar lasdirecciones IP y MAC compartidas, además de iniciar los recopiladores.

• McAfee ESM extrae todos los datos de alertas y flujos del receptor principal.

• McAfee ESM selecciona el receptor secundario como el principal y el receptor principal como elsecundario.

Véase también Receptores de disponibilidad alta en la página 42Configuración de receptores de disponibilidad alta en la página 45Reinicialización de receptores secundarios de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Sustitución de receptores con fallos en la página 48Restablecimiento de dispositivos de disponibilidad alta en la página 47

Sustitución de receptores con fallosSi un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesariosustituirlo. Cuando reciba el nuevo receptor, instálelo. Una vez que estén definidas las direcciones IP y loscables conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de receptor para el receptor de disponibilidadalta y haga clic en Configuración del receptor | Interfaz.

2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar altadisponibilidad.

3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.

4 Si un receptor de disponibilidad alta deja de funcionar por cualquier motivo, fallará la escritura de orígenesde datos, opciones de configuración global, opciones de configuración de agregación, etc., y aparecerá unerror de SSH. La configuración se despliega en el receptor que siga funcionando, pero aparecerá un errordebido a que no se puede sincronizar con el receptor que no funciona. La directiva, sin embargo, no sedespliega. Siga uno de estos procedimientos:

• Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.

• Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos deinactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.

Véase también Receptores de disponibilidad alta en la página 42Configuración de receptores de disponibilidad alta en la página 45Reinicialización de receptores secundarios de disponibilidad alta en la página 45Configuración de receptores de disponibilidad alta con IPv6 en la página 46Restablecimiento de dispositivos de disponibilidad alta en la página 47Cambio de funciones del receptor de disponibilidad alta en la página 47



Configuración del archivado del receptorEs posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin procesar aldispositivo de almacenamiento para su almacenamiento a largo plazo.

Antes de empezarSe debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexiónde recurso compartido CIFS.

Se debe abrir el puerto 135 en el sistema con el recurso compartido SMB para activar una conexiónde SMB.

McAfee ESM admite los tipos siguientes de almacenamiento: Server Message Block/Common Internet FileSystem (SMB/CIFS), Network File System (NFS) y reenvío de syslog.

SMB/CIFS y NFS almacenan, en forma de archivos de datos, una copia de seguridad de todos los datos sinprocesar enviados al receptor desde orígenes de datos que emplean protocolos de correo electrónico, eStream,HTTP, SNMP, SQL, syslog y agente remoto. El sistema envía estos archivos de datos al archivado cada 5 minutos.El reenvío de syslog envía los datos sin procesar de protocolos de syslog como un flujo continuo de syslogscombinado hacia el dispositivo. El receptor puede reenviar solamente a un tipo de almacenamiento en cadaocasión. Se pueden configurar los tres tipos, pero solo puede activarse uno de ellos para el archivado de datos.

Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.



Propiedades .



3 Haga clic en Configuración del receptor | Archivado de datos.

4 Seleccione el tipo de recurso compartido e introduzca los datos de configuración de la conexión.

Tipo de recursocompartido

Opción Definición

SMB/CIFS Tipo de recursocompartido

Establece el tipo de recurso compartido como SMB o CIFS.

Dirección IP La dirección IP del recurso compartido.

Nombre de recursocompartido

La etiqueta aplicada al recurso compartido.

Ruta El subdirectorio del recurso compartido donde se debenalmacenar los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en eldirectorio raíz del recurso compartido, no se requiere la ruta deacceso.

Nombre de usuario ycontraseña

Las credenciales necesarias para conectarse al recursocompartido.

No utilice comas en la contraseña para conectarse con unrecurso compartido SMB/CIFS.

NFS Dirección IP La dirección IP del recurso compartido.

Punto de montaje Nombre del punto de montaje en el recurso compartido.

Ruta La ubicación en el recurso compartido donde debenalmacenarse los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en eldirectorio raíz del recurso compartido, no se requiere la ruta deacceso.

Reenvío de syslog Dirección La dirección IP del recurso compartido.

Puerto El puerto utilizado para archivar datos.

Véase también McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Receptores de disponibilidad alta en la página 42Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Orígenes de datos de receptor en la página 52Adición de orígenes de activos de receptor en la página 81

Visualización de los eventos de origen de los eventos de correlaciónEs posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos.

Antes de empezarCompruebe que existen orígenes de datos de correlación en McAfee ESM.



Procedimiento

1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.

2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos.

3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento decorrelación.

Solo aparecerá el signo más si el evento de correlación tiene eventos de origen.

Véase también McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Configuración del archivado del receptor en la página 49Receptores de disponibilidad alta en la página 42Visualización de estadísticas de rendimiento del receptor en la página 51Orígenes de datos de receptor en la página 52Adición de orígenes de activos de receptor en la página 81

Visualización de estadísticas de rendimiento del receptorEs posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y salida(analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24 horas.

Antes de empezarVerifique que dispone del privilegio Administración de dispositivo.

Procedimiento

1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de propiedades .

2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento.

3 Vea las estadísticas del receptor.

Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica (en lasúltimas 24 horas) o como advertencia (en la última hora).

4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.

5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por número deregistros.

6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación Actualizarautomáticamente.

7 Para ordenar los datos, haga clic en el título de columna relevante.

Véase también McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Receptores de disponibilidad alta en la página 42Orígenes de datos de receptor en la página 52Adición de orígenes de activos de receptor en la página 81



Orígenes de datos de receptorMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red medianteorígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow,etc. Los orígenes de datos se emplean para controlar cómo recopila el receptor los datos de registro y deeventos. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datosrequeridos.

La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo receptor.Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de importarlos, exportarlos ymigrarlos. También se pueden agregar orígenes de datos secundarios y cliente.

Véase también McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Administración de orígenes de datos en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Creación automática de orígenes de datos en la página 62Orígenes de datos cliente en la página 66Traslado de orígenes de datos a otro sistema en la página 68Funcionamiento del analizador de syslog avanzado en la página 71Adición de orígenes de activos de receptor en la página 81

Administración de orígenes de datosLos orígenes de datos controlan cómo el receptor recopila datos de evento y de registro desde distintasfuentes, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow y otras fuentes. Agregueorígenes de datos y defina su configuración de manera que recopilen los datos requeridos.

Antes de empezar• Asegúrese de que el receptor para este origen de datos aparece en el árbol de navegación del

sistema.

• Asegúrese de que el origen de datos se ha configurado como se describe en la referencia deconfiguración de orígenes de datos.

Procedimiento


2 En el árbol de navegación del sistema, seleccione el receptor y haga clic en el icono Propiedades .

3 En la página Propiedades de receptor, haga clic en Orígenes de datos.

Una tabla muestra los orígenes de datos existentes (incluidos los orígenes de datos secundarios y decliente) e identifica cómo el origen de datos procesa los datos.

- Si se activa la Captura SNMP, el origen de datos acepta capturas SNMP estándar de cualquier dispositivo dered que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándarincluyen: fallo de autenticación, Inicio en frío, Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo eInicio en caliente. Cuando McAfee ESM recibe estas capturas, genera un evento para el origen de datos. Sinecesita enviar o recibir capturas SNMP a través de IPv6, formule la dirección IPv6 como una dirección deconversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.






• Para agregar un nuevo origen de datos, haga clic en Agregar.

• Para agregar un origen de datos secundario a un origen de datos existente, haga clic en Agregar elementosecundario.

• Para editar un origen de datos existente, seleccione el origen de datos y haga clic en Editar.

5 Configure los orígenes de datos.

Opción Definición

Usar perfiles del sistema Los perfiles solo rellenan previamente dispositivos basados en protocolos syslogy SNMP.

Proveedor de origen dedatos, Modelo de origen dedatos

El proveedor y modelo seleccionados determinan la información que seintroduce para el origen de datos.Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) quegenere datos con una codificación distinta de UTF-8, seleccione Genérico comoproveedor y Analizador de syslog avanzado como modelo.

Formato de datos Método de análisis

Recuperación de datos Método de recopilación de datos

• Para SCP, establezca la variable de entorno LANG como lang=C.

• El Origen de archivo SCP no es compatible con rutas relativas. Defina laubicación completa.

• Para Origen de archivo CIFS u Origen de archivo NFS, seleccione un métodode recopilación.

Activado Cómo el receptor procesa datos

Campos restantes Los campos restantes variarán en función del proveedor, modelo de dispositivo,método de recuperación de datos y protocolo del modelo de dispositivoseleccionado.

Los orígenes de datos aparecen en el receptor en el árbol de navegación.

Procedimientos• Adición de orígenes de datos secundarios en la página 54

Agregue orígenes de datos secundarios para organizar sus orígenes de datos.

• Adición de orígenes de datos ASP con codificación diferente en la página 54McAfee ESM puede leer los datos codificados mediante UTF-8. Aplique formato a los orígenes dedatos ASP que tengan una codificación diferente para garantizar que el receptor pueda leer estosdatos.

• Configuración del formato de fecha para orígenes de datos en la página 55Seleccione el formato de las fechas incluidas en los orígenes de datos.



Véase también Orígenes de datos de receptor en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Creación automática de orígenes de datos en la página 62Orígenes de datos cliente en la página 66Traslado de orígenes de datos a otro sistema en la página 68Funcionamiento del analizador de syslog avanzado en la página 71Adición de orígenes de datos secundarios en la página 54Adición de orígenes de datos ASP con codificación diferente en la página 54Configuración del formato de fecha para orígenes de datos en la página 55SIEM Collector en la página 55

Adición de orígenes de datos secundariosAgregue orígenes de datos secundarios para organizar sus orígenes de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

2 En la tabla de orígenes de datos, seleccione el origen de datos principal al que desee agregar un origen dedatos.

3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de datosprincipal.


Véase también Administración de orígenes de datos en la página 52Adición de orígenes de datos ASP con codificación diferente en la página 54Configuración del formato de fecha para orígenes de datos en la página 55SIEM Collector en la página 55

Adición de orígenes de datos ASP con codificación diferenteMcAfee ESM puede leer los datos codificados mediante UTF-8. Aplique formato a los orígenes de datos ASP quetengan una codificación diferente para garantizar que el receptor pueda leer estos datos.

Procedimiento1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen de datos

.

2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog avanzadoen el campo Modelo de origen de datos.

3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.

Véase también Administración de orígenes de datos en la página 52Adición de orígenes de datos secundarios en la página 54Configuración del formato de fecha para orígenes de datos en la página 55SIEM Collector en la página 55



Configuración del formato de fecha para orígenes de datosSeleccione el formato de las fechas incluidas en los orígenes de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de datos

.

2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:

• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día). Cuando seutilizan orígenes de datos cliente, los clientes con esta configuración heredan el formato de fecha delorigen de datos principal.

• Mes antes del día: el mes aparece antes que el día (04/23/2014).

• Día antes del mes: el día aparece antes que el mes (23/04/2014).


Véase también Administración de orígenes de datos en la página 52Adición de orígenes de datos secundarios en la página 54Adición de orígenes de datos ASP con codificación diferente en la página 54SIEM Collector en la página 55

SIEM CollectorSIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión cifrada.

Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un agente deterceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para que no se puedausar WMI.

El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de eventosde Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales como DNS,DHCP e IIS, como tampoco por medio de un agente de terceros.

Use SIEM Collector de forma autónoma o como parte de una implementación de McAfee ePolicy Orchestratorpara agregar la funcionalidad de WMI a agentes de McAfee actuales.

Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros sistemas através de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.

Otras funciones disponibles son:

• Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible conSQL Server y Oracle).

• Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.

• Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc).

Véase también Administración de orígenes de datos en la página 52Adición de orígenes de datos secundarios en la página 54Adición de orígenes de datos ASP con codificación diferente en la página 54Configuración del formato de fecha para orígenes de datos en la página 55



Funcionamiento de la evaluación de vulnerabilidadesLa evaluación de vulnerabilidades en DEM y el receptor permite integrar datos que se pueden recuperar dediversos proveedores de evaluación de vulnerabilidades.

Estos datos se pueden usar de varias formas.

• Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho evento.

• Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema operativo yservicios detectados).

• Crear y manipular la pertenencia a los grupos de activos definidos por el usuario.

• Acceder a información detallada y de resumen sobre los activos de la red.

• Cambie la configuración del Editor de directivas (por ejemplo, active las firmas de MySQL si se descubre unactivo que ejecuta MySQL).

Use vistas predefinidas o personalizadas para acceder a los datos de evaluación de vulnerabilidades generadospor el sistema.

Si crea una vista que incluya los componentes de número total de vulnerabilidades, recuento o dial de control,podría ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat IntelligenceServices (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen deevaluación de vulnerabilidades.

McAfee mantiene reglas que asignan los ID de firmas de McAfee a VIN con referencia a un ID de CommonVulnerabilities and Exposure (CVE), BugTraq, Open Source Vulnerability Database (OSVDB) o Secunia. Estosproveedores informan del ID de CVE y BugTraq en sus vulnerabilidades.

Véase también Orígenes de datos de receptor en la página 52Administración de orígenes de datos en la página 52Creación automática de orígenes de datos en la página 62Orígenes de datos cliente en la página 66Traslado de orígenes de datos a otro sistema en la página 68Funcionamiento del analizador de syslog avanzado en la página 71Definición de perfiles del sistema de evaluación de vulnerabilidades para eEye REM en la página 56Adición de orígenes de evaluación de vulnerabilidades en la página 57Recuperación de datos de evaluación de vulnerabilidades en la página 61Proveedores de evaluación de vulnerabilidades disponibles en la página 61

Definición de perfiles del sistema de evaluación de vulnerabilidades para eEye REMDefina los perfiles de evaluación de vulnerabilidades (VA) que se deben utilizar agregando un origen de eEyeREM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono

Propiedades .

2 Haga clic en Evaluación de vulnerabilidades | Agregar.

3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM.

4 Haga clic en Usar perfil del sistema.

5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil.



6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil.

Los campos de la página se activan según la versión seleccionada.

7 Rellene la información solicitada y haga clic en Aceptar.

Los archivos de registro de Qualys QualysGuard están limitados a 2 GB.

Véase también Funcionamiento de la evaluación de vulnerabilidades en la página 56Adición de orígenes de evaluación de vulnerabilidades en la página 57Recuperación de datos de evaluación de vulnerabilidades en la página 61Proveedores de evaluación de vulnerabilidades disponibles en la página 61

Adición de orígenes de evaluación de vulnerabilidadesPara establecer la comunicación con orígenes de evaluación de vulnerabilidades, agréguelos al sistema,agregue los parámetros de comunicación para el proveedor de evaluación de vulnerabilidades correspondiente,planifique los parámetros para indicar la frecuencia de recuperación de datos y cambie los cálculos degravedad.

Procedimiento1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono

Propiedades .

2 Haga clic en Evaluación de vulnerabilidades.

3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, y escriba los cambiosrealizados en el dispositivo.

Opción Definición

ID de cliente Escriba el número de ID de cliente de Frontline. Este campo es necesario paraDigital Defense Frontline.

Nombre de la empresa En FusionVM, el nombre de la empresa que se debe analizar. Si este campo se dejaen blanco, el sistema analiza todas las empresas a las que pertenezca el usuario.Separe los nombres de varias empresas mediante comas.

Recuperación de datos (Qualys QualysGuard) Seleccione el método de recuperación de los datos deevaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Lasopciones incluyen: SCP, FTP, NFS, CIFS y Carga manual.

Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite detamaño de 2 GB.

Dominio Escriba el dominio del sistema Windows (opcional, a menos que el controlador dedominio o el servidor estén dentro de un dominio).

Directorio de archivo deanálisis exportado

El directorio donde se encuentran los archivos de análisis exportados.

Formato de archivo deanálisis exportado

El formato del archivo de análisis exportado (XML o NBE).

Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalación paraun appliance analizador Saint es:

/usr/local/sm/



Opción Definición

Dirección IP • Para eEye REM: la dirección IP del servidor eEye que envía información sobrecapturas.

• Para eEye Retina: la dirección IP del cliente que contiene los archivos de análisisexportados (.rtd).

• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP delcliente que alberga los archivos de análisis exportados.

• Para NGS: la dirección IP del sistema que almacena los informes de Squirrel.

• Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidorcorrespondiente.

Directorio de montaje Si selecciona NFS en el campo Método, el sistema agrega los campos de Directorio demontaje. Indique el directorio de montaje establecido al configurar NFS.

Método El método empleado para recuperar los archivos de análisis exportados (montajede SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.

Contraseña • Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseña de SCPo FTP.

• Para NGS: la contraseña de los métodos SCP y FTP.

• Para Qualys y FusionVM: la contraseña para el nombre de usuario de QualysFront Office o FusionVM.

• Para Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que se debeusar al conectar con el servidor web.

• Para Digital Defense Frontline: la contraseña de la interfaz web.

Puerto El puerto de escucha del servidor web Rapid7 Nexpose, Lumension, nCircle o Saint.El valor predeterminado para Rapid7 Nexpose es 3780, el de Lumension es 205, elde nCircle es 443 y el de Saint es 22.

Nombre de proyecto/espacio de trabajo

Nombre de un proyecto o espacio de trabajo concretos. Deje el campo en blancopara incluir todos los proyectos o espacios de trabajo.

Dirección IP de proxy La dirección IP del proxy HTTP.

Contraseña del proxy La contraseña correspondiente al nombre de usuario del proxy.

Puerto del proxy El puerto de escucha del proxy HTTP.

Nombre de usuario delproxy

El nombre de usuario para el proxy.

URL del servidor Qualys oFusionVM

La URL del servidor Qualys o FusionVM al que enviar la consulta.

Ruta remota y nombre derecurso compartido

Para el método Nessus de CIFS, OpenVAS, eEye Retina, Metasploit Pro, LanGuard yNGS.

Puede usar barras diagonales o barras diagonales invertidas en la ruta porejemplo:

Archivos de programa\CIFS\va

o

/Archivos de programa/CIFS/va



Opción Definición

Programar recuperaciónde datos del receptor oProgramar recuperaciónde datos de DEM

Indique la frecuencia con la que desee recuperar los datos de evaluación devulnerabilidades desde el receptor o el DEM:• Cada día: seleccione la hora a la que desee que se recuperen los datos cada día.

• Cada semana: seleccione el día de la semana y la hora en que desee que serecuperen los datos.

• Cada mes: seleccione el día del mes y la hora en que desee que se recuperen losdatos.

Si no desea que se recuperen los datos con una frecuencia definida, seleccioneDesactivado.

eEye REM no admite la recuperación de datos desde el origen, por lo que los datosse deben recuperar desde el receptor o el DEM.

Programar recuperaciónde datos de evaluación devulnerabilidades

Indique la frecuencia con la que desee recuperar los datos de evaluación devulnerabilidades del origen de evaluación de vulnerabilidades.

Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones,indique Todo.

Contraseña deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Escriba la contraseña para el protocolo de autenticaciónseleccionado en el campo Protocolo de autenticación SNMP.

Protocolo deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1 (SHA1 ySHA hacen referencia al mismo tipo de protocolo). Asegúrese de que laconfiguración de REM Events Server coincida con su selección.

Comunidad SNMP La comunidad SNMP establecida al configurar REM Events Server.

Contraseña de privacidadSNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo.Escriba la contraseña para el protocolo de privacidad DES o AES. En el modo FIPS,la única opción disponible es AES.

Protocolo de privacidadSNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo ypodrá seleccionar DES o AES. En el modo FIPS, la única opción disponible es AES.

Nivel de seguridad SNMP Nivel de seguridad para este origen:

• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad

• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad

• authPriv: con protocolo de autenticación y protocolo de privacidad

Los campos de autenticación y privacidad correspondientes a SNMP se activaránen función del nivel de seguridad seleccionado. Asegúrese de que la configuraciónde REM Events Server coincida con su selección.

Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server.

Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP se activansegún la versión seleccionada.

ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso deemplear un perfil SNMPv3.

Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio de instalaciónde Saint.



Opción Definición

Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera para unorigen o proporcionar un valor de tiempo de espera concreto. Es posible aumentarel valor de tiempo de espera a fin de que exista más tiempo para la recuperaciónde datos de evaluación de vulnerabilidades. Si proporciona un valor, se utilizarápara todas las comunicaciones.

Token (Opcional) Token de autenticación que se puede establecer en la configuraciónglobal de Metasploit.

URL La URL del servidor de Digital Defense Frontline.

Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto delproxy, Nombre de usuario del proxy y Contraseña del proxy.

Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. A continuación,deberá indicar cuándo usar el modo pasivo.

Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación de Saint ydesea utilizar este acceso.

Usar perfil del sistema(eEye REM)

Indique si desea utilizar un perfil previamente definido. Esta opción desactivarátodos los campos de SNMP. Al seleccionar uno de los perfiles de sistemaexistentes, el sistema rellena los campos con la información del perfil elegido.

Nombre de usuario Si utiliza el modo de autenticación de Windows para SQL Server, introduzca elnombre de usuario del equipo Windows. De lo contrario, indique del nombre deusuario de SQL Server.

• Para Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuario de SCP oFTP.

• Para NGS: el nombre de usuario para los métodos SCP y FTP.

• Para Qualys o FusionVM: el nombre de usuario de Front Office o FusionVMdestinado a la autenticación.

• Para Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuario que sedebe usar al conectar con el servidor web.

• Para Digital Defense Frontline: el nombre de usuario de la interfaz web.

Nombre de origen deevaluación devulnerabilidades

El nombre de este origen.

Expresión comodín Una expresión comodín utilizada para describir el nombre de los archivos deanálisis exportados. La expresión comodín puede incluir un asterisco (*) o un signode interrogación (?) con la definición estándar de comodín en un nombre dearchivo.

Si tiene archivos tanto NBE como XML, especifique si desea archivos NBE o XML eneste campo (por ejemplo, *.NBE o *.XML). Si solo emplea un asterisco (*), seproducirá un error.

4 Haga clic en Aplicar o en Aceptar.

Véase también Funcionamiento de la evaluación de vulnerabilidades en la página 56Definición de perfiles del sistema de evaluación de vulnerabilidades para eEye REM en la página 56Recuperación de datos de evaluación de vulnerabilidades en la página 61Proveedores de evaluación de vulnerabilidades disponibles en la página 61



Recuperación de datos de evaluación de vulnerabilidadesPuede recuperar datos de evaluación de vulnerabilidades planificadas o inmediatas (VA) de un origen de datos.La recuperación de datos de eEye REM no puede ser inmediata, sino que debe planificarse.


2 En el árbol de navegación del sistema, seleccione el DEM o el Receptor y haga clic en el icono Propiedades .

3 Haga clic en Evaluación de vulnerabilidades.

4 Seleccione el origen de evaluación de vulnerabilidades y elija una de estas opciones:

• Para una recuperación inmediata, haga clic en Recuperar. La tarea se ejecuta en segundo plano y se lenotificará si la recuperación se realiza correctamente.

• Para planificar la recuperación, haga clic en Editar. Seleccione la frecuencia e indique que desea escribirlos cambios en el dispositivo.


6 Si no logra recuperar datos de evaluación de vulnerabilidades, compruebe lo siguiente:

Este recurso... Provoca...

Nessus, OpenVAS yRapid7 MetasploitPro

• Directorio vacío.

• Error de configuración.

• Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Qualys, FusionVM yRapid7 Nexpose

Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de Nessusen el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la recuperaciónde evaluación de vulnerabilidades, no se devuelven datos porque se perciben comodatos antiguos. Para evitar esta situación, elimine el archivo de Nessus anterior delsitio de FTP antes de cargar el nuevo, o bien utilice un nombre distinto para elarchivo que cargue.

7Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Evaluación devulnerabilidades.

Véase también Funcionamiento de la evaluación de vulnerabilidades en la página 56Definición de perfiles del sistema de evaluación de vulnerabilidades para eEye REM en la página 56Adición de orígenes de evaluación de vulnerabilidades en la página 57Proveedores de evaluación de vulnerabilidades disponibles en la página 61

Proveedores de evaluación de vulnerabilidades disponiblesMcAfee ESM puede integrarse con los siguientes proveedores de evaluación de vulnerabilidades.

Proveedor de evaluación de vulnerabilidades Versión

Digital Defense Frontline 5.1.1.4

eEye REM (servidor de eventos de REM) 3.7.9.1721



Proveedor de evaluación de vulnerabilidades Versión

eEye Retina

El origen de evaluación de vulnerabilidades eEye Retina es similar alorigen de datos Nessus. Puede usar archivos scp, ftp, nfs o cifs paraobtener los archivos .rtd. Es necesario copiar manualmente losarchivos .rtd en un recurso compartido scp, ftp o nfs antes deextraerlos. Los archivos .rtd suelen estar ubicados en el directorioScans de Retina.

5.13.0, auditorías: 2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Compatible con PatchLink SecurityManagement Console 6.4.5 o posterior

nCircle 6.8.1.6

Nessus Compatible con Tenable Nessusversiones 3.2.1.1 y 4.2, así como losformatos de archivo NBE, .nessus(XMLv2) y .nessus (XMLv1); también elformato XML de OpenNessus 3.2.1

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose: proveedor de partner de evaluación devulnerabilidades recomendado

Rapid7 Metasploit Pro: proveedor de partner de evaluación devulnerabilidades recomendado

Se puede reducir la gravedad de un exploit de Metasploit queempieza por el nombre Nexpose mediante la adición de un origende evaluación de vulnerabilidades Rapid7 al mismo receptor. Si nose puede deducir, la gravedad predeterminada es 100.

4.1.4 Update 1, formato de archivoXML

Saint

GFI LanGuard

NGS SQuirrel

Véase también Funcionamiento de la evaluación de vulnerabilidades en la página 56Definición de perfiles del sistema de evaluación de vulnerabilidades para eEye REM en la página 56Adición de orígenes de evaluación de vulnerabilidades en la página 57Recuperación de datos de evaluación de vulnerabilidades en la página 61

Creación automática de orígenes de datosConfigure receptores para la creación automática de orígenes de datos mediante las reglas estándar incluidasen el receptor o las reglas que desee crear.

Antes de empezarAsegúrese de que la comprobación automática esté seleccionada en Propiedades del sistema | Eventos,

flujos y registros, o haga clic en el icono Obtener eventos y flujos de la barra de herramientas deacciones para extraer eventos o flujos.





3 En la página Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

4 En la página Aprendizaje automático, haga clic en Configurar.

5 En la página Editor de reglas de adición automática, asegúrese de que la opción Activar creación automática de losorígenes de datos esté activada.

6 Haga clic en Agregar y seleccione las reglas de agregación automática que desee que el receptor utilice paracrear automáticamente los orígenes de datos.

7 Para aplicar reglas seleccionadas a los datos de aprendizaje automático, haga clic en Ejecutar ahora.

Procedimientos• Administración de reglas de creación automática en la página 63

Cree, edite y organice reglas personalizadas que el receptor utiliza para crear automáticamenteorígenes de datos.

• Administración del aprendizaje automático de orígenes de datos en la página 64Configure receptores de McAfee ESM para el aprendizaje automático de direcciones IP de orígenesde datos.

Véase también Orígenes de datos de receptor en la página 52Administración de orígenes de datos en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Orígenes de datos cliente en la página 66Traslado de orígenes de datos a otro sistema en la página 68Funcionamiento del analizador de syslog avanzado en la página 71Administración de reglas de creación automática en la página 63Administración del aprendizaje automático de orígenes de datos en la página 64

Administración de reglas de creación automáticaCree, edite y organice reglas personalizadas que el receptor utiliza para crear automáticamente orígenes dedatos.



3 En la página Propiedades de receptor, haga clic en Orígenes de datosAprendizaje automático | Configurar .

4 Seleccione Activar para activar la creación automática de orígenes de datos.



5 Si desea crear o modificar una regla, haga clic en Agregar, o seleccione una regla y haga clic en Editar.

a En la página Configurar regla de agregación automática, configure las opciones.

Categoría Opción Definición

Panel superior Descripción Una etiqueta de texto que ayuda a los usuarios aidentificar el propósito de la regla.

Tipo El tipo de regla que desea crear.

Activado Activa o desactiva la regla.

Criterios de coincidencia enaprendizaje automático

IP/CIDR y nombre dehost

La ubicación en la red y el nombre de host desde el quedebe originarse tráfico para activar la regla.

Puerto El puerto que el tráfico debe atravesar para activar laregla.

Proveedor y modelo La regla se activa únicamente cuando el tráfico seorigina desde este proveedor y modelo de dispositivo.

Parámetros de creación decliente/origen de datos

Nombre El nombre para el origen de datos. Este campo admitevariables para representar la dirección IP, el modelo y elnombre de host. Por ejemplo, puede escribir Origende datos - {MODEL}_{HOST}_{IP}.

Tipo de origen dedatos

Establece el nuevo origen de datos como un Origen dedatos o un Cliente.

Principal Asigna un dispositivo para que actúe como el principaldel nuevo origen de datos.

Tipo de cliente Asigna un tipo de cliente al nuevo origen de datos.

Proveedor y modelo Aparecerá el nuevo origen de datos en el sistema coneste proveedor y modelo.

Zona horaria La zona horaria que asignar al origen de datos.

Zona (Opcional) La zona donde aparece el nuevo origen dedatos.

Grupo dealmacenamiento

Si desea que los datos generados por el origen de datos(no los clientes) se almacenen en el ELM, haga clic enGrupo de almacenamiento y seleccione el grupo dealmacenamiento.

b Haga clic en Aceptar.

6 En la página Editor de reglas de adición automática, utilice las flechas para organizar las reglas en el orden quedesee.

7 Haga clic en Ejecutar ahora para aplicar las reglas a los resultados de aprendizaje automático actual.

La creación automática se produce cuando se extraen alertas del receptor, ya sea manualmente o de formaautomática mediante McAfee ESM.

Véase también Creación automática de orígenes de datos en la página 62Administración del aprendizaje automático de orígenes de datos en la página 64

Administración del aprendizaje automático de orígenes de datosConfigure receptores de McAfee ESM para el aprendizaje automático de direcciones IP de orígenes de datos.

Antes de empezarDefina los puertos para syslog, MEF y flujos.



Los puertos del receptor deben coincidir con los orígenes que envían datos para que se produzca elaprendizaje automático.

El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una serie dedirecciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de orígenes de datos.

Ampliar McAfee ESM elimina los resultados de aprendizaje automático. Ejecute el aprendizaje automáticodespués de ampliar para volver a recopilar los resultados de aprendizaje automático.



3 En la página Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

4 Configure el aprendizaje automático.

a Seleccione el periodo de tiempo durante el que desea que se produzca el aprendizaje automático en elcampo horas correspondiente y haga clic en Activar.

Cuando se utiliza el aprendizaje automático para MEF, no pueden agregarse orígenes de datos deaprendizaje automático mediante un ID de host.

Cuando se agota el tiempo, el sistema desactiva el aprendizaje automático y rellena la tabla con lasdirecciones IP encontradas.

b Haga clic en Desactivar para detener el aprendizaje automático.

5 Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes de datos.

a Seleccione direcciones IP del mismo tipo que las que desea agregar y haga clic en Agregar.

b En la página Orígenes con aprendizaje automático, seleccione una de las opciones.

• Si las direcciones IP seleccionadas no tienen un nombre asociado, el sistema le preguntará si deseaagregar un prefijo a las direcciones seleccionadas.

• Si hace clic en No, las direcciones IP se utilizan como los nombres de estos orígenes de datos.

• Si hace clic en Sí, introduzca un prefijo para el nombre y haga clic en Aceptar. Los nombres de estosorígenes de datos constarán del nombre agregado y la dirección IP.

• Si las direcciones IP seleccionadas tienen nombres, el sistema agrega orígenes de datos a la lista.

Opción Definición

Coincidencia decliente en tipo

Si un origen de datos coincide con la dirección IP seleccionada, el sistema añadeelementos al origen de datos como orígenes de datos cliente de coincidencia portipo. Si no existe ningún origen de datos que coincida con la dirección IPseleccionada, se crea uno. Los elementos restantes se agregan a él a modo deorígenes de datos cliente de coincidencia por tipo.

Coincidencia decliente en IP

Esta opción permite seleccionar el origen de datos al que agregar esta dirección IP amodo de cliente. Se muestran los orígenes de datos coincidentes. Si no existeninguno, la única opción disponible es Ninguno: crear nuevo origen de datos. Seleccioneel origen de datos al que desee agregar esta dirección IP a modo de cliente y hagaclic en Aceptar.



6 Para cambiar el nombre de un origen de datos, haga clic en Editar nombre. Use un máximo de 50 caracteres yasegúrese de que el nombre no esté asignado aún a un origen de datos en la lista.

7 Para cambiar el tipo de la dirección IP seleccionada, haga clic en Cambiar tipo. Cambie el tipo si el tiposugerido por el sistema no es correcto. Ver el paquete puede ayudarle a determinar el tipo correcto.

Véase también Creación automática de orígenes de datos en la página 62Administración de reglas de creación automática en la página 63

Orígenes de datos clienteLos orígenes de datos cliente permiten aumentar el número de orígenes de datos permitidos en los receptores.En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF, MEF, NPP y WMI, es posible agregarhasta 32 766 clientes de origen de datos.

Si el origen de datos ya es un elemento principal o secundario, o si se trata de un origen de datos WMI y se haseleccionado Usar RPC, esta opción no estará disponible.

Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el número depuerto para diferenciarlos. Esto permite separar los datos utilizando un puerto distinto para cadatipo y luego reenviarlos sirviéndose del mismo puerto al que hayan llegado.

Cuando añada un origen de datos cliente, seleccione si desea usar el puerto de origen de datosprincipal u otro puerto.

Los orígenes de datos cliente tienen las características siguientes:

• No disponen de derechos de VIPS, directiva ni agente.

• Aparecen en el árbol de navegación del sistema, pero no en la tabla Orígenes de datos.

• Comparten la misma directiva y los mismos derechos que el origen de datos principal.

• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.

Los orígenes de datos WMI cliente pueden tener zonas horarias independientes debido a que la consulta enviadaal servidor WMI determina la zona horaria.

Véase también Orígenes de datos de receptor en la página 52Administración de orígenes de datos en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Creación automática de orígenes de datos en la página 62Traslado de orígenes de datos a otro sistema en la página 68Funcionamiento del analizador de syslog avanzado en la página 71Adición de orígenes de datos cliente en la página 66Localización de clientes de origen de datos en la página 67

Adición de orígenes de datos clientePara aumentar el número de orígenes de datos permitidos en el receptor, agregue un cliente a un origen dedatos existente.

Antes de empezarAgregue orígenes de datos al receptor.





3 Haga clic en Orígenes de datos.

4 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.

5 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.Opción Definición

Nombre Nombre del cliente

Zona horaria Zona horaria del cliente

Orden en fechas Formato de fecha: mes antes del día o día antes del mes

Dirección IP, Nombre dehost

Nombre de host o dirección IP del cliente: puede tener más de un origen dedatos del cliente con la misma dirección IP. El puerto los diferenciará.

Se requiere TLS en syslog Seleccione el protocolo de cifrado Transport Layer Security (TLS) para syslog.

Puerto Indique si desea que el cliente use el mismo puerto que su elemento principal uotro de los puertos de la lista.

Coincidir por tipo Seleccione esta opción si desea hacer coincidir los clientes por tipo y, después,seleccione el proveedor y el modelo del cliente.

Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo, supongamosque tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la dirección IP 1.1.1.0/24, queabarca un rango. Ambos son del mismo tipo. Si un evento coincide con 1.1.1.1, se dirige al primer clienteporque es más específico.

Véase también Orígenes de datos cliente en la página 66Localización de clientes de origen de datos en la página 67

Localización de clientes de origen de datosPuede tener más de 65 000 clientes. Use la búsqueda para localizar un cliente de origen de datos específico.



3 Haga clic en Orígenes de datos | Clientes.

4 En el campo Buscar, introduzca la información que desee buscar y haga clic en Buscar.

Véase también Orígenes de datos cliente en la página 66Adición de orígenes de datos cliente en la página 66

Migración de orígenes de datos

Contenido Traslado de orígenes de datos a otro sistema Migración de orígenes de datos a receptores Importación de una lista de orígenes de datos



Traslado de orígenes de datos a otro sistemaMueva los orígenes de datos de receptores seguros a receptores en ubicaciones no seguras en diferentessistemas. Seleccione los orígenes de datos que desea mover, guárdelos junto con sus datos sin procesar en unaubicación remota e importe los orígenes de datos a otro receptor.

Antes de empezarCompruebe que dispone de derechos de administración de dispositivos en ambos receptores.

Existen limitaciones a la hora de exportar información de orígenes de datos:

• No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow).

• Los eventos de origen de los eventos correlacionados no se muestran.

• Si cambia las reglas de correlación del segundo receptor, el motor de correlación no procesará esas reglas.Cuando mueva datos de correlación, el sistema inserta esos eventos desde el archivo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de receptor.

2 Para seleccionar los orígenes de datos y la ubicación remota, realice lo siguiente:

a Seleccione el origen de datos y haga clic en Editar.

b Haga clic en Avanzado y seleccione Exportar a formato de NitroFile.

Los datos se exportarán a una ubicación remota y se configurarán mediante un perfil. El sistema copiarálos datos sin procesar generados por este origen de datos en la ubicación del recurso compartidoremoto.

3 Para crear el archivo de datos sin procesar, haga lo siguiente:

a Acceda a la ubicación remota donde están almacenados los datos sin procesar.

b Guarde los datos sin procesar generados en una ubicación que permita mover el archivo al segundoreceptor (como una memoria extraíble que se pueda transportar a la ubicación no segura).

4 Para crear un archivo que describa orígenes de datos, haga lo siguiente:

a Seleccione el origen de datos y haga clic en Importar.

b Localice el archivo de orígenes de datos movido y haga clic en Cargar.

c En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datossin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil.

Los orígenes de datos se agregarán al segundo receptor y accederán a los datos sin procesar a través delperfil de recurso compartido remoto.

5 Para importar datos sin procesar y archivos de origen de datos, haga lo siguiente:

a En el árbol de navegación del sistema del segundo receptor, acceda a Orígenes de datos y haga clic enImportar.

b Localice el archivo de orígenes de datos movido y haga clic en Cargar.

c En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datossin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil.




Véase también Orígenes de datos de receptor en la página 52Administración de orígenes de datos en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Creación automática de orígenes de datos en la página 62Orígenes de datos cliente en la página 66Funcionamiento del analizador de syslog avanzado en la página 71Migración de orígenes de datos a receptores en la página 69Importación de una lista de orígenes de datos en la página 69

Migración de orígenes de datos a receptoresReasigne o redistribuya los orígenes de datos entre los receptores de un mismo sistema.Migre orígenes de datos a nuevos receptores y equilibre los orígenes de datos entre receptores. Comoalternativa, si sustituye el receptor, puede transferir los orígenes de datos desde el receptor actual al nuevo.



3 Haga clic en Orígenes de datos.

4 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.

5 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar.

Véase también Traslado de orígenes de datos a otro sistema en la página 68Importación de una lista de orígenes de datos en la página 69

Importación de una lista de orígenes de datosImporte una lista de orígenes de datos (en formato .csv), lo cual elimina la necesidad de agregar, editar oeliminar cada origen de datos individualmente.

Esta opción se emplea en las situaciones siguientes:

• Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una ubicaciónsegura a un receptor situado en una ubicación no segura.

• Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la listaexistente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos existentes.Si es lo que necesita hacer, siga este procedimiento.

Procedimiento1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

b Haga clic en Exportar y, después, en Sí para confirmar la descarga.

c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en Guardar.

d Acceda a este archivo y ábralo.



2 Agregue, edite o elimine orígenes de datos en esta lista.

a En la columna A, especifique si desea agregar, editar o eliminar el origen de datos.

b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja decálculo.

No es posible editar la directiva ni el nombre del origen de datos.

c Guarde los cambios realizados en la hoja de cálculo.

No se puede editar un origen de datos cliente para convertirlo en un origen de datos, ni al contrario.

3 Importe la lista al receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

b Haga clic en Importar, seleccione el archivo y haga clic en Cargar.

No es posible cambiar la directiva ni el nombre del origen de datos.

c Para importar los cambios, haga clic en Aceptar.

d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes.

e Haga clic en Descargar todo el archivo y, después, en Sí.

f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y haga clic enGuardar.

g Abra el archivo descargado.

h Corrija los errores y, después, guarde y cierre el archivo.

i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en Importar yseleccione el archivo guardado.

j Haga clic en Aceptar.

Véase también Traslado de orígenes de datos a otro sistema en la página 68Migración de orígenes de datos a receptores en la página 69

Selección del método de recopilación de orígenes de datos Leer final de archivosCuando agregue orígenes de datos, debe elegir un método de recopilación si selecciona Origen de archivo NFS uOrigen de archivo CIFS para la recuperación de datos.Los métodos de recopilación son:

• Copiar archivos: el sistema copia los registros completos desde el recurso compartido remoto al receptorpara su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentemente coninformación nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento.

• Leer final de archivos: los registros se leen de forma remota y solamente se leen los eventos nuevos. Cadavez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si el archivocambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el principio.





3 Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.

4 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en el campoRecuperación de datos.

5 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes:

• Eventos multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una longituddinámica.

• Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y elcomienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de registro.

• El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe analizarcomo una expresión regular en lugar de como un valor estático.

• Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primera ejecucióncompletamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los eventos nuevos.

• Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a losdirectorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión comodín. Sino se selecciona, solamente se buscan los archivos del directorio principal.

6 Rellene los campos restantes y haga clic en Aceptar.

Origen de datos de correlaciónUn origen de datos de correlación analiza los datos de McAfee ESM, detecta patrones sospechosos y generaalertas de correlación, que se insertan en la base de datos de alerta del receptor. Solo se puede configurar unorigen de datos de correlación por cada receptor, de forma similar a la configuración de syslog u OPSEC.

Los datos interpretados por las reglas de directiva de correlación, que se pueden crear y modificar, representanun patrón sospechoso.

Después de configurar un origen de datos de correlación, puede realizar lo siguiente:

• Desplegar la directiva predeterminada de la correlación

• Editar las reglas básicas en la directiva predeterminada de esta correlación

• Agregar reglas personalizadas y componentes

• Desplegar la directiva

• Activar o desactivar cada regla

• Definir el valor de los parámetros definidos por el usuario en cada regla

Para agregar un origen de datos de correlación, seleccione McAfee como proveedor y Motor de correlación comomodelo.

Activar el origen de datos de correlación permite a McAfee ESM enviar alertas al motor de correlación delreceptor.

Funcionamiento del analizador de syslog avanzadoEl analizador de syslog avanzado (ASP) analiza datos de mensajes de syslog en función de reglas definidas porel usuario. Defina reglas para indicar al ASP cómo reconocer mensajes y en qué parte residen los datos deevento en los mensajes, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.

Use ASP para dispositivos de syslog no identificados o cuando el analizador específico del origen no interpretecorrectamente los mensajes o no interprete en su totalidad los puntos de datos relacionados con los eventosrecibidos. También puede utilizar ASP para ordenar orígenes de registro complejos (por ejemplo, servidoresLinux y UNIX). Deberá escribir reglas adaptadas a su entorno Linux o UNIX.



Agregue orígenes de datos ASP al receptor seleccionando Syslog como el proveedor. Una vez hecho esto, sigalas instrucciones del fabricante del dispositivo para configurar el dispositivo syslog de modo que envíe datos desyslog a la dirección IP del receptor.

Cuando agregue un origen ASP, deberá aplicar una directiva antes de la recopilación de datos de eventos. Siactiva Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar datos de eventos deforma genérica.

Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades de datosno uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de eventos similares. Estoproduce el aspecto de una amplia gama de eventos distintos cuando, en realidad, es un mismo evento que serepite con datos de syslog distintos que se envían al receptor.

ASP emplea un formato similar al de Snort.

ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:option;...;)

Al concatenar valores literales con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque losliterales entre comillas individualmente si contienen espacios u otros caracteres y deje las referencias asubcapturas de PCRE sin entrecomillar.

Defina las reglas del modo siguiente.

Sección Campo Descripción

Encabezado deregla

El encabezado de la regla contiene la acción Alert y el formato any any any. Laregla es:

ALERT any any any -> any any

Action Define la acción que aplicar al evento cuando se produzca una coincidencia:

• ALERT: registrar el evento

• DROP: registrar el evento pero no reenviarlo

• SDROP: no registrar el evento ni reenviarlo

• PASS: reenviarlo si se ha definido, pero no registrarlo

Protocol Si el evento define un protocolo, filtre la coincidencia efectiva en función delprotocolo.

Src/Dst IP Si el evento define una dirección IP de origen o destino, filtre la coincidenciaefectiva en función de esta dirección.

Src/Dst Port Si el evento define un puerto de origen o destino, filtre la coincidencia efectivaen función de este puerto.

Cuerpo de la regla El cuerpo de la regla contiene la mayoría de los criterios de coincidencia ydefine cómo se deben analizar y registrar los datos en la base de datos deESM. Los elementos del cuerpo de la regla se definen mediante pares depalabra clave-opción. Algunas palabras clave no tienen opción subsiguiente.

msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadenamostrada en el cliente ligero de ESM con fines de generación de informes amenos que se omita mediante un mensaje pcre/setparm detectado (véasemás adelante). La primera tarea de msg es el nombre de la categoría seguidopor el mensaje en sí (msg: "mensaje de regla de categoría").

content (Opcional, una o varias instancias) La palabra clave content es un calificador detexto sin caracteres comodín para el filtrado previo de eventos a medida quepasan por el grupo de reglas y que puede contener espacios (por ejemplo,content: "búsqueda 1"; content "algo más").



Sección Campo Descripción

procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID) forma partede un encabezado de mensaje syslog estandarizado. La palabra claveprocname se puede utilizar a fin de filtrar las coincidencias de eventos para laregla. Se emplea para excluir o filtrar coincidencias de eventos en las que dosprocesos de un servidor Linux o UNIX pueden tener un texto de mensajeidéntico o similar.

adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación de reglapredeterminada del editor de orígenes de datos.

sid ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente ligero deESM a menos que se omita mediante un sid pcre/setparm detectado.

rev Revisión de la regla. Se emplea para rastrear los cambios.

severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se asigna a loseventos que coinciden con la regla.

pcre La palabra clave PCRE es una expresión regular compatible con Perl que secompara con los eventos entrantes. La palabra clave PCRE se delimitamediante comillas, y todas las apariciones de "/" se consideran caracteresnormales. El contenido entre paréntesis se reserva para el uso de la palabraclave setparm. Puede cambiar la palabra clave de PCRE por nocase, nomatch,raw y setparm.

nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso demayúsculas y minúsculas no sea igual.

nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl).

raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos delencabezado (función, daemon, fecha, host/IP, nombre de proceso e ID deproceso). Normalmente, el encabezado no se utiliza en la coincidencia dePCRE.

setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de la PCRE sele asigna un número por orden de aparición. Esos números se pueden asignara etiquetas de datos (por ejemplo: setparm:username=1). Se toma el textocapturado en el primer conjunto de paréntesis y se asigna a la etiqueta dedatos de nombre de usuario. Las etiquetas reconocidas se enumeran en latabla siguiente.

Etiqueta Descripción

* sid Este parámetro capturado omite el sid de la regla coincidente.

* msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.

* action Este parámetro capturado indica qué acción realizó el dispositivo de terceros.

* protocol

* src_ip Esto sustituye la dirección IP del origen de syslog, que es la dirección IP de origenpredeterminada para un evento.

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid Sirve para modificar el sid almacenado en la base de datos, que se usa para lascoincidencias de snort ajenas a McAfee en preprocesadores snort.

* url Reservada y sin uso por ahora.




* src_username Primer nombre de usuario/nombre de usuario de origen.

* username Nombre alternativo para src_username.

* dst_username Segundo nombre de usuario/nombre de usuario de destino.

* domain

* hostname

* application

* severity Debe ser un número entero.

* action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En el mapade acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> anyany (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Véase Asociación degravedades y acciones para obtener detalles.

* severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee. Al igualque el mapa de acciones, en el mapa de gravedades se distingue entre mayúsculas yminúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted password for "; severity_map:High=99, Low=25, 10=99, 1=25;pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación degravedades y acciones para obtener detalles.

* var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a partir dediversas capturas de varias PCRE. Es posible crear más de una PCRE que capture solo unapequeña porción de la cadena en lugar de una PCRE larga con varias capturas. Acontinuación se ofrece un ejemplo para capturar un nombre de usuario y un dominio,además de crear una dirección de correo electrónico a fin de almacenarla en el campoobjectname.

• Sintaxis = var:field=${PCRE:Capture}

• PCRE = no la PCRE real, sino el número de pcre. Si la regla tiene dos PCRE, sería la PCRE 1o 2.

• Captura = no la captura real, sino su número (primera, segunda o tercera captura [1,2,3]).

• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.

• PCRE: ( Jim).*?(McAfee)

• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim"; pcre:"(Jim)";pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• Usuario de origen asignado: Jim

• Dominio asignado: McAfee

• objectname asignado: [email protected]

* sessionid Se trata de un entero.

* commandname Se trata de un valor de cadena.

* objectname Se trata de un valor de cadena.

* event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puede usarevent_action y action_map en la misma regla. Por ejemplo, si obtiene un evento a partir deun inicio de sesión correcto, podría utilizar la etiqueta event_action y hacer que la acciónde inicio de sesión correcto sea la predeterminada (por ejemplo, event_action:8;).




* firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos.

* lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos. Esto sepuede utilizar con setparm o con var (var:firsttime="${1:1}" o setparm:lasttime="1"). Porejemplo:

alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"pcre:"PCRE goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;)

Para conocer los formatos admitidos actualmente, consulte http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html.

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y es el año con cuatro dígitos

%m es el número correspondiente al mes (1-12)

%d es la fecha (1-31)

%H son las horas (1-24)

%M son los minutos (0-60)

%S son los segundos (0-60)

%b es la abreviatura del mes (feb, may)

A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de sesiónOpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:

alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Acceptedpassword for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)



Véase también Orígenes de datos de receptor en la página 52Administración de orígenes de datos en la página 52Funcionamiento de la evaluación de vulnerabilidades en la página 56Creación automática de orígenes de datos en la página 62Orígenes de datos cliente en la página 66Traslado de orígenes de datos a otro sistema en la página 68Asignación de acción y gravedad de syslog en la página 76Compatibilidad con la retransmisión de syslog en la página 78

Asignación de acción y gravedad de syslogPuede asignar valores de acción y gravedad de mensajes de syslog a valores que se ajusten a los esquemas delsistema.

• severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor gravedad), elcual se asigna a los eventos que coinciden con la regla. El dispositivo que envía el mensaje puede indicar lagravedad por medio de un número entre uno y diez o mediante texto (alta, media o baja). Cuando estoocurre, no se puede capturar como gravedad, así que es necesario crear una asignación. Por ejemplo, estees un mensaje procedente de McAfee IntruShield que muestra la gravedad en forma de texto.

<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

La sintaxis de reglas que emplee la asociación de la gravedad sería similar a la siguiente (la asociación degravedad está en negrita solo para resaltarla):

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un formatoque se puede utilizar.

setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la gravedad.Todos los modificadores de setparm funcionan de esta forma.

• action_map: se utiliza igual que la gravedad. La acción representa la acción realizada por el dispositivo deterceros. El objetivo en este caso es crear una asignación que resulte útil al usuario final. Por ejemplo, estees un mensaje de error de inicio de sesión procedente de OpenSSH.

Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;rev:1;)

La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que sepueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones que sepueden utilizar.

• 0 = nulo • 20 = detención

• 1 = paso • 21 = Detección

• 2 = rechazo • 22 = De confianza



• 3 = supresión • 23 = No fiable

• 4 = sdrop • 24 = Falso positivo

• 5 = alerta • 25 = alerta-rechazo

• 6 = predeterminado • 26 = alerta-supresión

• 7 = fallo • 27 = alerta-sdrop

• 8 = correcto • 28 = reinicio

• 9 = error • 29 = bloqueo

• 10 = emergencia • 30 = limpieza

• 11 = crítico • 31 = limpieza-error

• 12 = advertencia • 32 = continuación

• 13 = informativo • 33 = infectado

• 14 = depuración • 34 = movimiento

• 15 = estado • 35 = movimiento-error

• 16 = adición • 36 = cuarentena

• 17 = change • 37 = cuarentena-error

• 18 = eliminación • 38 = eliminación-error

• 19 = inicio • 39 = denegado

En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema interpreta comoError.

A continuación se ofrece un desglose de la estructura de una regla.

Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map orseverity_map (if you need it); pcre:”your regular expression goes here”; raw;setparm:data_tag_goes_here; adsid:190; rev:1;)

Véase también Funcionamiento del analizador de syslog avanzado en la página 71Compatibilidad con la retransmisión de syslog en la página 78



Compatibilidad con la retransmisión de syslogEl reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al receptorrequiere algunas tareas adicionales.Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de datos,además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los orígenes de datosque lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta situación:

1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog

2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA

3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort

4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint

Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de syslog (5)para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog en el campoRetransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog, habría que agregarlos orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para ello Ninguna en el campoRetransmisión de syslog, ya que este dispositivo no es un servidor de retransmisión de syslog.

La opción Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.

El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo: 1<123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]

donde1 = Versión de syslog (opcional)

345 = Longitud de syslog (opcional)

<123> = Función (opcional)

Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio)

mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio)

httpd = Nombre de aplicación (opcional)

[123] PID de aplicación (opcional)

: = Dos puntos (opcional)

El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se puededelimitar entre corchetes [ ].

Véase también Funcionamiento del analizador de syslog avanzado en la página 71Asignación de acción y gravedad de syslog en la página 76



Security Device Event Exchange (SDEE)El formato SDEE (Security Device Event Exchange, intercambio de eventos en dispositivos de seguridad)describe cómo representar los eventos generados por los distintos tipos de dispositivos de seguridad. Laespecificación SDEE indica que los eventos SDEE se transportan mediante los protocolos HTTP o HTTPS. Losservidores HTTP que emplean SDEE para proporcionar información sobre eventos a los clientes se llamanproveedores SDEE, mientras que los emisores de las solicitudes HTTP se denominan clientes SDEE.

Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor puedeactuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de intrusiones deCisco.

SDEE usa el modelo de extracción. Esto significa que el receptor contacta periódicamente con el proveedor SDEEy solicita eventos generados desde la hora del último evento solicitado. Cada vez que el receptor solicitaeventos del proveedor SDEE, el sistema procesa y almacena estos eventos en la base de datos del receptor, ylos prepara para su recuperación desde McAfee ESM.

Agregue proveedores SDEE a receptores como orígenes de datos seleccionando Cisco como proveedor e IOSIPS (SDEE) como modelo de origen de datos.

El receptor extrae los datos siguientes de eventos SDEE/CIDEE:

• Direcciones IP de origen y destino

• Puertos de origen y destino

• Protocolo

• Hora del evento

• Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor respeta)

• ID de firma e ID secundario

• El ID de evento McAfee ESM se calcula a partir del ID de firma de SDEE y el ID de firma secundaria de CIDEEmediante la fórmula siguiente: ID de ESMI = (ID de SDEE * 1000) + Sub-ID de CIDEEPor tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de evento deMcAfee ESM sería 2000123.

• VLAN

• Gravedad

• Descripción del evento

• Contenido del paquete (si está disponible)

Si el receptor se conecta al proveedor SDEE por primera vez, el sistema usa la fecha y hora actuales como puntode partida para solicitar eventos. Las conexiones futuras solicitarán todos los eventos desde la últimaextracción correcta.

Formato de evento común (CEF)ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común (CEF)mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que generanregistros o eventos.

El formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por barras (|).El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la extensión se especificancampos adicionales. El formato es:

CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo|IDClaseEventoDispositivo|Nombre|Gravedad|Extensión



La parte del mensaje correspondiente a la extensión es un marcador de posición para campos adicionales. Acontinuación se ofrecen las definiciones de los campos de prefijo:

• Versión es un número entero que identifica la versión del formato CEF.

Los consumidores de eventos utilizan esta información para determinar lo que representan los campos.Actualmente, solo está establecida la versión 0 (cero) de este formato.

• Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de formaexclusiva el tipo de dispositivo remitente.

Dos productos no pueden emplear el mismo par de proveedor y producto de dispositivo. Los creadores delos eventos deben garantizar la asignación de pares de nombres exclusivos.

• IDClaseEventoDispositivo es un identificador exclusivo por cada tipo de evento (puede ser una cadena o unentero).

IDClaseEventoDispositivo identifica el tipo de evento. Cada firma o regla que detecta cierta actividad tieneun IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos dedispositivos, y ayuda a los motores de correlación a manipular los eventos.

• Nombre: cadena que describe el evento (por ejemplo, Análisis de puertos).

• Gravedad: entero (entre 0 y 10, donde 10 indica el evento más importante) que refleje la importancia delevento.

• Extensión: colección de pares de clave y valor, donde las claves forman parte de un grupo predefinido.

Los eventos pueden contener cualquier número de pares de clave-valor en cualquier orden, separados porespacios. Si un campo contiene un espacio (por ejemplo, un nombre de archivo), no supone un problema yse puede registrar exactamente de ese modo. Por ejemplo: fileName=c:\Archivos de programa\ArcSight es un token válido.

Este mensaje de ejemplo muestra el aspecto:

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor. De formapredeterminada, el formato CEF cuando se emplea NetWitness tiene este aspecto:

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/VerifycategoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5cn1={#rid} cn2=0 cn3=0

El formato correcto requiere cambiar dport en el ejemplo anterior por dpt.

Grupos de reglas de McAfeeEsta tabla muestra los grupos de reglas de McAfee y los ID de origen de datos externos.

ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas

50201 Firewall 0 2 000 000–2 099 999

50202 Firewall personalizado 0 2 200 000–2 299 999

50203 Firmas personalizadas 0 5 000 000–5 999 999

50204 Interno 0 3 000 000–3 999 999

50205 Vulnerabilidad y exploit 2 N/D



ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas

50206 Contenidos para adultos 5 N/D

50207 Chat 8 N/D

50208 Directiva 11 N/D

50209 Peer to Peer 14 N/D

50210 Multimedia 17 N/D

50211 Alfa 25 N/D

50212 Virus 28 N/D

50213 Aplicación de perímetro seguro 31 N/D

50214 Gateway 33 N/D

50215 Malware 35 N/D

50216 SCADA 40 N/D

50217 MCAFEESYSLOG 41 N/D

Adición de orígenes de activos de receptorUn activo es cualquier dispositivo de la red que disponga de una dirección IP. Asset Manager permite crear activos,cambiar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar activos a grupos. Un ESMsolo puede tener un origen de activos, pero los receptores pueden tener varios orígenes de activos. Si dosorígenes de descubrimiento de activos localizan el mismo activo, el método de descubrimiento con mayorprioridad agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la mismaprioridad, el que descubra el activo en último lugar tendrá prioridad sobre el primero.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de activos.

2 Haga clic en Agregar y rellene la información solicitada.

Opción Definición

Activado Seleccione esta opción para permitir la funcionalidad de recuperación automática.Aunque no se seleccione la casilla de verificación, es posible recuperar datos del origende activos manualmente mediante la opción Recuperar. Si la selecciona, el sistemarecuperará los datos según el intervalo especificado en el campo Recuperar datos.

Tipo Seleccione el tipo de origen de activos correspondiente. Los campos restantes varíansegún el tipo seleccionado.

Nombre Introduzca un nombre para el origen de activos.

Zona Seleccione una zona si desea asignar este activo a una.

Prioridad Seleccione la prioridad que desee que tenga este origen de activos en caso de quedescubra un activo al mismo tiempo que la evaluación de vulnerabilidades o eldescubrimiento de red. Las opciones son de 1 a 5, donde 1 es la prioridad más alta.

Dirección IP, Puerto Escriba la dirección IP y el puerto de este origen de activos.

Usar TLS, Usar SSL Seleccione estas opciones si desea utilizar el protocolo de cifrado TLS (para ActiveDirectory) o SSL (para Altiris).

Nombre de usuario,Contraseña

Escriba el nombre de usuario y la contraseña necesarios para acceder al activo.

Base de búsqueda Escriba el nombre propio del controlador de dominio (por ejemplo,dc=McAfee,dc=com).



Opción Definición

Activar proxy En el caso de Altiris, indique si desea activar el servidor proxy. Si lo activa, introduzca lainformación del proxy:• Dirección IP del servidor proxy

• Puerto de escucha del proxy

• Nombre de usuario del proxy

• Contraseña del servidor proxy

Recuperar datos Si desea recuperar los datos de forma automática, indique la frecuencia de larecuperación.

Conectar Pruebe la conexión.

3 Haga clic en Aceptar y, a continuación, en Escribir en Orígenes de activos.

Véase también McAfee Event Receiver en la página 41Visualización de eventos de transmisión en la página 42Configuración del archivado del receptor en la página 49Visualización de los eventos de origen de los eventos de correlación en la página 50Visualización de estadísticas de rendimiento del receptor en la página 51Receptores de disponibilidad alta en la página 42Orígenes de datos de receptor en la página 52

McAfee Enterprise Log Search (ELS)McAfee Enterprise Log Search (ELS) retiene datos de registro sin comprimir durante períodos concretos, lo cualacelera las búsquedas de datos del ELS desde el panel de ESM.

Antes de configurar el ELS, identifique la información siguiente.

• Dispositivos de almacenamiento: la retención de datos sin comprimir requiere espacio dealmacenamiento adicional. Determine junto con su equipo los requisitos de almacenamiento apropiadospara su entorno, tales como discos duros o almacenamiento en red adicionales.

• Directivas de retención: determine cuánto tiempo desea conservar datos sin comprimir determinados enel dispositivo ELS. Puede agregar hasta seis directivas de retención con una duración en años (365 días),trimestres (90 días) o meses (30 días).

• Orígenes de datos: identifique los orígenes de datos que se deben asociar con el ELS. Puede asociar unorigen de datos con un ELS o un ELM, pero no con ambos.

Véase también Configuración de ELS en la página 82Búsqueda de datos de ELS en la página 84

Configuración de ELSPara buscar datos de McAfee Enterprise Log Search (ELS), agregue dispositivos ELS a la consola, configure elalmacenamiento y las directivas de retención de ELS, y asocie los orígenes de datos con directivas de retenciónespecíficas.

Antes de empezarInstale y configure los dispositivos virtuales o físicos.



Procedimiento1 Haga clic en y, después, en Configuración.

2 Agregue dispositivos ELS a la consola.

a En la barra de herramientas de acciones, haga clic en y seleccione McAfee Enterprise Log Search. Hagaclic en Siguiente.

b Introduzca un Nombre de dispositivo exclusivo y haga clic en Siguiente.

c Introduzca la dirección IP o la URL de destino, el número de puerto SSH de destino y la configuración delprotocolo de tiempo de redes o NTP (Network Time Protocol) para el dispositivo. Haga clic en Siguiente.

d Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

3 Configure el almacenamiento.

La retención de datos sin comprimir acelera las capacidades de búsqueda del ELS. Sin embargo, requiereespacio de almacenamiento adicional, como unidades de disco duro o almacenamiento en red.

a Seleccione ELS, haga clic en y, después, haga clic en Almacenamiento de datos.

b Si utiliza iSCSI, DAS, SAN o unidades locales virtuales, rellene la información en la cuadrícula superior.

c Si utiliza SAN, unidades virtuales locales, NFS, iSCSI o CIFS, haga clic en Agregar en la cuadrícula inferior.

d Introduzca los parámetros correctos y haga clic en Aceptar.

4 Agregue directivas de retención (no más de seis).

Para buscar datos de los registros de ELS, debe contar como mínimo con una directiva de retención. Elsistema establece la primera directiva de retención creada como la predeterminada. Si solo existe unadirectiva, puede cambiarla pero no puede eliminarla. El ELS no puede aceptar datos anteriores a seis mesesantes de que se cree la primera directiva de retención.

a Seleccione ELS, haga clic en y, después, haga clic en Directivas de retención.

b Haga clic en Agregar.

c Especifique el nombre y la duración de la directiva de retención y haga clic en Aceptar.

El sistema almacena la duración en días. Puede establecer una duración en años (365 días), trimestres (90días) o meses (30 días).

5 Asocie los orígenes de datos con directivas de retención.

Puede asociar un origen de datos con un ELS o un ELM, pero no con ambos.

a Seleccione el dispositivo del origen de datos (como, por ejemplo, un receptor) y haga clic en .

b Haga clic en Orígenes de datos.

c En la columna Registro, elija la casilla de verificación relevante para mostrar la pantalla Opciones de datos deregistro.

d Seleccione la directiva de retención que desee asociar con este origen de datos y haga clic en Aceptar.



Véase también McAfee Enterprise Log Search (ELS) en la página 82Búsqueda de datos de ELS en la página 84

Búsqueda de datos de ELSDesde el panel de McAfee ESM, realice una búsqueda rápida de datos de registro sin comprimircorrespondientes a periodos de tiempo específicos.

Procedimiento• En el panel, haga clic en y seleccione Búsqueda de ELS.

• En la barra Filtro, introduzca la información que desee localizar. Haga clic en para iniciar la búsqueda.

Estos términos se ignoran: but, be, with, such, then, for, no, with, not, are, and, their, if, this, on, into, a, or,there, in, that, they, was, is, it, an, the, as, at, these, by, to, of.

• Haga clic en Configuración de búsqueda para crear una búsqueda avanzada.

• Haga clic en Historial de búsqueda para ver y volver a ejecutar las búsquedas anteriores.

Véase también McAfee Enterprise Log Search (ELS) en la página 82Configuración de ELS en la página 82

McAfee Enterprise Log Manager (ELM)McAfee Enterprise Log Manager (ELM) admite almacenar y administrar datos, acceder a ellos y generarinformes.

Los datos recibidos por ELM se organizan en grupos de almacenamiento, cada uno compuesto por variosdispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de almacenamiento ylos datos se conservan en el grupo durante el periodo especificado. Las normativas gubernamentales, delsector y de las empresas requieren que los registros se almacenen durante periodos de tiempo diferentes.

Puede configurar trabajos de búsqueda y comprobación de integridad en ELM. Cada trabajo accede a losregistros almacenados y recupera o comprueba los datos definidos en el trabajo. Posteriormente, se puedenver los resultados y exportar la información.

Para configurar un ELM, debe conocer lo siguiente:

• Los orígenes que almacenan registros en el ELM

• Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos

• Los dispositivos de almacenamiento necesarios para almacenar los datos

Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos dealmacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento necesariosque contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:

1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.

Los grupos de almacenamiento de ELM requieren un 10 % del espacio asignado para la sobrecarga deduplicación. Al calcular el espacio necesario, tenga en cuenta este 10 %.

2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.



3 Revise los registros del ELM durante un período corto de tiempo.

4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las configuracionesdel dispositivo de almacenamiento para ajustarlas a los requisitos de almacenamiento de datos reales.

Véase también Preparativos para almacenar datos en el ELM en la página 85Configuración del almacenamiento de ELM en la página 87Redundancia de ELM en la página 97Administración de la compresión de ELM en la página 99Copia de seguridad de la configuración de ELM en la página 100Recuperación de datos de ELM en la página 103

Preparativos para almacenar datos en el ELMHay que llevar a cabo varios pasos a fin de configurar un ELM de forma que almacene datos.

Paso Acción Descripción

1 Definir los tiemposde retención dedatos

Según los requisitos de instalación de ELM, defina el número de tiempos deretención distintos necesarios. Los tiempos habituales de retención de datosson:• SOX: 7 años

• PCI: 1 año

• GLBA: 6 años

• Directiva de conservación de datos de la UE: 2 años

• Basilea II: 7 años

• HIPAA: 6 o 7 años

• NERC: 3 años

• FISMA: 3 años

2 Definir los orígenesde datos de registro

El objetivo es definir todos los orígenes de los registros almacenados en el ELM ycalcular el promedio de tamaño en bytes de los registros y los registrosgenerados por día en cada caso. Basta con que se trate de un cálculo estimativo.Podría resultar más fácil estimar el promedio de tamaño en bytes de losregistros y los registros generados al día por cada tipo de origen y, después,estimar el número de orígenes de cada tipo. El siguiente paso requiere laasociación de cada origen con un tiempo de retención definido en el Paso 1.Asegúrese de tener esto en cuenta a la hora de calcular los tipos de orígenes(por ejemplo, firewall SOX o DEM PCI).

3 Definir los grupos dealmacenamiento

En función de los requisitos de instalación de ELM, asocie cada origen u origende registros con un tiempo de retención de datos y defina el conjunto de gruposde almacenamiento necesarios para la instalación de ELM.




4 Estimar losrequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento, calcule los requisitos de almacenamientomediante una de las ecuaciones siguientes.• Con orígenes individuales:

ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes

TRDD = Tiempo de retención de datos en días

SUM() = La suma de todos los orígenes de datos

PBOD = Promedio de bytes de origen de datos por registro

PRODD = Promedio de registros de origen de datos por día

• Con tipos de orígenes:ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes

TRDD = Tiempo de retención de datos en días

NOD = Número de orígenes de datos de un tipo

SUM() = La suma de todos los tipos de orígenes de datos

PBTOD = Promedio de bytes de tipo de origen de datos por registro

PRTODD = Promedio de registros de tipo de origen de datos por día

5 Crear dispositivos dealmacenamientoinicial

Cree uno o varios dispositivos de almacenamiento ELM de forma que seansuficientemente grandes como para almacenar los datos de cada ARIGB (véaseAdición de un dispositivo de almacenamiento para vincular con un grupo dealmacenamiento).

6 Crear grupos dealmacenamiento

Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo dealmacenamiento de ELM utilizando lo siguiente:• El tiempo de retención asociado del Paso 1

• Los valores de ARIGB del Paso 4

• Los dispositivos de almacenamiento asociados del Paso 5 (véase Adición oedición de un grupo de almacenamiento)

7 Iniciar el registro dedatos

Configure los orígenes para que envíen sus registros al ELM, y deje que lo hagandurante uno o dos días.

8 Ajustar lasestimaciones sobrerequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento creado en el Paso 6, ajuste la estimaciónsobre los requisitos de almacenamiento mediante la ecuación siguiente:

ARGB = 1.1*TRDD*PTBGAD/(1024*1024*1024)dondeARGB = Almacenamiento requerido en gigabytesTRDD = Tiempo de retención de datos en díasPTBGAD = Valor de promedio de tasa de bytes del grupo dealmacenamiento diario del informe estadístico correspondiente




9 Cambiar o creardispositivos dealmacenamiento

Por cada valor de ARGB del Paso 8, cambie o cree dispositivos dealmacenamiento ELM de forma que tengan capacidad para almacenar los datosde ARGB.

10 Cambiar grupos dealmacenamiento

Si fuera necesario, cambie cada uno de los grupos de almacenamiento creadosen el Paso 6 mediante la adición de los dispositivos de almacenamiento creadosen el Paso 9, o bien aumente la asignación de los dispositivos dealmacenamiento existentes.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Configuración del almacenamiento de ELM en la página 87Redundancia de ELM en la página 97Administración de la compresión de ELM en la página 99Copia de seguridad de la configuración de ELM en la página 100Recuperación de datos de ELM en la página 103

Configuración del almacenamiento de ELMPara almacenar registros, el Enterprise Log Manager (ELM) debe tener acceso a al menos un dispositivo dealmacenamiento.

El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de datos, suscaracterísticas de registro y sus requisitos de tiempo de retención de los datos. El requisito de almacenamientovaría a lo largo del tiempo porque es probable que cambie durante el ciclo de vida de una instalación de ELM.

Terminología de almacenamiento de ELM

Repase estos términos para trabajar con el almacenamiento de ELM:

• Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede acceder unELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado, otros cuentan concapacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos de ELM ofrecen capacidadde conexión NAS.

• Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un dispositivo dealmacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento NAS).

• Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro.

• Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican unacantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el númeromáximo de días que se almacena un registro.

• Origen de registro: cualquier origen de registros almacenados por ELM.

Tipos de dispositivos de almacenamiento de ELM

Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de dispositivo delque se trata. Hay varios aspectos que recordar cuando se va a agregar o modificar el dispositivo.



Tipo dedispositivo

Detalles

NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento que contiene labase de datos de administración de ELM, use la opción Migrar base de datos para mover labase de datos a un dispositivo de almacenamiento distinto. Podrá cambiar de forma segurael campo de punto de montaje remoto y mover la base de datos de vuelta al dispositivo dealmacenamiento actualizado.

CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.

iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.

• Intentar conectar varios dispositivos a un IQN puede provocar fuga de datos y otrosproblemas de configuración.

SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y hayvolúmenes SAN disponibles.

Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELM virtual.Debe formatear el dispositivo antes de usarlo para almacenamiento.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Preparativos para almacenar datos en el ELM en la página 85Redundancia de ELM en la página 97Administración de la compresión de ELM en la página 99Copia de seguridad de la configuración de ELM en la página 100Recuperación de datos de ELM en la página 103Vinculación de dispositivos a grupos de almacenamiento en la página 89Administración de grupos de almacenamiento en la página 90Transferencia de grupos de almacenamiento en la página 91Reducción del tamaño de asignación de almacenamiento en la página 92

Desactivación del uso compartido de archivos en el Grupo HogarWindows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona con otrosequipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7 como recursocompartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.

Procedimiento1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.

2 Haga clic en Cambiar configuración de uso compartido avanzado.

3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.

4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.

5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y haga cliccon el botón derecho en ella.

6 Seleccione Propiedades y haga clic en la ficha Compartir.



7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.

8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.

Asegúrese de haber establecido los permisos como desea (marca de verificación en Cambiar = se puedeescribir). Si activa los recursos compartidos protegidos por contraseña, actualice la configuración paraasegurarse de que el usuario de Ubuntu está incluido en el permiso.

Vinculación de dispositivos a grupos de almacenamientoAgregue dispositivos de almacenamiento, que podrá vincular a grupos de almacenamiento.

Antes de empezarConfigure dispositivos de almacenamiento.

Cuando edite dispositivos de almacenamiento, puede aumentar el tamaño, pero no reducirlo. No puede eliminarun dispositivo que esté almacenando datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento.

2 Haga clic en Agregar.

3 Rellene la información solicitada en Agregar dispositivo de almacenamiento y haga clic en Aceptar.

Opción Definición

Tipo de dispositivo Seleccione el tipo de dispositivo de almacenamiento. La migración de la base dedatos de ELM requiere un mínimo de 506 GB de espacio libre en el disco.

Nombre Introduzca un nombre para el dispositivo de almacenamiento.

Tamaño máx. Seleccione la cantidad máxima de espacio de almacenamiento que desee asignaren el dispositivo.• Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor

predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio de almacenamientose reserva para la administración del almacenamiento remoto.

• Cuando se agrega un dispositivo de almacenamiento local virtual, el valorpredeterminado de Tamaño máx. es la capacidad total de almacenamiento deldispositivo. Se reservan 6 GB del espacio de almacenamiento para laadministración del almacenamiento virtual. No es posible ajustar este campo.

Dirección IP, Punto demontaje remoto, Rutaremota

Escriba esta información para el dispositivo NFS.

Dirección IP, Nombre derecurso compartido remoto,Ruta, Nombre de usuario,Contraseña

Escriba esta información para el dispositivo CIFS.

Dispositivo iSCSI Seleccione el dispositivo que ha agregado.

IQN de iSCSI Seleccione el IQN.



Opción Definición

SAN Seleccione el volumen de SAN agregado.

Volumen local virtual Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo estádisponible cuando el tipo de dispositivo es Local virtual.

4 Defina los parámetros de conexión de un dispositivo de almacenamiento utilizados en un grupo dealmacenamiento para la retención de datos.

Opción Definición

Dispositivos de almacenamientode datos

Seleccione el dispositivo que desee agregar.

Puede asignar un dispositivo a más de un grupo de forma simultánea.

Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenardatos.

El sistema usa el 10 % del espacio del almacenamiento para sobrecargas.Por ejemplo, si selecciona 4 GB en el campo de espacio de almacenamiento,realmente solo habrá 3,6 disponibles para almacenar datos.

Dispositivo de almacenamientode datos duplicado

Para duplicar datos en este dispositivo de almacenamiento con otrodispositivo, seleccione el segundo dispositivo de almacenamiento.

Véase también Configuración del almacenamiento de ELM en la página 87Administración de grupos de almacenamiento en la página 90Transferencia de grupos de almacenamiento en la página 91Reducción del tamaño de asignación de almacenamiento en la página 92

Administración de grupos de almacenamientoLos grupos de almacenamiento incluyen una o varias asignaciones de almacenamiento y un tiempo deretención de datos. Agréguelos al Enterprise Log Manager (ELM) para definir dónde se almacenan los registrosde ELM y durante cuánto tiempo deben retenerse.


2 En el árbol de navegación del sistema, seleccione el ELM y haga clic en el icono Propiedades .

3 Haga clic en Grupos de almacenamiento.

4 En la tabla inferior, haga clic en Agregar o seleccione un grupo de almacenamiento, haga clic en Editar, yconfigure el grupo de almacenamiento.




Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFS o iSCSI) requieren configuracionesespecíficas para funcionar de forma fiable (por ejemplo, estar en el mismo conmutador y tener una latenciabaja). Las especificaciones de red recomendadas son:

• Latencia total (servidor más red): 10 ms

• Rendimiento total (servidor más red): 20 Mb/s

• En la duplicación se supone un 100 % de disponibilidad para el recurso compartido.

• Las asignaciones de dispositivos de grupo de almacenamiento están limitadas a un terabytepor asignación. Si desea crear un grupo con más de un terabyte, deberá agregar variosdispositivos de un terabyte.

• Podrá eliminar un grupo de almacenamiento siempre que la base de datos y sus dispositivosasignados no almacenen datos.

Véase también Configuración del almacenamiento de ELM en la página 87Vinculación de dispositivos a grupos de almacenamiento en la página 89Transferencia de grupos de almacenamiento en la página 91Reducción del tamaño de asignación de almacenamiento en la página 92

Transferencia de grupos de almacenamientoCabe la posibilidad de mover grupos de almacenamiento de un dispositivo a otro.

Antes de empezarConfigure los dispositivos de almacenamiento a los que desea mover el grupo de almacenamientocomo duplicado del dispositivo que alberga actualmente el grupo.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de

almacenamiento y haga clic en el icono Propiedades .


3 Haga clic en los dispositivos duplicados que aparecen bajo el grupo que se va a mover.

4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el dispositivo queduplique el grupo de almacenamiento que desea mover.

Se convertirá entonces en el dispositivo de almacenamiento de datos principal.

5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la listadesplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.

Véase también Configuración del almacenamiento de ELM en la página 87Vinculación de dispositivos a grupos de almacenamiento en la página 89Administración de grupos de almacenamiento en la página 90Reducción del tamaño de asignación de almacenamiento en la página 92



Reducción del tamaño de asignación de almacenamientoSi un dispositivo de almacenamiento está lleno debido al espacio asignado a grupos de almacenamiento, puedereducir la cantidad de espacio definida en cada asignación. De ese modo, se asignará espacio de estedispositivo a más grupos de almacenamiento.

Si la reducción del tamaño de asignación afecta a los datos, el sistema los mueve a otras asignaciones del grupo(si hay espacio disponible). Si no hay espacio disponible, el sistema elimina los datos más antiguos.




4 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.

5 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.

Véase también Configuración del almacenamiento de ELM en la página 87Vinculación de dispositivos a grupos de almacenamiento en la página 89Administración de grupos de almacenamiento en la página 90Transferencia de grupos de almacenamiento en la página 91

Duplicación del almacenamiento de datos de ELMConfigure un segundo dispositivo de almacenamiento de ELM para duplicar los datos recopilados en eldispositivo principal.

Si el dispositivo principal deja de funcionar, el dispositivo de copia de seguridad sigue almacenando los datos amedida que llegan. Cuando el dispositivo principal vuelva a funcionar, se sincronizará automáticamente con lacopia de seguridad y reanuda el almacenamiento de los datos según van llegando. Si el dispositivo principaldeja de funcionar de forma permanente, puede reasignar la copia de seguridad de forma que se convierta en eldispositivo principal en McAfee ESM y, a continuación, designar otro dispositivo para la duplicación.

Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado junto al dispositivo ELMen el árbol de navegación del sistema.

Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de almacenamiento. Lapérdida de conexión puede deberse a lo siguiente:

• El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.

• El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.

• Se ha eliminado accidentalmente un archivo de asignación.

Si surge un problema con el dispositivo de duplicación, los dispositivos de almacenamiento muestran un icono

de advertencia en la tabla Grupos de almacenamiento. Use la función Reconstruir para solucionarlo.

Véase también Adición de almacenamiento de datos de ELM duplicado en la página 93Reconstrucción de grupos de almacenamiento duplicado en la página 93Desactivación de dispositivos de duplicación en la página 93



Adición de almacenamiento de datos de ELM duplicadoPuede utilizar cualquier dispositivo de almacenamiento para duplicar datos guardados en un dispositivo dealmacenamiento de Enterprise Log Manager (ELM).

Antes de empezarAgregue los dos dispositivos que desee usar para la duplicación recíproca en McAfee ESM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento.


3 Escriba la información solicitada y haga clic en Agregar para seleccionar el dispositivo de almacenamiento y eldispositivo de duplicación.

Puede asignar un dispositivo a más de un grupo de forma simultánea.

4 Haga clic dos veces en Aceptar.

Véase también Duplicación del almacenamiento de datos de ELM en la página 92Reconstrucción de grupos de almacenamiento duplicado en la página 93Desactivación de dispositivos de duplicación en la página 93

Reconstrucción de grupos de almacenamiento duplicadoSi un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento, use lafunción Reconstruir para repararlo.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento.

2 Pase el ratón sobre los dispositivos duplicados con un icono de advertencia.

Un cuadro de información le indicará que la asignación de ELM se está reconstruyendo o que el dispositivoduplicado se debe reconstruir.

3 Haga clic en los dispositivos y, a continuación, en Reconstruir.

Véase también Duplicación del almacenamiento de datos de ELM en la página 92Adición de almacenamiento de datos de ELM duplicado en la página 93Desactivación de dispositivos de duplicación en la página 93

Desactivación de dispositivos de duplicaciónSi desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, seleccione otro dispositivopara sustituirlo o seleccione Ninguno.

Procedimiento

1 En el árbol de navegación del sistema, seleccione el Enterprise Log Manager (ELM) que albergue

actualmente el grupo de almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de almacenamientoy haga clic en Editar.




• Si el dispositivo seleccionado en Dispositivo de almacenamiento de datos duplicado es el que desea desactivar,haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para duplicar eldispositivo de almacenamiento de datos, o bien seleccione Ninguno.

• Si el dispositivo seleccionado en Dispositivo de almacenamiento de datos es el que desea desactivar, haga clicen la flecha desplegable de ese campo y seleccione un dispositivo distinto para que actúe comodispositivo de almacenamiento de datos.


Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo dealmacenamiento.

Véase también Duplicación del almacenamiento de datos de ELM en la página 92Adición de almacenamiento de datos de ELM duplicado en la página 93Reconstrucción de grupos de almacenamiento duplicado en la página 93

Configuración del almacenamiento de datos externoPuede configurar un almacenamiento externo (iSCSI, SAN, DAS y local virtual) para almacenar datos de ELM.Cuando conecte los tipos de almacenamiento externo al Enterprise Log Manager (ELM), configúrelos paraalmacenar los datos del ELM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos.

El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichas correspondientes.

2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.


Véase también Adición de dispositivos iSCSI en la página 94Formateo de los dispositivos de almacenamiento SAN en la página 95Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno en la página 95Configuración de una unidad local virtual para almacenar datos en la página 96

Adición de dispositivos iSCSIAgregue un dispositivo iSCSI para el almacenamiento de Enterprise Log Manager (ELM). Deberá configurar lasconexiones con el dispositivo.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos.

2 En la ficha iSCSI, haga clic en Agregar.

3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.

Si la conexión es correcta, el sistema agregará el dispositivo y sus IQN a las listas Configuración iSCSI y Tipo dedispositivo en Agregar dispositivo de almacenamiento.

Cuando un IQN empiece a almacenar registros de ELM, no podrá eliminar el destino iSCSI. Debido a estalimitación, configure el destino iSCSI con espacio suficiente para el almacenamiento de ELM.

4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en Formato.



5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.

6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en Descubrir.

Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.

Véase también Configuración del almacenamiento de datos externo en la página 94Formateo de los dispositivos de almacenamiento SAN en la página 95Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno en la página 95Configuración de una unidad local virtual para almacenar datos en la página 96

Formateo de los dispositivos de almacenamiento SANSi tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.

Antes de empezarCompruebe la existencia de una tarjeta SAN en su sistema.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos.

2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.

• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles en lapágina Agregar dispositivo de almacenamiento.

• Formato: el volumen se encuentra en proceso de formateo y no aparece en la lista de volúmenesdisponibles.

• Preparado: el volumen está formateado y su sistema de archivos es reconocible. Estos volúmenes sepueden usar para almacenar datos de ELM.

3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y, a continuación,en Formatear.

Al formatear un volumen, se eliminan todos los datos almacenados.

4 Para comprobar si el formateo ha finalizado, haga clic en Actualizar.

Una vez finalizado el formateo, el sistema cambia el estado a Preparado.

5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.

Véase también Configuración del almacenamiento de datos externo en la página 94Adición de dispositivos iSCSI en la página 94Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno en la página 95Configuración de una unidad local virtual para almacenar datos en la página 96

Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno

Antes de empezarConfigure dispositivos DAS.



Procedimiento1 En el árbol de navegación del sistema, seleccione McAfee ESM y, a continuación, haga clic en el icono

Propiedades .

2 Haga clic en Base de datos y, a continuación, en Almacenamiento de datos.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de McAfeeESM.

4 Haga clic en Asignar y, a continuación, en Sí.

Una vez asignado un dispositivo, no se puede cambiar.

Véase también Configuración del almacenamiento de datos externo en la página 94Adición de dispositivos iSCSI en la página 94Formateo de los dispositivos de almacenamiento SAN en la página 95Configuración de una unidad local virtual para almacenar datos en la página 96

Configuración de una unidad local virtual para almacenar datosDetecte y formatee dispositivos de almacenamiento virtual en el Enterprise Log Manager (ELM) virtual. Podráutilizarlo para la migración de la base de datos y los grupos de almacenamiento.

Antes de empezarAgregue dispositivos de almacenamiento local virtual al ELM virtual desde su entorno virtual. Paraagregar el almacenamiento, consulte la documentación correspondiente al entorno de máquinavirtual.

Entornos virtuales compatibles

• VMware

• KVM

• Amazon Web Services

Formatos de unidad compatibles

• SCSI

• SATA

IDE no se admite.

Procedimiento1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades y

seleccione Almacenamiento de datos.

Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.

2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales disponibles.

La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.



3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos ext4 aldispositivo.

El estado cambiará a Preparado.

Véase también Configuración del almacenamiento de datos externo en la página 94Adición de dispositivos iSCSI en la página 94Formateo de los dispositivos de almacenamiento SAN en la página 95Asignación de un DAS para almacenar datos de un ESM de tipo todo en uno en la página 95

Redundancia de ELMPuede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo principal de susistema.

Para activar la redundancia, defina las direcciones IP y el resto de información de la red en dos ELM. El ELM enespera debe disponer de dispositivos de almacenamiento con una cantidad de espacio combinado quecoincida con el espacio de almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELMse sincroniza y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos.

Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver a poneren servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en Propiedades de ELM |Redundancia de ELM .

Cambio

Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera pasa aestar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las acciones deconfiguración se bloquean durante el proceso de cambio.

Nueva puesta en servicio

Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione de nuevo.Si no se detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta elmomento. En caso de que se detecten diferencias en los archivos, el proceso de redundancia continúa para losgrupos de almacenamiento que no tengan problemas, pero se devuelve un estado de error que indica que unoo varios grupos no están configurados. Deberá corregir esos grupos manualmente.

Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a aplicar laclave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELMen espera y la redundancia continúa como hasta el momento.

Suspensión

Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de hacerlopor cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores relativas a laredundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el proceso para volver aponerlo en servicio.

Desactivación de la redundancia en el ELM

Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia de losarchivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al activar laredundancia de ELM, se le preguntará si desea restaurar los archivos de configuración guardados.



Visualización del estado

Para ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo, seleccioneEstado.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Configuración del almacenamiento de ELM en la página 87Preparativos para almacenar datos en el ELM en la página 85Administración de la compresión de ELM en la página 99Copia de seguridad de la configuración de ELM en la página 100Recuperación de datos de ELM en la página 103Configuración de la redundancia de ELM en la página 98

Configuración de la redundancia de ELMSi dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el registromediante la adición de un ELM en espera.

Antes de empezarInstale un ELM autónomo y agréguelo a McAfee ESM. También se requiere tener un ELM autónomoinstalado pero no agregado a la consola. Asegúrese de que no haya datos en el ELM en espera.Póngase en contacto con el servicio de soporte si necesita realizar un restablecimiento a los valoresde fábrica.

Procedimiento

1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades .

2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.

3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.

4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté seleccionada laficha Activo.

5 Agregue dispositivos de almacenamiento en el ELM activo.

6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengansuficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.

7 Agregue uno o varios grupos de almacenamiento a cada ELM.

La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de los datosentre ambos dispositivos.

Opción Definición

Solo está disponible cuando la redundancia de ELM no está activada.

Activar Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a fin de activarla redundancia de ELM.

Solo está disponible cuando la redundancia de ELM está activada.

Quitar Permite desactivar la redundancia en el ELM.

Cambiar ELM Permite intercambiar los ELM de manera que el ELM en espera se convierta en el ELMprincipal. El sistema asociará todos los dispositivos de registro con él. El registro y lasacciones de configuración se bloquean durante el proceso de cambio.



Opción Definición

Suspender Permite suspender la comunicación con el ELM en espera si este está experimentandoproblemas. Todas las interrupciones de comunicación y notificaciones de errores relativasa la redundancia se enmascaran. Cuando el ELM en espera vuelva a funcionar, haga clicen Volver a poner en servicio.

Estado Permite ver detalles sobre el estado de la sincronización de los datos entre el ELM enespera y el activo.

Volver a poner enservicio

Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si el sistemavuelve a hacer funcionar el ELM y no detecta ningún cambio en los archivos deconfiguración, la redundancia se mantiene como hasta el momento. En caso de que elsistema detecte diferencias, el proceso de redundancia continúa para los grupos dealmacenamiento que no tengan problemas y se le informa de que la configuración de unoo varios grupos no es correcta. Corrija tales grupos manualmente.Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y le solicita quevuelva a aplicarle una clave. A continuación, el ELM activo sincroniza todos los archivos deconfiguración con el ELM en espera y el proceso de redundancia continúa como hasta elmomento.

Véase también Redundancia de ELM en la página 97

Administración de la compresión de ELMPara ahorrar espacio en disco o procesar más registros por segundo, comprima los datos entrantes enEnterprise Log Manager (ELM).

Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada nivel.

Nivel Tasa de compresión Porcentaje de compresiónmáximo

Porcentaje de máximo de registrosprocesados por segundo

Baja 14:1 72 % 100 %

Media 17:1 87 % 75 %

Alta 20:1 100 % 50 %

Las tasas de compresión reales variarán en función del contenido de los registros.

• Para ahorrar espacio en disco, elija una compresión alta.

• Para procesar más registros por segundo, elija una compresión baja.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Configuración del almacenamiento de ELM en la página 87Redundancia de ELM en la página 97Preparativos para almacenar datos en el ELM en la página 85Copia de seguridad de la configuración de ELM en la página 100Recuperación de datos de ELM en la página 103Establecimiento de la compresión de ELM en la página 100



Establecimiento de la compresión de ELMSeleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el disco o deprocesar más registros.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de

ELM | Compresión.

2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar.

Véase también Administración de la compresión de ELM en la página 99

Copia de seguridad y restauración de ELM

Contenido Copia de seguridad de la configuración de ELM Restauración de datos de ELM

Copia de seguridad de la configuración de ELMCree una copia de seguridad de la configuración de Enterprise Log Manager (ELM) para poder restaurarla encaso de que falle el sistema o se produzca una fuga de datos. Se guardan todas las opciones de configuración,incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se incluyen enla copia de seguridad.

Antes de empezarDuplique tanto los dispositivos que almacenan los datos de registro en el ELM como la base dedatos de administración de ELM. La función de duplicación permite la creación de copias deseguridad de los datos de registro en tiempo real.



3 Seleccione Información de ELM y haga clic en Copia de seguridad y restauración.

4 Indique la frecuencia y la ubicación de las copias de seguridad. A continuación, pruebe la conexión.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Configuración del almacenamiento de ELM en la página 87Redundancia de ELM en la página 97Administración de la compresión de ELM en la página 99Preparativos para almacenar datos en el ELM en la página 85Recuperación de datos de ELM en la página 103Restauración de datos de ELM en la página 101



Restauración de datos de ELMSi desea reemplazar un Enterprise Log Manager (ELM), restaure la base de datos de administración y los datosde registro en el nuevo ELM.

Antes de empezarLos datos de registro y la base de datos de ELM deben estar duplicados.

Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM mediante el Asistente de adición dedispositivos.

Procedimiento1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM que se

va a reemplazar.

Una página de advertencia le informará de que el sistema no puede localizar el ELM.

2 Cierre la página de advertencia y haga clic en Conexión.

3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.

4 Introduzca la contraseña que desee asociar con este dispositivo y haga clic en Siguiente.

5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.

6 Resincronice cada dispositivo que inicie sesión en el ELM haciendo clic en Sincronizar ELM en Propiedades |Configuración para cada dispositivo.

Restaurar el almacenamiento de datos y la base de datos de administración de ELM en un nuevo ELM puedellevar varias horas.

Véase también Copia de seguridad de la configuración de ELM en la página 100

Definición de una ubicación de almacenamiento alternativaPara almacenar registros de la base de datos de administración de Enterprise Log Manager (ELM) en unaubicación ajena al ELM, defina la ubicación de almacenamiento alternativa. También puede seleccionar unsegundo dispositivo para duplicar el contenido almacenando.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de

ELM | Migrar base de datos.

2 Seleccione la ubicación donde desea almacenar la base de datos de administración y una segunda ubicaciónde almacenamiento para duplicar el dispositivo de almacenamiento de datos.

La primera vez que seleccione duplicar alguno de los dispositivos existentes, el proceso tardará más tiempo.




Visualización del uso de almacenamiento de ELMCompruebe el uso de almacenamiento de Enterprise Log Manager (ELM) para determinar la asignación deespacio en el dispositivo.



3 Haga clic en Administración de ELM.

4 Haga clic en Ver estadísticas y seleccione la ficha Uso de ELM.

Migración de la base de datos de ELMLa base de datos de administración de Enterprise Log Manager (ELM) almacena los registros de rastreoenviados al ELM. La cantidad de espacio en disco disponible en el dispositivo ELM para almacenar la base dedatos de administración depende del modelo.

Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco paraalmacenar los registros. El sistema podría pedirle que defina una ubicación alternativa para el almacenamientode la base de datos de administración. Si el dispositivo cuenta con espacio suficiente en el disco, pero prefiereguardar la base de datos en una ubicación alternativa, puede utilizar Migrar base de datos en la página Propiedadesde ELM para establecer esa ubicación.

Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos deadministración una vez que contiene registros, la sesión de ELM permanece en espera durante varias horashasta que finaliza la migración, en función del número de registros que contenga. Se recomienda definir estaubicación alternativa al configurar el dispositivo por primera vez.

Véase también Sustitución de una base de datos de administración de ELM duplicada en la página 102

Sustitución de una base de datos de administración de ELM duplicadaSi el dispositivo ELM de almacenamiento de la base de datos de administración duplicada tiene un problema,podría ser necesario sustituirlo.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de almacenamiento

de la base de datos de administración que tiene el problema y haga clic en el icono Propiedades .

2 Haga clic en Configuración de ELM y seleccione Migrar base de datos.

3 En Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista desplegable Dispositivo dealmacenamiento de datos duplicado.

4 Seleccione un nuevo dispositivo en Dispositivo de almacenamiento de datos duplicado o seleccione Ninguno paradetener la duplicación.

Si el dispositivo no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de almacenamiento.

Véase también Migración de la base de datos de ELM en la página 102



Recuperación de datos de ELMPara recuperar datos de Enterprise Log Manager (ELM), debe crear trabajos de búsqueda y comprobación deintegridad.

Ejecute una comprobación de integridad para determinar si los archivos definidos han cambiado desde que sealmacenaron originalmente. Esto puede alertarle de cambios no autorizados de archivos de contenido oarchivos críticos del sistema. Los resultados de esta comprobación muestran qué archivos han sido alterados.Si no se ha cambiado ningún archivo, el sistema le informa de que la comprobación fue correcta.

Puede realizar hasta 50 trabajos de búsqueda y comprobación de integridad simultáneamente. Si hay más de50 trabajos en el sistema, se le indicará que no se puede realizar la búsqueda. Puede eliminar búsquedasactuales en el sistema para poder realizar nuevas búsquedas. Colabore con su administrador del sistema paraeliminar trabajos actuales de búsqueda o comprobación de integridad para realizar la búsqueda que desea.

Realizar búsquedas complejas durante largos periodos de tiempo puede hacer que la búsqueda deje defuncionar. Considere la posibilidad de dividir estas búsquedas en periodos más cortos.

Una vez iniciada una búsqueda, continuará ejecutándose hasta que finalice o alcance un límite definido.

Véase también McAfee Enterprise Log Manager (ELM) en la página 84Configuración del almacenamiento de ELM en la página 87Redundancia de ELM en la página 97Administración de la compresión de ELM en la página 99Copia de seguridad de la configuración de ELM en la página 100Preparativos para almacenar datos en el ELM en la página 85Definición de trabajos de búsqueda ELM y comprobaciones de integridad en la página 103Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 104Uso de expresiones regulares para realizar consultas de datos de ELM en la página 104Uso de SFTP para recuperar registros de ELM en la página 105

Definición de trabajos de búsqueda ELM y comprobaciones de integridadPara buscar archivos que coincidan con sus criterios en Enterprise Log Manager (ELM), defina los parámetrospara el trabajo de búsqueda. También puede definir comprobaciones de integridad para determinar si losarchivos en Enterprise Log Manager (ELM) han cambiado desde su almacenamiento original.

Procedimiento


2 Seleccione Datos.

• En la ficha Buscar registros y archivos, configure los parámetros de búsqueda.

• En la ficha Comprobación de integridad, configure los parámetros de la comprobación.

3 Haga clic en Buscar.

Realizar búsquedas complejas durante largos periodos de tiempo puede hacer que la búsqueda deje defuncionar. Considere la posibilidad de dividir estas búsquedas en periodos más cortos.

Véase también Recuperación de datos de ELM en la página 103Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 104Uso de expresiones regulares para realizar consultas de datos de ELM en la página 104Uso de SFTP para recuperar registros de ELM en la página 105



Visualización de los resultados de una búsqueda o una comprobación de integridadCuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los resultados.

Antes de empezarEjecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.

Procedimiento1 En el árbol de navegación del sistema, seleccione el ELM y haga clic en el icono Propiedades .

2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.

3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.

Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM.

Se pueden perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual deESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM.

Véase también Recuperación de datos de ELM en la página 103Definición de trabajos de búsqueda ELM y comprobaciones de integridad en la página 103Uso de expresiones regulares para realizar consultas de datos de ELM en la página 104Uso de SFTP para recuperar registros de ELM en la página 105

Uso de expresiones regulares para realizar consultas de datos de ELMEnterprise Log Manager (ELM) utiliza índices de Bloom para optimizar las consultas. Aunque pueden utilizarsela mayoría de las expresiones regulares compatibles con PERL (PCRE) para las búsquedas del ELM, no todas lasPCRE pueden optimizarse para el uso de Bloom.

Aunque el optimizador de expresiones regulares de Bloom realiza un ajuste previo para ofrecer búsquedasóptimas, es posible obtener un rendimiento aún mejor de las consultas si se tienen en cuenta algunasconsideraciones.

• Solo pueden utilizarse las partes obligatorias de la expresión regular para el filtrado de Bloom. El filtro deBloom solo emplea las subcadenas de la expresión regular que existen en todas las cadenas coincidentes.La única excepción es que se puede utilizar una agrupación de OR de un nivel de profundidad como (seth|matt|scott|steve).

• No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatro caracteres. Porejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson solo emplea wilson porquetom es demasiado corto.

• Las agrupaciones de OR que contienen subcadenas no constantes o una subcadena demasiado corta no sepueden utilizar. Por ejemplo, no se puede utilizar (start|\w\d+|ending) porque el elemento central dela lista de OR no es una constante que se pueda buscar en Bloom. Otro ejemplo sería (seth|tom|steve),que no se puede utilizar porque tom es demasiado corto; sin embargo, se podría utilizar (seth|matt|steve).

El proceso del optimizador para la base de datos ejecuta una consulta de expresiones regulares a Bloom. Esteoptimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias.

A modo de ejemplo, la expresión regular original es:

\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|

La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto de búsqueda demás de un millón de archivos a tan solo 20 000.



La expresión regular se puede optimizar aún más de la forma siguiente:

(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|

En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás de cadaelemento del grupo, lo cual tiene dos consecuencias:

• Permite la inclusión de los caracteres de barra vertical.

• Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres,contengan más de cuatro, lo que implica que pueden utilizarse.

Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicaban al filtrode Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustes manuales en laexpresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegar a unos 2000 archivossolamente.

Realizar búsquedas complejas durante largos periodos de tiempo puede hacer que la búsqueda deje defuncionar. Considere la posibilidad de dividir búsquedas de largos periodos en intervalos de tiempo máspequeños.

Véase también Recuperación de datos de ELM en la página 103Definición de trabajos de búsqueda ELM y comprobaciones de integridad en la página 103Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 104Uso de SFTP para recuperar registros de ELM en la página 105

Uso de SFTP para recuperar registros de ELMConfigure Enterprise Log Manager (ELM) para permitir el acceso SFTP con el fin de recuperar registros de ELM.

Antes de empezarDebe tener derechos de Acceso a ELM mediante SFTP.

Procedimiento1 Abra a un cliente SFTP, como WinSCP 5.11, FileZilla, CoreFTP LE o FireFTP.

2 Conéctese a ELM mediante su dirección IP y el puerto SFTP configurado.

La fecha indica cuándo el sistema insertó el registro en el ELM.

Los archivos se presentan de dos maneras: (1) por origen de datos y luego por datos, y (2) por la fecha yluego por origen de datos.

3 Seleccione los registros y transfiéralos. Los pasos concretos para realizar esta tarea varían en función delcliente SFTP que utilice.

El número máximo de archivos para transferencias SFTP es 20 000.

Véase también Recuperación de datos de ELM en la página 103Definición de trabajos de búsqueda ELM y comprobaciones de integridad en la página 103Visualización de los resultados de una búsqueda o una comprobación de integridad en la página 104Uso de expresiones regulares para realizar consultas de datos de ELM en la página 104



McAfee Advanced Correlation Engine (ACE)McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real mediantela lógica basada tanto en reglas como en el riesgo.

Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores específicos osubredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las reproducciones históricasson compatibles con el ajuste de reglas, la conformidad y el análisis forense.

El ACE se puede configurar con los modos en tiempo real o histórico.

• Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección inmediata deriesgos y amenazas.

• Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores decorrelación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre nuevosataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado, permitiendo asíla detección de amenazas subzero-day.

Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM, ya queproporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una configuraciónpropia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas.

• Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La correlaciónbasada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un ajuste constante de lasfirmas y actualizaciones para que resulte efectiva. En la correlación sin reglas, las firmas de detección sesustituyen por una configuración única: basta con identificar lo que es importante para la empresa (comoun servicio o una aplicación particulares, un grupo de usuarios o tipos concretos de datos). La Correlación deriesgos rastrea entonces toda la actividad relacionada con estos elementos, creando así una calificación deriesgo dinámica que sube o baja en función de la actividad en tiempo real.

Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta delaumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en reglas tradicionalemplee el evento como condición para un incidente más amplio. El ACE conserva una pista de auditoríacompleta de las calificaciones de riesgo a fin de permitir todo tipo de análisis e investigaciones sobre lasituación de las amenazas a lo largo del tiempo.

• Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos tradicionalbasada en reglas para analizar la información recopilada en tiempo real. El ACE correlaciona todos losregistros, eventos y flujos de red junto con información contextual como identidad, funciones,vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza mayor.

Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACEcomplementa esta capacidad y proporciona un recurso de procesamiento dedicado para correlacionarvolúmenes aún mayores de datos, ya sea como suplemento de los informes de correlación existentes opara sustituirlos por completo.

Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperaciónde registros y eventos, conexión y directivas.

Véase también Selección del tipo de datos para la correlación en la página 107Adición de un administrador de correlación de riesgos en la página 107Adición de una calificación de correlación de riesgos en la página 109Funcionamiento de la correlación histórica en la página 110Activar correlación histórica en la página 110Visualización de eventos de correlación histórica en la página 111



Selección del tipo de datos para la correlaciónMcAfee ESM recopila datos de eventos y flujos. Seleccione los datos que desea enviar a McAfee AdvancedCorrelation Engine (ACE). La opción predeterminada es enviar datos de eventos únicamente.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.

2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.


Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Adición de un administrador de correlación de riesgos en la página 107Adición de una calificación de correlación de riesgos en la página 109

Adición de un administrador de correlación de riesgosAgregue administradores de correlación para calcular los niveles de riesgo de los campos designados.

Antes de empezar• Asegúrese de que exista un dispositivo administrador del registro de eventos (ELM) en McAfee

ESM.

• Asegúrese de que haya grupos de almacenamiento en el ELM.

• Asegúrese de que existan zonas.


2 En el árbol de navegación del sistema, seleccione el McAfee ACE y haga clic en el icono Propiedades .

3 Haga clic en Administración de correlación de riesgos.



4 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.

5 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.

Ficha Opción Definición

Principal Nombre Nombre del administrador

Activar Anule la selección de esta opción si desea desactivar el administrador.

Usar datos de eventos,Usar datos de flujos

Seleccione una opción o ambas para indicar el tipo de datos que deseeusar.

Si selecciona Usar datos de flujos, también debe dirigirse a Propiedades de ACE| Configuración ACE | Datos y seleccionar Datos de flujos.

Registro, Grupos dealmacenamiento

Seleccione Registro para guardar los registros en el administrador delregistro de eventos (ELM).Seleccione el grupo de almacenamiento del ELM donde quiera que seguarden los registros.

Zona Si desea que los datos se asignen a una zona, selecciónela en la listadesplegable.

Tolerancia de orden detiempo

(Solo Correlación de reglas)

Seleccione la cantidad de tiempo que los eventos pueden estar fuera delugar según la correlación de reglas. Por ejemplo, si establece 60 minutos,el sistema podrá usar un evento que haya acumulado un retraso de hasta59 minutos.

Campos Campo Seleccione los campos que debe usar este administrador paracorrelacionar eventos (con un máximo de cinco por administrador).

Porcentaje Seleccione el porcentaje que desea aplicar a cada campo. Los porcentajescombinados deben sumar 100.

Las actualizaciones de riesgo, cuando se encuentran por debajo del 100 %del nivel crítico, informan de su criticidad según lo que se haya definidocomo Información, Leve, Advertencia, Grave y Crítico (véase la ficha Umbrales).Por ejemplo, si su idea de Información corresponde al 50 % del valorcrítico cuando el riesgo está al 50 % de criticidad, la gravedad será enrealidad 20 en lugar de 50.

Correlacionar Seleccione esta opción si no desea que se use un campo para determinar laexclusividad.Evite realizar la correlación con varios campos de alta cardinalidad debido alos elevados requisitos de memoria.

El número de líneas de riesgo generadas dependerá del número decombinaciones exclusivas de todos los campos correlacionados.

Umbrales Sección superior Permite establecer los umbrales de calificación para activar un evento porcada nivel de criticidad.

Sección inferior Permite establecer la tasa de reducción de la calificación. La configuraciónpredeterminada establece que, por cada 120 segundos que una calificaciónesté en un contenedor, se reducirá en un 10 % hasta que alcance unacalificación de 5. Entonces, se elimina el contenedor de los valores decampos exclusivos.




Filtros AND lógico, OR lógico Configure la estructura de los filtros mediante elementos lógicos.

Componente de filtradode campos Arrastre y suelte el icono Coincidir componente en un elemento lógico y,

después, rellene la página Agregar campo de filtro.

Para editar las condiciones de un componente una vez agregado a un

elemento lógico, haga clic en el icono Menú correspondiente alcomponente y seleccione Editar. Esto le permitirá realizar cambios en laconfiguración.

Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Selección del tipo de datos para la correlación en la página 107Adición de una calificación de correlación de riesgos en la página 109

Adición de una calificación de correlación de riesgosEs necesario agregar sentencias condicionales que asignen una calificación a un campo de destino.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de correlación de

riesgos.

2 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.

Opción Definición

Calificación activada Active la sentencia condicional.

Tipo de datos Seleccione el tipo de datos que desee que resulte visible para la sentenciacondicional. Puede seleccionar Evento, Flujo o ambos tipos.

Campo de calificación Busque el campo que recibirá la calificación deseada.

Campo de búsqueda Busque el campo con el que hacer coincidir el tipo de origen.

Tipo de origen Seleccione el tipo de origen que utilizar para la comparación. Si el tipo de origenseleccionado contiene un valor de calificación además del valor de coincidencia, seaplicará esa calificación. También es posible asignar una calificación introducidamanualmente si se activa la casilla de verificación de la columna Usar calificación.

Valor Escriba o seleccione el valor de comparación. Las opciones disponibles en estacolumna varían en función del tipo de origen seleccionado en la columna anterior.

Usar calificación Seleccione la casilla de verificación para utilizar una calificación introducidamanualmente.

Calificación La calificación que se asignará al Campo de calificación seleccionado. Existe laposibilidad de aplicar una calificación fusionada al campo de calificación cuando seintroducen varias reglas en la cuadrícula.

Ponderación Ponderación asignada a la fila o el tipo de origen para una calificación fusionada dela sentencia condicional (no puede superar el 100 %).

Botón Agregar fila Permite agregar una nueva fila condicional a la sentencia condicional general.

Ponderación total Total de cada una de las filas o tipos de origen bajo la columna de ponderación.

Intervalo de calificaciónde riesgo actual para

El intervalo de calificación que se puede asignar al campo seleccionado comocampo de calificación en función del resultado de las filas condicionales.



Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Selección del tipo de datos para la correlación en la página 107Adición de un administrador de correlación de riesgos en la página 107

Funcionamiento de la correlación históricaUse la correlación histórica para correlacionar eventos pasados.Cuando el sistema descubra una nueva vulnerabilidad, compruebe los eventos históricos y los registros paradeterminar si su organización ha sido objeto de exploits en el pasado. Vuelva a reproducir eventos históricosutilizando el motor de correlación sin reglas de Correlación de riesgos y el motor de correlación de eventos basadoen reglas estándar.

Contraste eventos históricos con las amenazas actuales en estas situaciones:

• La correlación no estaba configurada en el momento de activación de determinados eventos. Correlacionarestos eventos puede desvelar información valiosa.

• Configure una nueva correlación en función de los eventos activados en el pasado y pruebe la nuevacorrelación para confirmar los resultados.

Tenga en cuenta lo siguiente cuando utilice la correlación histórica:

• La correlación en tiempo real no puede ejecutarse hasta que se desactiva la correlación histórica.

• La agregación de eventos sesga la distribución de los riesgos.

• Cuando mueva Risk Manager de vuelta a la correlación de riesgos en tiempo real, ajuste los umbrales.

Para configurar y ejecutar la correlación histórica es necesario:

1 Agregar un filtro de correlación histórica.

2 Ejecutar una correlación histórica.

3 Descargar y ver los eventos históricos correlacionados.

Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Activar correlación histórica en la página 110Visualización de eventos de correlación histórica en la página 111

Activar correlación históricaActive la correlación histórica, que revisa los eventos, aplica los filtros y empaqueta los eventoscorrespondientes.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.


3 Seleccione Activar correlación histórica y haga clic en Aplicar.

La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.

4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.

Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Funcionamiento de la correlación histórica en la página 110Visualización de eventos de correlación histórica en la página 111



Visualización de eventos de correlación históricaDespués de realizar la correlación histórica, puede ver los eventos generados.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros | Obtener

eventos.

Los eventos resultantes de la ejecución de la correlación histórica se descargarán a McAfee ESM.

2 Cierre la ventana Propiedades de ACE.

3 Para ver los datos:

a En el árbol de navegación del sistema, seleccione el dispositivo Advanced Correlation Engine (ACE) en elque se ha ejecutado la correlación histórica.

b En la lista desplegable del periodo de tiempo, seleccione el periodo especificado al configurar laejecución.

Véase también McAfee Advanced Correlation Engine (ACE) en la página 106Funcionamiento de la correlación histórica en la página 110Activar correlación histórica en la página 110

McAfee Application Data MonitorMcAfee Application Data Monitor rastrea el uso de datos confidenciales en la red analizando los protocolossubyacentes, la integridad de las sesiones y el contenido de las aplicaciones.

Cuando McAfee Application Data Monitor detecta una infracción, conserva todos los detalles de la sesión deesa aplicación para su uso en la respuesta ante incidentes y el análisis forense, o para cumplir los requisitos deauditoría de conformidad. Al mismo tiempo, McAfee Application Data Monitor proporciona visibilidad sobre lasamenazas que intenten ocultarse como aplicaciones legítimas.

McAfee Application Data Monitor puede detectar la transmisión de información de carácter confidencial en losdatos adjuntos de correo electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudesHTTP POST u otras aplicaciones. Personalice las capacidades de detección de McAfee Application Data Monitordefiniendo sus propios diccionarios de información confidencial y delicada. Al hacerlo, McAfee Application DataMonitor puede detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar latransgresión para conservar una traza de auditoría.

McAfee Application Data Monitor supervisa, descodifica y detecta anomalías en los siguientes protocolos deaplicación:

• Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente)

• Correo electrónico: SMTP, POP3, NNTP, MAPI

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

McAfee Application Data Monitor acepta expresiones de regla, las comprueba en relación con el tráficosupervisado e inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena elpaquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega metadatos denivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada regla activada. Almacenauna representación en texto de la pila del protocolo en el campo de paquete de la tabla de consultas.



McAfee Application Data Monitor puede generar los siguientes tipos de eventos:

• Metadatos: McAfee Application Data Monitor genera un evento de metadatos por cada transacción quetiene lugar en la red con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo.McAfee Application Data Monitor coloca los eventos de metadatos en la tabla de consultas y los agrupa através de la tabla de sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, McAfeeApplication Data Monitor los agrupa.

• Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en losmódulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o paracontener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no válido. Loseventos de anomalía de protocolo son poco frecuentes y McAfee Application Data Monitor los coloca en latabla de eventos.

• Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla quedetectan anomalías en los metadatos generados por el motor de Internet Communications Engine (ICE).Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las horas habituales o queun servidor SMTP se comunique inesperadamente mediante FTP. Los eventos de activador de regla sonpoco frecuentes y McAfee Application Data Monitor los coloca en la tabla de eventos.

La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de regladetectado. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el ID de sesión(sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos de metadatos) queactivaron el evento. Cada evento está vinculado también con la tabla de paquetes, donde hay disponibles datosde paquete sin procesar sobre el paquete que activó el evento.

La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales como ungrupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de sesión estánvinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más detalles acerca de lastransferencias de red individuales (eventos de metadatos). Además, si una transferencia de la sesión provocauna anomalía de protocolo o activa una regla, existe un vínculo a la tabla de eventos.

La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido quetienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID de sesión. Si latransferencia de red representada por el registro activa una anomalía de protocolo o una regla, existe unvínculo con la tabla de eventos. También existe un vínculo con la tabla de paquetes mediante el campo detexto, donde se encuentra una representación textual de la pila de contenido o el protocolo completo.

Véase también Configuración de la zona horaria de McAfee Application Data Monitor en la página 112Visualización de contraseñas en el Visor de sesión en la página 113Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113

Configuración de la zona horaria de McAfee Application Data MonitorEl sistema utiliza la zona horaria establecida cuando McAfee Application Data Monitor (McAfee Application DataMonitor) evalúa reglas.

La zona horaria predeterminada (McAfee Application Data Monitor) está configurada como GMT, pero el códigode McAfee Application Data Monitor supone que el dispositivo está configurado de acuerdo con su zonahoraria. Establezca la zona horaria según su zona horaria para que las reglas usen su desencadenador de hora,no la zona de horaria GMT.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

2 Haga clic en Zona horaria y seleccione su zona horaria.




Véase también McAfee Application Data Monitor en la página 111Visualización de contraseñas en el Visor de sesión en la página 113Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113

Visualización de contraseñas en el Visor de sesiónEl Visor de sesión permite ver los detalles de las últimas 25 000 consultas de McAfee Application Data Monitor(McAfee Application Data Monitor) de una sesión. Algunas reglas de eventos pueden estar relacionadas concontraseñas. Puede seleccionar si mostrar o no las contraseñas en el Visor de sesión.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

De forma predeterminada, las contraseñas no se muestran.

2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y haga clic en Aceptar.

Véase también McAfee Application Data Monitor en la página 111Configuración de la zona horaria de McAfee Application Data Monitor en la página 112Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113

Funcionamiento de los diccionarios de McAfee Application Data MonitorCuando escriba reglas de McAfee Application Data Monitor (McAfee Application Data Monitor), use diccionariosque conviertan las claves capturadas de la red en valores definidos. Asimismo, se pueden ver las claves sinvalor que emplean de forma predeterminada el valor booleano verdadero cuando están presentes.

Los diccionarios de McAfee Application Data Monitor permiten especificar las claves de un archivo con rapidezen lugar de tener que escribir una regla individual por cada palabra. Por ejemplo, configure una regla paraseleccionar correo electrónico con palabras concretas, compile un diccionario con palabras inadecuadas eimporte este diccionario. Es posible crear una regla como la siguiente para comprobar la existencia de correoelectrónico que contenga alguna de las palabras del diccionario:

protocol == email && naughtyWords[objcontent]

Cuando se escribe una regla mediante el editor de reglas de McAfee Application Data Monitor, puedeseleccionar el diccionario al que debe hacer referencia la regla.

Los diccionarios admiten millones de entradas.

La adición de un diccionario a una regla implica los pasos siguientes:

1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores.

2 Administración del diccionario en McAfee ESM.

3 Asignar el diccionario a una regla.

Véase también McAfee Application Data Monitor en la página 111Configuración de la zona horaria de McAfee Application Data Monitor en la página 112Visualización de contraseñas en el Visor de sesión en la página 113Sintaxis de las reglas de McAfee® Application Data Monitor en la página 118Tipos de términos de reglas de McAfee® Application Data Monitor en la página 120Referencias métricas de reglas de McAfee® Application Data Monitor en la página 122



Configuración de diccionarios de McAfee Application Data MonitorUn diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay diccionarios de unacolumna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una clave como un valor.

Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores sonbooleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se utiliza elvalor booleano verdadero si no se indica otro.

Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por McAfee ApplicationData Monitor: cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de McAfee ApplicationData Monitor deben respetar las siguientes directrices de formato:

Tipo Reglas de sintaxis Ejemplos Contenido decoincidencia

Cadena • Las cadenas se deben delimitarentre comillas dobles

• Las comillas dobles incluidas en unacadena deben ir acompañadas debarras diagonales invertidas a modode caracteres de escape antes decada signo de comillas.

“Contenido malo”

“Dijo: \“Contenido malo\””

Contenido malo

Dijo: “Contenidomalo”

Expresiónregular

• Las expresiones regulares sedelimitan mediante barrasdiagonales simples

• Las barras diagonales y loscaracteres de expresión regularreservados incluidos en la expresiónregular se deben acompañar debarras diagonales invertidas comocaracteres de escape.

/[Aa]pple/

/apple/i

/ [0–9]{1,3}\.[0–9]{1,3}\.[0–9]\.[0–9]/

/1\/2 de todo/

Apple o apple

Apple o apple

Direcciones IP:

1.1.1.1

127.0.0.1

1/2 de todo

Números • Valores decimales (0-9)

• Valores hexadecimales (0x0-9a-f)

• Valores octales (0-7)

Valor decimal

Valor hexadecimal

Valor octal

123

0x12ab

0127

Booleanos • Pueden ser verdaderos o falsos

• Todo minúsculas

Literales booleanos verdadero

falso

IPv4 • Se puede escribir en el formatoestándar de cuatro númerosseparados por puntos

• Se puede escribir en notación CIDR

• Se puede escribir en formato largocon máscaras completas

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0-255]

192.168.1.[0-255]

Tenga en cuenta lo siguiente sobre los diccionarios:

• Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en losdiccionarios.

• Una columna solo puede constar de un tipo compatible con McAfee Application Data Monitor. Esto significaque no se pueden combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) enun único archivo de diccionario de McAfee Application Data Monitor.



• Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#) seconsideran comentarios en un diccionario de McAfee Application Data Monitor.

• Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener unalongitud total igual o inferior a 20 caracteres.

• No se admiten listas.

• Se deben editar o crear fuera del ESM mediante cualquier editor de texto. Se pueden importar o exportardesde el ESM para facilitar la modificación o creación de nuevos diccionarios de McAfee Application DataMonitor.

Diccionarios de McAfee Application Data Monitor de referenciaCuando se importen diccionarios de McAfee Application Data Monitor (McAfee Application Data Monitor) enMcAfee ESM, consúltelos al escribir reglas.

Antes de empezarImporte el diccionario de McAfee Application Data Monitor en McAfee ESM.


2 En el árbol de navegación del sistema, seleccione el ADM y haga clic en el icono Editor de directivas .

3 En Tipos de reglas, seleccione ADM en el Editor de directivas, .

4 Haga clic en Nuevo | Regla de ADM.

5 Agregue la información solicitada y, a continuación, arrastre y suelte un elemento lógico en el área Lógica deexpresión.

6 Arrastre y suelte el icono Componente de expresión en el elemento lógico.

7 Para configurar el componente de expresión, seleccione el diccionario de ADM.



Ejemplos de diccionarios de McAfee Application Data MonitorMcAfee Application Data Monitor (McAfee Application Data Monitor) puede buscar coincidencias entre elcontenido de objetos u otra métrica o propiedad y un diccionario de una única columna para indicar un valorverdadero o falso (existe en el diccionario o no existe en el diccionario).

Tabla 3-2 Ejemplos de diccionarios de una columna

Tipo de diccionario Ejemplo

Diccionario de cadenas conpalabras comunes en spam

“Cialis”

“cialis”

“Viagra”

“viagra”

“web para adultos”

“Web para adultos”

“¡actúe ahora, no se lo piense!”

Diccionario de expresionesregulares con palabras clave deautorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i

/fondos[â-z0-9]{1,3}transacción/i

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i

Diccionario de cadenas convalores de hash de ejecutablesmaliciosos conocidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Direcciones IP de activos críticos 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tabla 3-3 Ejemplos de diccionarios de dos columnas


Diccionario de cadenas conpalabras y categorías comunesen spam

“Cialis” “genérico”

“cialis” “genérico”

“Viagra” “genérico”

“viagra” “genérico”

“web para adultos” “adultos”

“Web para adultos” “adultos”

“¡actúe ahora, no se lo piense!” “fraude”

Diccionario de expresionesregulares con palabras clave ycategorías de autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i“credenciales”

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i “pii”

/fondos[â-z0-9]{1,3}transacción/i “sox”

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i "sox"

Diccionario de cadenas convalores de hash y categorías deejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9" "Troyano"

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”

"ff669082faf0b5b976cec8027833791c" "Troyano"

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Direcciones IP de grupos yactivos críticos

192.168.1.12 “Activos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Activos críticos”

Administración de diccionarios de McAfee Application Data MonitorUna vez que se ha instalado y guardado un diccionario de McAfee Application Data Monitor (McAfee ApplicationData Monitor), deberá importarlo a McAfee ESM. También es posible exportarlo, editarlo y eliminarlo.

Procedimiento1 En el Editor de directivas, haga clic en Herramientas y seleccione Administrador de diccionarios de ADM.

La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,foullanguage, icd9_desc y spamlist) y cualquier diccionario que se haya importado al sistema.

2 Lleve a cabo cualquiera de las acciones disponibles y haga clic en Cerrar.

Cuando se elimina un diccionario, cualquier intento de desplegar un conjunto de reglas con reglas que haganreferencia a este diccionario provocará un error de compilación. Si este diccionario esté asignado a una regla,vuelva a escribir la regla para que no haga referencia al diccionario o no elimine el diccionario. En caso dediscrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor, y el contenido del archivo, elsistema indicará que los datos no son válidos.



Sintaxis de las reglas de McAfee® Application Data MonitorLas reglas de McAfee Application Data Monitor proporcionan un conjunto de literales (números, cadenas,expresiones regulares, direcciones IP, direcciones MAC y valores booleanos) similar a las expresiones de C.

Pueden compararse términos de cadena con literales de cadena y de expresión regular para comprobar sucontenido, pero también se pueden comparar con números para comprobar su longitud. Solo puedencompararse términos numéricos, de direcciones IP y de direcciones MAC con el mismo tipo de valor literal. Laúnica excepción es que todo puede tratarse como un booleano para comprobar su existencia. Algunostérminos pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de losarchivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.

Tabla 3-4 Operadores

Operador Descripción Ejemplo

&& AND lógico protocol = = http && type = = image/gif

|| OR lógico time.hour < 8 || time.hour > 18

^ ^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unario ! (protocol = = http | | protocol = = ftp)

= = Igual que type = = application/pdf

! = No igual que srcip ! = 192.168.0.0/16

> Mayor que objectsize > 100M

> = Mayor o igual que time.weekday > = 1

< Menor que objectsize < 10K

< = Menor o igual que time.hour < = 6

Tabla 3-5 Literales

Literal Ejemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadena "una cadena"

Expresión regular /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booleano true, false

Tabla 3-6 Compatibilidad entre tipos y operadores

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresión regular

Cadena >, > =, <, <= Comparar la longitud de la cadena

IPv4 = =, ! =

MAC = =, ! =

Booleano = =, ! = Comparar con verdadero/falso; también admite la comparación implícita converdadero, por ejemplo, lo siguiente comprueba si aparece el término“email.bcc”: email.bcc



Tabla 3-7 Gramática de expresiones regulares de McAfee Application Data Monitor

Operadores básicos

| Alternancia (o)

* Cero o más

+ Uno o más

? Cero o uno

( ) Agrupación (a | b)

{ } Intervalo repetitivo {x} o {,x} o {x,} o {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo de exclusión [^abc] [^0-9]

. Cualquier carácter

\ Carácter de escape

Caracteres de escape

\d Dígito [0-9]

\D No dígito [^0-9]

\e Escape (0x1B)

\f Avance de página (0x0C)

\n Avance de línea (0x0A)

\r Retorno de carro (0x0D)

\s Espacio en blanco

\S No espacio en blanco

\t Tabulación (0x09)

\v Tabulación vertical (0x0B)

\w Palabra [A-Za-z0-9_]

\W No palabra

\x00 Representación hexadecimal

\0000 Representación octal

^ Inicio de línea

S Fin de línea

Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.



Clases de caracteres POSIX

[:alunum:] Dígitos y letras

[:alpha:] Todas las letras

[:ascii:] Caracteres ASCII

[:blank:] Espacio y tabulación

[:cntrl:] Caracteres de control

[:digit:] Dígitos

[:graph:] Caracteres visibles

[:lower:] Letras minúsculas

[:print:] Espacios y caracteres visibles

[:punct:] Puntuación y símbolos

[:space:] Todos los caracteres de espacio en blanco

[:upper:] Caracteres en mayúscula

[:word:] Caracteres de palabras

[:xdigit:] Dígito hexadecimal

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Tipos de términos de reglas de McAfee® Application Data Monitor en la página 120Referencias métricas de reglas de McAfee® Application Data Monitor en la página 122

Tipos de términos de reglas de McAfee® Application Data MonitorLas reglas de McAfee Application Data Monitor contienen términos que pueden ser direcciones IP, direccionesMAC, números, cadenas o un valor booleano.

Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un término de un tipoespecífico solo se puede comparar con un literal del mismo tipo o con una lista de literales de ese tipo (o unalista de listas del mismo tipo, etc.).

Excepciones:

• Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La reglasiguiente se activa si una contraseña tiene menos de ocho caracteres de longitud ("Password" es un términode cadena): Password < 8

• Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa si unacontraseña solo contiene letras minúsculas: Password == /^[a-z]+$/

• Todos los términos se pueden comprobar con respecto a literales booleanos para averiguar si estánpresentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una dirección CC("email.cc" es un término de cadena): email.cc == true



Tipo Descripción del formato

DireccionesIP

• Los literales de dirección IP se escriben con el formato estándar de cuatro númerosseparados por puntos y no se delimitan mediante comillas: 192.168.1.1

• Las direcciones IP pueden presentar una máscara expresada en notación CIDR estándar; nodeben existir espacios en blanco entre la dirección y la máscara: 192.168.1.0/24

• Las direcciones IP también se pueden escribir con el formato largo:192.168.1.0/255.255.255.0

DireccionesMAC

• Los literales de dirección MAC se escriben mediante la notación estándar y, al igual que lasdirecciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff

Números • Todos los números de las reglas de McAfee Application Data Monitor son enteros de 32 bits.Se pueden expresar en formato decimal: 1234

• Se pueden expresar en formato hexadecimal: 0xabcd

• Se pueden expresar en formato octal: 0777

• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o1 073 741 824 (G): 10M

Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"

• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una \"cadena\" quecontiene\x20secuencias de escape\n"

• Al comparar un término con una cadena, el término debe coincidir con la cadena alcompleto. Si un mensaje de correo electrónico tiene la dirección de origen"[email protected]", no se activará la siguiente regla: email.from == "@sitio.com"

• Para usar la coincidencia parcial con un término, use un literal de expresión regular en sulugar. Se deben utilizar literales de cadena siempre que sea posible, ya que resultan máseficientes.

Todos los términos de dirección de correo electrónico y URL se normalizan antes de lacoincidencia, por lo que no es necesario tener en cuenta aspectos como los comentariosincluidos en las direcciones de correo electrónico.

Booleanos • Los literales booleanos son verdadero (true) y falso (false).




Expresionesregulares

• Los literales de expresión regular emplean la misma notación que algunos lenguajes, comoJavaScript y Perl, por lo que la expresión regular se delimita mediante barras diagonales: /[a-z]+/

• Las expresiones regulares pueden ir seguidas de indicadores de modificación estándar,aunque "i" es el único que se reconoce actualmente (sin distinción entre mayúsculas yminúsculas): /[a-z]+/i

• Use la sintaxis extendida de POSIX para literales de expresiones regulares. En este momento,las extensiones Perl funcionan para todos los términos excepto el de contenido, pero estopodría cambiar en versiones futuras.

• Si se compara un término con una expresión regular, esta puede coincidir con cualquiersubcadena incluida en el término a menos que se apliquen operadores de anclaje dentro deella. La siguiente regla se activa si se detecta un mensaje de correo electrónico con ladirección "[email protected]": email.from == /@sitio.com/

Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y separadospor comas: [1, 2, 3, 4, 5]

• Las listas pueden contener cualquier tipo de literal, incluidas otras listas: [192.168.1.1,[10.0.0.0/8, 172.16.128.0/24]]

• Las listas solo deben contener un literal; no es correcto combinar cadenas y números,cadenas y expresiones regulares, o direcciones IP y direcciones MAC.

• Cuando se emplea una lista con cualquier operador relacional distinto de "no igual a" (!=), laexpresión es verdadera si el término coincide con cualquier literal de la lista. La siguienteregla se activa si la dirección IP de origen coincide con cualquiera de las direcciones IP de lalista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• Cuando se utiliza con el operador "no igual a" (!=), la expresión es verdadera si el término nocoincide con todos los literales de la lista. La siguiente regla se activa si la dirección IP deorigen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1, 192.168.1.2]

• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2

• Las listas también se pueden usar con otros operadores relacionales, aunque no tengamucho sentido. La siguiente regla se activa si el tamaño del objeto es superior a 100, o biensi es superior a 200: objectsize > [100, 200]

• Esto es equivalente a: objectsize > 100 || objectsize > 200

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Sintaxis de las reglas de McAfee® Application Data Monitor en la página 118Referencias métricas de reglas de McAfee® Application Data Monitor en la página 122

Referencias métricas de reglas de McAfee® Application Data MonitorUtilice las siguientes referencias métricas cuando agregue reglas de McAfee Application Data Monitor.

En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede indicar paracada una se muestra entre paréntesis tras la referencia métrica.

Propiedades comunes



Propiedad o término Descripción

Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).

Contenido de objeto (cadena) El contenido de un objeto (texto de un documento, mensaje de correoelectrónico o mensaje de chat, etc.). La coincidencia de contenido no estádisponible para los datos binarios. Sin embargo, los objetos binarios sepueden detectar mediante el tipo de objeto (objtype).

Tipo de objeto (número) Especifica el tipo de contenido según lo determine McAfee Application DataMonitor (documentos de Office, mensajes, vídeos, audio, imágenes,archivos o ejecutables).

Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K, M yG tras el número (10K, 10M, 10G).

Object Hash (cadena) El hash del contenido (actualmente, MD5).

Dirección IP de origen del objeto(número)

Dirección IP de origen del contenido. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Dirección IP de destino delobjeto (número)

La dirección IP de destino del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Object Source Port (número) El puerto TCP/UDP de origen del contenido.

Object Destination Port(número)

El puerto TCP/UDP de destino del contenido.

Dirección IP v6 de origen delobjeto (número)

Dirección IPv6 de origen del contenido.

Object Destination IPv6 Address(número)

Dirección IPv6 de destino del contenido.

Dirección MAC de origen delobjeto (nombre de MAC)

Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).

Dirección MAC de destino delobjeto (nombre de MAC)

Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).

Dirección IP de origen del flujo(IPv4)

La dirección IP de origen del flujo. La dirección IP se puede especificar como192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Dirección IP de destino del flujo(IPv4)

La dirección IP de destino del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Source Port (número) Puerto TCP/UDP de origen del flujo.

Flow Destination Port (número) Puerto TCP/UDP de destino del flujo.

Flow Source IPv6 Address(número)

Dirección IPv6 de origen del flujo.

Flow Destination IPv6 Address(número)

Dirección IPv6 de destino del flujo.

Dirección MAC de origen delflujo (nombre de MAC)

Dirección MAC de origen del flujo.

Dirección MAC de destino delflujo (nombre de MAC)

Dirección MAC de destino del flujo.

VLAN (número) ID de LAN virtual.

Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1 correspondeal lunes.

Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre 0 y23.




Declared Content Type (cadena) Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de objeto(objtype) es siempre el tipo real, mientras que el tipo de contenidodeclarado (content-type) no resulta fiable, ya que el servidor o la aplicaciónlo pueden falsificar.

Password (cadena) La contraseña utilizada por la aplicación para la autenticación.

URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.

File Name (cadena) Nombre del archivo transferido.

Display Name (cadena)

Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.

Anomalías comunes

• User logged off (literal booleano)

• Authorization error (literal booleano)

• Authorization successful (literal booleano)

• Authorization failed (literal booleano)

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Sintaxis de las reglas de McAfee® Application Data Monitor en la página 118Tipos de términos de reglas de McAfee® Application Data Monitor en la página 120

Propiedades específicas de protocolosAdemás de proporcionar propiedades comunes a la mayoría de los protocolos, McAfee

®

Application DataMonitor también ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas deMcAfee Application Data Monitor.

Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:

* Solo detección** Sin descifrado, se capturan los certificados X.509 y los datos cifrados*** A través del módulo RFC822

Tabla 3-8 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**

Nombre de pantallaNombre de archivo

Nombre de host

URL

Nombre de pantalla

Nombre de archivo

Nombre de host

Sitio de referencia

URL

Todos los encabezados HTTP

Nombre de pantalla

Nombre de archivo

Nombre de host

Nombre de pantalla

Nombre de archivo

Nombre de host



Tabla 3-9 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO

CC

Nombre de pantalla

De

Nombre de host

Asunto

Para

Nombre de usuario

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

Nombre de usuario

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Para***

Asunto***

Tabla 3-10 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo

Nombre de datosadjuntos

CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***

Véase también Anomalías de protocolo en la página 125

Anomalías de protocoloMás allá de las propiedades comunes y las propiedades de protocolos específicos, McAfee

®

Application DataMonitor también detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todaslas propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente deexpresión cuando se agrega una regla de McAfee Application Data Monitor.

Tabla 3-11 IP

Término Descripción

ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.

ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.

ip.fragmented El paquete IP está fragmentado.

ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.

ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.



Tabla 3-12 TCP


tcp.too-small El paquete TCP es demasiado pequeño para contener un encabezadoválido.

tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final del paquete.

tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.

tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.

tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.

tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeña de TCP delmódulo, no la ventana real).

tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no se hadefinido el indicador URG.

Tabla 3-13 DNS


dns.too-small El paquete DNS es demasiado pequeño para contener un encabezado válido.

dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.

dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.

dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de longitud.

dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.

Véase también Propiedades específicas de protocolos en la página 124

McAfee Database Event Monitor (DEM)McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de auditoríacentralizado y proporciona funciones de normalización, correlación, análisis y generación de informes sobredicha actividad. Si la actividad de la red o un servidor de base de datos coincide con patrones conocidos queindican un acceso a datos malicioso, el DEM genera una alerta. Además, todas las transacciones se registranpara garantizar la conformidad.

El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la mismainterfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil ajustar perfilesespecíficos de supervisión de bases de datos (qué reglas se implementan, qué transacciones se registran, etc.),lo cual reduce los falsos positivos y mejora la seguridad en general.

El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases de datosmediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de intrusiones. Paragarantizar que la actividad de todos los servidores de base de datos se pueda supervisar a través de la red,coordine el despliegue inicial del DEM junto con sus equipos de conexión de red, seguridad, conformidad ybases de datos.

Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de red oconcentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o supervisar el tráficoen los servidores de base de datos y crear un registro de auditoría.



Sistema operativo Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows, UNIX/Linux (todas lasversiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g (c), 11gR2³

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (disponible en laversión 8.4.0 o posterior)

11.5

Windows, UNIX/Linux (todas lasversiones)

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas las versiones) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0 yposteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

Lo siguiente es aplicable a estos servidores y estas versiones:

• Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las plataformasde base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite en MSSQL y Oracle.

Véase también Configuración de opciones avanzadas de DEM en la página 128Definición de acciones para eventos de DEM en la página 129

Actualización de la licencia de DEMEl dispositivo McAfee Database Event Monitor (DEM) incluye una licencia de forma predeterminada. Si cambialas capacidades del DEM, McAfee le enviará una nueva licencia en un mensaje de correo electrónico y deberáactualizarla.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.

2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.


El sistema actualizará la licencia y le avisará cuando haya terminado.

4 Despliegue la directiva en el DEM.



Sincronización de los archivos de configuración de DEMCuando los archivos de configuración de McAfee Database Event Monitor (DEM) no están sincronizados con eldispositivo DEM, es necesario escribirlos en el DEM.


2 Haga clic en Sincronizar archivos.

Configuración de opciones avanzadas de DEMSi experimenta una carga pesada en McAfee Database Event Monitor (DEM), modifique o mejore el rendimientode DEM.


2 Haga clic en Avanzado y defina las siguientes opciones:

Opción Definición

Nivel de detalle delarchivo de registro

Establece el nivel de detalle de la información de registro enviada del agente de DEM aladministrador del DEM: Información, Advertencia y Depuración.

Si selecciona Depuración, la información será detallada y puede consumir una grancantidad de espacio de disco.

Puerto de registro deagente y Puerto deservicio de agente

Cambia los puertos predeterminados de registro y servicio del agente. Se trata de lospuertos que se emplean para comunicarse con el agente.

Usar cifrado Indique si se debe cifrar o no la información enviada al administrador de DEM desde elagente de DEM. Este registro se descifra cuando se recibe.

IP de servidorKerberos

Indique la dirección IP del servidor Kerberos si desea recuperar los nombres deusuario mediante el análisis del protocolo Kerberos para la autenticación de la base dedatos con el uso de la Seguridad integrada de Windows.

Pueden especificarse diversas opciones de IP, puertos y VLAN mediante el formatosiguiente: IP;PUERTO;VLAN;IP;PUERTO (por ejemplo, 10.0.0.1;88;11,10.0.0.2;88;12). IPv6también se admite con este mismo formato.

Memoria compartida Elija el tamaño del búfer que empleará el DEM para procesar eventos de base dedatos. El aumento del tamaño del búfer proporciona un mejor rendimiento.

Repositorio deeventos

Seleccione la ubicación desde la que se recuperarán los eventos. Si selecciona Archivo,se leerá el archivo del DEM local y se analizarán esos eventos. Si selecciona EDB, serecopilarán los eventos de la base de datos.



3 Anule la selección de cualquiera de las opciones siguientes:

Opción Definición

Captura de paquetes deMcAfee Firewall

Proporciona al DEM una forma más rápida de analizar los datos de la base dedatos.

Rastreo de transacciones Rastrea las transacciones de base de datos y conciliar los cambiosautomáticamente. Anule su selección para aumentar la velocidad del DEM.

Rastreo de identidades deusuario

Rastrea las identidades de usuario cuando no se propagan a la base de datosdebido al uso de nombres de usuario genéricos para acceder a la base dedatos. Anule su selección para aumentar la velocidad del DEM.

Enmascaramiento de datosconfidenciales

Evita la visualización no autorizada de datos confidenciales gracias a lasustitución de la información de carácter confidencial por una cadena genéricadefinida por el usuario, denominada "máscara". Anule su selección paraaumentar la velocidad del DEM.

Auditoría de hosts locales Audita los hosts locales para rastrear las rutas de acceso desconocidas a labase de datos y enviar eventos en tiempo real. Anule su selección paraaumentar la velocidad del DEM.

Análisis de consultas Lleva a cabo inspecciones de consultas. Anule su selección para aumentar lavelocidad del DEM.

Captura de primera fila deresultado

Permite ver la primera fila del resultado de una consulta cuando se recuperaun paquete para un evento y se ha establecido una gravedad para la sentenciade selección inferior a 95. Anule su selección para aumentar la velocidad delDEM.

Compatibilidad de variable deenlace

Reutiliza la variable de enlace de Oracle una y otra vez sin necesidad de volvera analizar el comando cada vez que se ejecuta.


Véase también McAfee Database Event Monitor (DEM) en la página 126Definición de acciones para eventos de DEM en la página 129

Aplicación de las opciones de configuración al DEMAplique la configuración de Database Event Monitor (DEM) al dispositivo DEM.


2 Haga clic en Aplicar.

Definición de acciones para eventos de DEMDefina acciones y operaciones de Database Event Monitor (DEM) para eventos, que DEM utilizará para filtrardirectivas de acceso a datos y reglas. Defina las operaciones para acciones predeterminadas y personalizadas.

DEM incluye las siguientes operaciones y acciones predeterminadas:

• ninguna • secuencia de comandos

• ignorar • restablecer

• rechazar



Si selecciona Secuencia de comandos como operación, se requiere un alias (SCRIPT ALIAS) que seleccione el scriptreal (SCRIPT NAME) que ejecutar cuando se produzca un evento con la criticidad indicada. Al script se pasan dosvariables de entorno (ALERT_EVENT y ALERT_REASON. ALERT_EVENT) que contienen una lista de medicionesseparadas por punto y coma. DEM proporciona un script bash de muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede capturar la acción de criticidad en un script.

Al trabajar con acciones y operaciones, tenga en cuenta lo siguiente:

• Las acciones aparecen en orden de prioridad.

• Un evento no lleva a cabo una acción (por ejemplo, enviar un buscapersonas o captura SNMP) a menos quese especifique como acción de alerta.

• Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una acciónpara el nivel de alerta más alto.

• Los eventos se escriben en un archivo de eventos independientemente de la acción. La única excepción esuna operación Rechazar.

Véase también McAfee Database Event Monitor (DEM) en la página 126Configuración de opciones avanzadas de DEM en la página 128Adición de acciones de DEM en la página 130

Adición de acciones de DEMSeleccione acciones de Database Event Monitor (DEM) para las reglas en el Editor de directivas.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, a continuación, en

Herramientas | Administrador de acciones de DEM.

Las acciones de DEM existentes aparecen en orden de prioridad.

No se puede cambiar el orden de prioridad de las acciones predeterminadas. La operación predeterminadapara una acción personalizada es Ninguna.

2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.

No es posible eliminar una acción personalizada una vez agregada.


Véase también Definición de acciones para eventos de DEM en la página 129



Edición de acciones personalizadas de DEMUna vez que agrega acciones a la lista de administración de acciones de Database Event Monitor (DEM), puedecambiar su nombre o su prioridad.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, en

Herramientas | Administrador de acciones de DEM.

2 Haga clic en la acción personalizada que desee cambiar y realice una de estas acciones:

• Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que seencuentre en la posición correcta.

• Para cambiar el nombre o la descripción, haga clic en Editar.

3 Haga clic en Aceptar para guardar la configuración.

Configuración de operaciones para acciones de DEMTodas las acciones de regla tienen operaciones predeterminadas. Cuando se agrega una acción de DatabaseEvent Monitor (DEM) personalizada, la operación predeterminada es Ninguna. Puede cambiar la operación decualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de acciones.

2 Resalte la acción y haga clic en Editar.

No puede eliminar una acción personalizada ni cambiar el orden de prioridad de las accionespredeterminadas.

3 Cambie la operación de la acción de regla de este modo:

Opción Definición

Operación Seleccione lo que desea que haga esta acción si la regla activa un evento. Las opciones sonlas siguientes:• Ninguna: no se hace nada.

• Ignorar: el evento se mantiene en la base de datos, pero no aparece en la interfaz deusuario.

• Rechazar: el evento no se mantiene en la base de datos ni aparece en la interfaz deusuario.

• Secuencia de comandos: se ejecuta una secuencia de comandos previamente definida.

• Restablecer: se intenta interrumpir la conexión de la base de datos mediante el envío depaquetes TCP RST al cliente y el servidor.

Nombre desecuencia decomandos

Si selecciona Secuencia de comandos como operación, deberá definir el nombre de lasecuencia de comandos. Si no hay ninguna secuencia de comandos en la lista desplegable,haga clic en Nombre de secuencia de comandos y seleccione un archivo en la página Administraciónde archivos de secuencias de comandos.




Referencias de métricas para reglas de DEMA continuación se ofrece una lista de referencias de métricas para las expresiones de reglas del DEM, las cualesestán disponibles en la página Componente de expresión cuando se agrega una regla en el DEM.

Nombre Definición Tipos de bases de datos

Nombre de aplicación El nombre que identifica el tipo de base de datos al quese aplica la regla.

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PIServer,InterSystems Cache

Hora de inicio Marca de tiempo de inicio de la consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Desviación de horade inicio

Captura las desviaciones con respecto a la hora delservidor.

MSSQL, Oracle, DB2, Sybase,MySQL, PostgreSQL, Teradata,PIServer, InterSystems Cache

IP del cliente Dirección IP del cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Nombre del cliente Nombre del equipo cliente. MSSQL, Oracle, DB2, Sybase,Informix, PIServer,InterSystems Cache

PID del cliente ID de proceso asignado por el sistema operativo alproceso del cliente.

MSSQL, DB2, Sybase, MySQL

Puerto del cliente Número de puerto de la conexión de socket del cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Nombre del comando Nombre del comando de MySQL. MSSQL, Oracle, DB2, Sybase,Informix

Tipo de comando Tipo de comando de MySQL: DDL, DML, Show oReplication.

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Datos entrantes Número total de bytes del paquete de consulta entrante. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Datos salientes Número total de bytes del paquete de resultado saliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Nombre de la base dedatos

Nombre de la base de datos a la que se accede. MSSQL, DB2, Sybase, MySQL,Informix, PostgreSQL, PIServer,InterSystems Cache

Hora de fin Marca de tiempo de fin de la consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache




Mensaje de error Contiene el texto de mensaje asociado con las variablesSQLCODE y SQLSTATE de la estructura de datos SQLCA,que proporciona información sobre el éxito o el fracasode las sentencias SQL solicitadas.

DB2, Informix

Número de mensaje Un número de mensaje exclusivo asignado por elservidor de base de datos a cada error.

MSSQL, Oracle, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Gravedad delmensaje

Número de nivel de gravedad entre 10 y 24 que indica eltipo y la gravedad del problema.

MSSQL, Sybase, Informix

Texto de mensaje Texto completo del mensaje. MSSQL, Oracle, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Hora de red Tiempo que se tarda en enviar el conjunto de resultadosde vuelta al cliente (response_time -server_response_time).


Nombre de cliente deNT

Nombre del equipo Windows donde el usuario inició lasesión.

MSSQL

Nombre de dominiode NT

Nombre del dominio de Windows donde el usuario inicióla sesión.

MSSQL

Nombre de usuariode NT

Nombre de inicio de sesión de usuario de Windows. MSSQL

Nombre del objeto MSSQL, Oracle, DB2, Sybase,MySQL, Informix

Nombre de usuariodel SO

Oracle

Nombre del paquete Un paquete contiene estructuras de control utilizadaspara ejecutar sentencias SQL. Los paquetes se producendurante la preparación del programa y se creanutilizando el subcomando BIND PACKAGE de DB2.

DB2

Paquetes entrantes Número de paquetes que componen la consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Paquetes salientes Número de paquetes que componen el conjunto deresultados devuelto.


Contraseña MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,InterSystems Cache

Longitud decontraseña

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,InterSystems Cache




Tamaño de bloque deconsulta

Un bloque de consulta es la unidad básica de transmisiónpara los datos de consultas y conjuntos de resultados. Laespecificación del tamaño del bloque de consulta permiteal solicitante, que puede tener limitaciones en cuanto arecursos, controlar la cantidad de datos que se devuelvenen cada momento.

DB2, Informix

Estado de salida deconsulta

Estado de salida de una consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Número de consulta Un número exclusivo asignado a cada consulta por elagente de supervisión AuditProbe; empieza desde ceropara la primera consulta y va aumentando de uno enuno.

MSSQL, Oracle, DB2, Sybase,MySQL, PostgreSQL, Teradata,PIServer, InterSystems Cache

Texto de consulta La consulta SQL real enviada por el cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Tipo de consulta Un número entero asignado a los distintos tipos deconsultas.

MSSQL, Oracle, Sybase

Nombre de usuarioreal

Nombre de inicio de sesión de usuario del cliente.

Contenido derespuesta

MSSQL, Oracle, DB2, Sybase,MySQL, Informix

Tiempo de respuesta Tiempo de respuesta de un extremo a otro de la consulta(server_response_time + network_time).

MSSQL, Oracle, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Filas de devolución Número de filas que componen el conjunto de resultadosdevuelto.


Indicador deseguridad

Métrica de indicador de seguridad cuyo valor seestablece en 1 (de confianza) o 2 (no fiable) cuando secumplen los criterios del archivo de directiva de accesoespecificados por el administrador. El valor 3 indica quelos criterios del archivo de directiva no se han cumplido.El valor 0 indica que la supervisión de seguridad no se haactivado.

MSSQL, Oracle, DB2, Sybase,MYSQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems

Mecanismo deseguridad

El mecanismo de seguridad utilizado para validar laidentidad del usuario (por ejemplo, el ID de usuario y lacontraseña).

DB2

IP del servidor Dirección IP del host del servidor de base de datos. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Nombre del servidor Se trata del nombre del servidor. El nombre de host seasigna como nombre de servidor de formapredeterminada.

MSSQL, Oracle, DB2, Sybase,Informix, PIServer,InterSystems Cache

Puerto del servidor Número de puerto del servidor. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache




Tiempo de respuestadel servidor

Respuesta inicial del servidor de base de datos a laconsulta del cliente.


Código de gravedad DB2

SID Identificador de sistema de Oracle. Oracle, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

SPID ID de proceso de sistema de base de datos asignado acada conexión/sesión concreta.

MSSQL, Sybase

Código SQL Cuando se ejecuta una sentencia SQL, el cliente recibe unSQLCODE, el cual es un código de devolución queproporciona información adicional específica de DB2sobre un error o una advertencia de SQL:• El SQLCODE EQ 0 indica que la ejecución ha sido

correcta.

• El SQLCODE GT 0 indica que la ejecución ha sidocorrecta con una advertencia.

• EL SQLCODE LT 0 indica que la ejecución no ha sidocorrecta.

• El SQLCODE EQ 100 indica que no se han encontradodatos.

El significado de los SQLCODE distintos de 0 y 100 varíaen función del producto concreto que implemente SQL.

Comando SQL Tipo de comando SQL.

Estado SQL El SQLSTATE de DB2 es un código de devolución adicionalque proporciona a los programas de aplicación códigosde devolución comunes para situaciones de errorhabituales en los sistemas de bases de datos relacionalesde IBM.

DB2

Nombre de usuario Nombre de inicio de sesión de usuario de la base dedatos.


Utilización de máscaras de datos confidencialesLas máscaras de datos confidenciales evitan que se puedan ver datos sin la autorización pertinente gracias a lasustitución de la información de carácter confidencial por una cadena genérica, denominada máscara. Cuando



agrega un dispositivo DEM, el sistema agrega máscaras de datos confidenciales estándar a la base de datos deESM. También puede agregar o modificar máscaras.

Las máscaras estándar incluyen:

• Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito

Expresión: ((4\d{3})|(5[1–5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

Índice de subcadenas: \0

Patrón de enmascaramiento: ####-####-####-####

• Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS

Expresión: (\d\d\d-\d\d)-\d\d\d\d


Patrón de enmascaramiento: ###-##

• Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL

Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


Patrón de enmascaramiento: ********

Administración de máscaras de datos confidencialesPara proteger información de carácter confidencial de McAfee ESM agregue, cambie o elimine las máscaras dedatos confidenciales.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos

confidenciales.

2 Seleccione una opción y rellene la información solicitada.

• Asigne un nombre a la máscara de datos confidenciales.

• Escriba una expresión regular que cumpla la sintaxis compatible con Perl (PCRE).

• Seleccione una opción.

Las opciones dependen del número de paréntesis () utilizados en la expresión. Si solo dispone de unconjunto de paréntesis, las opciones serán \0 y \1. Si selecciona \0, toda la cadena se sustituirá por lamáscara. Si selecciona \1, solo se sustituyen las cadenas por la máscara.

• Escriba el patrón de enmascaramiento que debe aparecer en lugar del valor original.

3 Haga clic en Aceptar y, a continuación, en Escribir para agregar la configuración al DEM.



Administración de la identificación de usuariosCapture el nombre de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso depatrones de expresión regular.

Cuando agrega un dispositivo DEM, el sistema agrega reglas de identificador definidas a la base de datos deMcAfee ESM.

• Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL

Expresión: select\s+username=(\w+)

Aplicación: Oracle


• Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado

Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)',

Aplicación: MSSQL


Es posible realizar una correlación avanzada de usuarios correlacionando los registros de DEM, aplicación,servidor web, sistema, y administración de identidad y acceso con McAfee ESM.

Adición de reglas de identificador de usuarioPara asociar las consultas de base de datos con personas, use reglas de identificación de usuarios existentes oagregue reglas.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de

identificadores.

2 Haga clic en Agregar y rellene la información solicitada:

• Escriba un nombre para la regla de identificador.

• Escriba una expresión regular que cumpla la sintaxis PCRE.

El operador de la expresión regular implementa la biblioteca PCRE para la coincidencia de patronesmediante la misma semántica que Perl 5. La sintaxis general es: <"nombre métrica"> REGEX<"patrón">.

• Seleccione la aplicación (tipo de base de datos) donde se observa la información.

• Seleccione una subcadena.

Las opciones dependen del número de paréntesis () utilizados en la expresión. Si dispone de un conjuntode paréntesis, las opciones serán \0 y \1.

3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM.

Acerca de los servidores de base de datosLos servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en unservidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso, se generauna alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos.

El DEM admite actualmente los siguientes servidores y versiones de base de datos.



SO Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows UNIX/Linux (todas lasversiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (véase la nota 4) 11.5

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas las versiones) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS 400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones 8.3.0 yposteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 y posteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores.

• Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos y lasplataformas de base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite para MSSQL y Oracle.

Administración de servidores de base de datosAdministre la configuración de todos los servidores de base de datos para su dispositivo Database EventMonitor (DEM). Puede asociar un máximo de 255 servidores de base de datos con cada dispositivo DEM.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de datos.

2 Seleccione cualquiera de las opciones disponibles.

Opción Definición

Activado Indique si desea que el DEM procese los datos correspondientes a este servidor debase de datos. Si se desactiva, las opciones de configuración se guardan en el ESMpara su uso en el futuro.

Grupo dealmacenamiento

Haga clic y seleccione un grupo de almacenamiento si desea que los datos recibidosse envíen al dispositivo ELM.

Zona Si tiene zonas definidas en el sistema, seleccione la zona a la que desee asignar esteservidor de base de datos. Para agregar una zona al sistema, haga clic en Zona.



Opción Definición

Tipo de base de datos Seleccione el tipo de base de datos. Los campos restantes variarán en función de loque se seleccione en este campo.

El DEM implementa un controlador PI JDBC para conectar con el sistema PI. PI SQLData Access Server (DAS) actúa como gateway entre el controlador PI JDBC y PIOLEDB. Proporciona comunicación de red segura (HTTPS) con PI JDBC y ejecutaconsultas como cliente PI OLEDB.

Nombre del servidor debase de datos

Escriba un nombre para este servidor de base de datos.

Si ha seleccionado PIServer en el campo Tipo de base de datos, este campo será Nombrede origen de datos DAS, que corresponde al nombre del servidor PI al que accederá elgateway de Data Access Server (DAS). Debe coincidir exactamente con el especificadoen la configuración de DAS. Puede ser el mismo que el nombre de host de DAS si elservidor DAS está instalado en el mismo host que el servidor PI.

URL del dispositivo Si está disponible, escriba la dirección URL para ver la información del servidor debase de datos. Si la dirección URL introducida incluye la dirección de una aplicaciónde terceros, puede adjuntar variables a la dirección URL mediante el iconocorrespondiente .

Dirección IP Introduzca una única dirección para este servidor de base de datos o DAS en elcampo de dirección IP. Este campo acepta una única dirección IP con formato denotación de puntos IPv4. No se aceptan las máscaras para estas direcciones IP.

Grupo de prioridad Asigne el servidor de base de datos a un grupo de prioridad. Esto permite equilibrarla carga de datos procesados por el DEM. Es posible ver una lista de los servidores debase de datos y los grupos de prioridad a los que pertenecen en la tabla Servidores debase de datos.

ID de LAN virtual Escriba el ID de LAN virtual, en caso de ser necesario. El valor "0" representa todaslas VLAN.

Opción de codificación Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5.

Seleccionar opcionesespeciales

Seleccione una de las opciones siguientes (las opciones disponibles dependen deltipo de base de datos seleccionado):• Es necesario especificar la Redirección de puerto cuando se supervisa un servidor

Oracle que se ejecuta en una plataforma Windows.

• Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de base dedatos emplea el protocolo SMB de canalizaciones con nombre. El nombre decanalización predeterminado para MSSQL es \\.\pipe\sql\query, y el puertopredeterminado es el 445.

• Se debe seleccionar Puertos dinámicos si el servidor de base de datos tiene puertosdinámicos TCP activados. Introduzca un número de puerto para el servidor de basede datos o DAS en el campo Puerto. Este puerto es el puerto de servicio del servidorde base de datos donde este escucha las conexiones. Algunos números de puertospredeterminados habituales son: 1433 para Microsoft SQL Server (MSSQL), 1521para Oracle, 3306 para MySQL, 5461 para Data Access Server (DAS) y 50000 paraDB2/UDB.

Autenticación Kerberos Indique si desea que SQL Server emplee la autenticación Kerberos.

Tipo de cifrado RSA Seleccione Ninguno o RSA.

Nivel de cifrado RSA Seleccione la opción adecuada en función de lo que haya elegido para el cifradoforzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado es No y Descifrartodos los paquetes si el valor de Cifrado forzado es Sí.



Opción Definición

Clave RSA Haga clic en Examinar y seleccione el archivo de Clave RSA, o copie la clave del archivo ypéguela en el campo Clave RSA.

La consola de ESM solo acepta certificados RSA con el formato de archivo .pem y sincontraseña.

Nombre de usuario Escriba el nombre de usuario para el inicio de sesión de PI DAS. Ya que PI DAS seinstala en Windows, emplea la seguridad integrada de Windows. El nombre deusuario debe especificarse con el formato dominio\nombre de inicio de sesión.

Contraseña Escriba la contraseña correspondiente al nombre de usuario de DAS.

Recuperar registros dearchivado

Indique si desea que se sondee la base de datos de archivos del servidor PI en buscade cambios para todos los puntos.

Puntos que supervisar Introduzca una lista de puntos separados por comas para que se supervisensolamente esos puntos.


Administración de notificaciones de descubrimiento de base de datosDatabase Event Monitor (DEM) puede descubrir una lista de excepciones de servidores de base de datos nosupervisados, lo que le permite descubrir servidores de base de datos en los puertos de escucha ilegal y deentorno abiertos para acceder a los datos de las bases de datos. Si se activa esta opción, recibirá notificacionesy podrá elegir si agregar o no el servidor a los supervisados en el sistema.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de datos |

Activar.

2 Haga clic en Aceptar para cerrar Propiedades de DEM.

3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y seleccioneVistas de evento | Análisis de eventos.

4Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú yseleccione Agregar servidor.

ESM distribuido (DESM)Un ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal conectarsea un máximo de 100 dispositivos y recopilar datos en ellos. Puede acceder a información detallada fácilmentesobre los datos originados y conservados en el dispositivo ESM.

Si hace clic en Aprobar ESM jerárquicos, puede seleccionar el tipo de comunicación que el ESM principal puedeestablecer con el DESM.

Cuando se aplica una clave a un ESM distribuido tras cambiar la dirección IP de los dispositivos secundarios, elpuerto 443 debe estar abierto para volver a conectarse con el ESM principal.

ESM principal

El ESM principal extrae datos de dispositivos secundarios en función de los filtros definidos. El DESM debeaprobar el ESM principal para que este último pueda extraer eventos. El dispositivo principal puede establecerfiltros, sincronizar orígenes de datos e insertar sus tipos personalizados. Solo podrá obtener reglas o eventosdesde el DESM si está aprobado.



El ESM principal no administra dispositivos que pertenecen al dispositivo ESM. El ESM principal muestra el Árbolde sistemas del dispositivo ESM al que está conectado directamente. No extrae eventos ni muestra losdispositivos ESM secundarios de los dispositivos. Las barras de herramientas no aparecen en los dispositivosDESM secundarios.

El dispositivo principal no administra datos que residan en el dispositivo ESM. En su lugar, se transfiere yalmacena un subconjunto de los datos del dispositivo ESM en el ESM principal según los filtros definidos.

Adición de filtros de DESMLos datos transferidos desde el dispositivo ESM al ESM distribuido principal (DESM) dependen de los filtrosdefinidos por el usuario. Guardar filtros equivale a aplicarlos en el dispositivo ESM, de forma que se puedangenerar los hashes o conjuntos de bits apropiados. Use filtros de DESM para recopilar datos del dispositivoESM.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.

2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar.

ePolicy OrchestratorPuede agregar un dispositivo ePolicy Orchestrator a McAfee ESM, cuyas aplicaciones aparecerán comodispositivos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a funcionesde McAfee ESM y asignar etiquetas de ePolicy Orchestrator a direcciones IP de origen o destino directamente ya los eventos generados por alarmas.

ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de ePolicyOrchestrator.

Debe contar con permisos de lectura en la base de datos principal y la base de datos de ePolicy Orchestratorpara usar ePolicy Orchestrator.

Si el dispositivo McAfee ePO dispone de un servidor de McAfee®

Threat Intelligence Exchange (TIE), el sistema loagrega automáticamente cuando agregue el dispositivo McAfee ePO a McAfee ESM.

Inicie McAfee ePO desde McAfee ESMSi tiene un origen de datos o dispositivo McAfee ePolicy Orchestrator McAfee ePO en McAfee ESM y la direcciónIP de McAfee ePO se encuentra en su red local, puede iniciar McAfee ePO desde McAfee ESM.

Antes de empezarAgregue un origen de datos o dispositivo McAfee ePO a McAfee ESM.

Procedimiento1 Desde el panel, abra una vista.

2 Seleccione un resultado que devuelva datos de IP de origen o de destino.

3Desde el menú del componente , haga clic en Acciones | Iniciar ePO.

• Si solo tiene un origen de datos o dispositivo McAfee ePO en el sistema y selecciona una IP de origen odestino, McAfee ePO se inicia.

• Si dispone de varios orígenes de datos o dispositivos McAfee ePO en el sistema, seleccione al que deseeacceder para iniciar McAfee ePO.



Autenticación de dispositivos McAfee ePOSe requiere la autenticación antes de utilizar el etiquetado o acciones de McAfee ePO.

Hay dos tipos de autenticación:

• Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO, puedeutilizar estas funciones tras introducir las credenciales globales.

• Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en el árbolde dispositivos.

Cuando use acciones o etiquetas, emplee el método seleccionado de autenticación. El sistema le pide queespecifique credenciales válidas, que deberá guardar para comunicaciones futuras con el dispositivo.

Configuración de la autenticación mediante cuentas independientes

La configuración predeterminada es la autenticación mediante cuenta global. Hay dos acciones que deberealizar para configurar la autenticación mediante cuentas independientes.

1 Compruebe que la opción Solicitar autenticación de usuario está seleccionada cuando agregue el dispositivoMcAfee ePO a McAfee ESM o cuando configure su conexión.

2 Introduzca sus credenciales.

Adición de credenciales de autenticación de McAfee ePOAntes de usar el etiquetado o acciones de McAfee ePolicy Orchestrator (McAfee ePO), debe agregar lascredenciales de autenticación a McAfee ESM.

Antes de empezarInstale un dispositivo McAfee ePO en McAfee ESM.

Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto con eladministrador del sistema.

Procedimiento1 En el árbol de navegación del sistema, haga clic en Opciones y, a continuación, en Credenciales de ePO.

2 Haga clic en el dispositivo y, después, en Editar.

3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión.


Asignación de etiquetas de McAfee ePolicy Orchestrator (McAfee ePO) a direccionesIPAsigne etiquetas de McAfee ePO a eventos generados por alarmas y compruebe si las alarmas incluyenetiquetas de McAfee ePO. También puede seleccionar una o varias etiquetas y aplicarlas a una dirección IP.

Antes de empezarCompruebe que dispone de los siguientes privilegios de McAfee ePO: Aplicar, excluir y borrar etiquetas yActivar agentes; ver el registro de actividad del agente.



Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.

2 Introduzca la información solicitada y, a continuación, haga clic en Asignar.• Escriba un nombre de host o dirección IP (se puede usar una lista delimitada por comas) y seleccione

una o varias etiquetas en la lista Etiquetas.

• Permite activar la aplicación para aplicar las etiquetas inmediatamente.

• Haga clic en Asignar para aplicar las etiquetas seleccionadas a la dirección IP.

Adquisición de datos de McAfee Risk AdvisorPuede especificar varios servidores de McAfee ePO desde los que adquirir datos de McAfee Risk Advisor. Losdatos se adquieren mediante una consulta de base de datos procedente de la base de datos de SQL Server deMcAfee ePO.

La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, yse proporcionan valores constantes para los valores de reputación baja y reputación alta. El sistema fusionatodos los McAfee ePO y McAfee Risk Advisor, y las direcciones IP duplicadas reciben la calificación más alta. Elsistema envía la lista fusionada, con los valores bajos y altos, a todos los dispositivos de McAfee AdvancedCorrelation Engine (ACE) empleados para calificar los campos de IP de origen y de destino.

Cuando agregue McAfee ePO, el sistema le preguntará si desea configurar datos de McAfee Risk Advisor. Sihace clic en Sí, el sistema crea y despliega un origen de enriquecimiento y dos reglas de calificación de ACE (siprocede). Si desea utilizar las reglas de calificación, deberá crear un administrador de correlación de riesgos.



Activación de la adquisición de datos de McAfee Risk AdvisorCuando activa la adquisición de datos de McAfee Risk Advisor en McAfee ePO, el sistema genera una lista decalificación y la envía a cualquier McAfee Advanced Correlation Engine (ACE) que se utilice para calificar loscampos de IP de origen y de destino.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y haga clic

en Activar.


Opción Definición

Administrar registrode ELM

Configure el grupo de registro predeterminado para el dispositivo seleccionado. Estaopción solo está disponible si tiene un McAfee Enterprise Log Manager (ELM) enMcAfee ESM.

Zona Asigne McAfee ePO a una zona o cambie la configuración actual.

Actualizar dispositivomanualmente

Actualice la lista de aplicaciones desde el dispositivo McAfee ePO y cree un origen dedatos cliente para cada aplicación.

Hora de últimaactualización

Vea la última vez que se actualizaron las aplicaciones.

Activar MRA Active la adquisición de datos de McAfee Risk Advisor.

Prioridad Cabe la posibilidad de que tenga varios dispositivos McAfee ePO, de origen de activoso de evaluación de vulnerabilidades (VA) configurados para recibir los mismos activoso amenazas. En ese caso, seleccione la prioridad de los datos procedentes de estedispositivo McAfee ePO en caso de que otros dispositivos reciban la mismainformación.Por ejemplo, supongamos que ePO-1 y VA-1 supervisan su sistema. ePO-1 recopilainformación sobre el software y el hardware de su sistema, mientras que VA-1recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1 paraque tenga una prioridad superior a la de VA-1, de manera que la información querecopile no quede sobrescrita por la información recopilada por VA-1.

Planificaractualización deaplicación

Para actualizar automáticamente la lista de aplicaciones del dispositivo McAfee ePO,seleccione la frecuencia en la lista desplegable.

Integración con McAfee® Threat Intelligence Exchange (TIE)McAfee

®

Threat Intelligence Exchange (TIE) verifica la reputación de programas ejecutables en los endpointsconectados a estos archivos.

Cuando se agrega un dispositivo McAfee ePO a McAfee ESM, el sistema detecta de forma automática si hay unservidor de TIE conectado al dispositivo. De ser así, McAfee ESM empieza a escuchar los eventos de DXL y deregistro.

Puede producirse un retraso cuando McAfee ESM se conecta a DXL.

Cuando el sistema detecta un servidor de TIE, el sistema agrega automáticamente listas de vigilancia,enriquecimiento de datos y reglas de correlación de TIE, y activa alarmas de TIE. Recibirá una notificación visualcon un vínculo a un resumen de los cambios. El sistema también le notificará si se agrega el servidor de TIE alservidor de McAfee ePO después de agregar el dispositivo a McAfee ESM.

Después de que TIE haya generado eventos, puede ver su historial de ejecución y seleccionar las acciones querealizar con los datos maliciosos.



Reglas de correlación

El sistema optimiza las reglas de correlación para datos de TIE. Estas reglas generan eventos que se puedenbuscar y ordenar.

• TIE: reputación de McAfee GTI cambiada de limpia a contaminada

• TIE: archivo malicioso (SHA-1) encontrado en un número creciente de hosts

• TIE: nombre de archivo malicioso encontrado en un número creciente de hosts

• TIE: varios archivos maliciosos encontrados en un único host

• TIE: reputación de TIE cambiada de limpia a contaminada

• TIE: aumento de archivos maliciosos detectado en todos los hosts

Alarmas

McAfee ESM tiene dos alarmas que podrían activarse cuando el sistema detecta eventos importantes de TIE.

• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso (SHA-1)encontrado en un número creciente de hosts.

• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega información a lalista de vigilancia IP de orígenes de datos de TIE.

Lista de vigilancia

La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la alarma Archivodesconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.

Historial de ejecución de TIE

Puede ver el historial de ejecución para cualquier evento de TIE, incluida una lista de las direcciones IP que hanintentado ejecutar el archivo. Seleccione un elemento y realice cualquiera de estas acciones:

• Crear una lista de vigilancia. • Agregar la información a una lista negra

• Anexar la información a una lista de vigilancia • Exportar la información a un archivo .csv

• Crear una alarma.

Visualización del historial de ejecución y configuración de acciones de Threat IntelligenceExchangeEl historial de ejecución de McAfee

®

Threat Intelligence Exchange (TIE) muestra los sistemas que han ejecutadoel archivo asociado con los eventos seleccionados.

Antes de empezarDebe haber un dispositivo McAfee ePolicy Orchestrator con un servidor de TIE conectado enMcAfee ESM.

Procedimiento

1 En el árbol de navegación del sistema, haga clic en el dispositivo McAfee ePolicy Orchestrator.

2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en elevento.

3Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE.



4 Vea los sistemas que han ejecutado el archivo TIE.

5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú desplegableAcciones y seleccione una opción para abrir el dispositivo McAfee ESM.

6 Configure la acción seleccionada.

McAfee Vulnerability Manager

Contenido Obtención de credenciales de McAfee Vulnerability Manager Ejecución de análisis de McAfee Vulnerability Manager Configuración de la conexión de McAfee Vulnerability Manager

Obtención de credenciales de McAfee Vulnerability ManagerPara conectar McAfee Vulnerability Manager a McAfee ESM, debe obtener credenciales de McAfee VulnerabilityManager (por ejemplo, el certificado y la frase de contraseña).

Procedimiento1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone

Certificate Manager.exe.

2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL).

3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema quealberga la interfaz web de McAfee Vulnerability Manager y haga clic en Resolve (Resolver).

4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para generar lafrase de contraseña y un archivo .zip.

5 Cargue el archivo .zip y copie la frase de contraseña generada.

Ejecución de análisis de McAfee Vulnerability ManagerConfigure McAfee ESM para que ejecute análisis de vulnerabilidades de McAfee Vulnerability Manager. Una APIcomprueba las credenciales de inicio de sesión y llena la lista de análisis según esas credenciales cada 60segundos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.

2 Haga clic en Nuevo análisis y rellene la información solicitada.

Opción Definición

Dirección IP/intervalo Indique la dirección IP, el intervalo o la dirección URL que analizar.

Nombre del análisis (Opcional) Escriba un nombre para el análisis. Si no indica un nombre, McAfeeVulnerability Manager utilizará el nombre predeterminado QuickScan_nn (nn = sunombre).

Plantilla (Opcional) Seleccione la plantilla para el análisis, que corresponde con el nombre deuna configuración de análisis existente. Si no selecciona ninguna, se emplea lapredeterminada.

Motor (Opcional) Seleccione el motor de análisis. Si no selecciona ninguna, se emplea lapredeterminada.




Configuración de la conexión de McAfee Vulnerability ManagerPara extraer datos de evaluación de vulnerabilidades desde McAfee Vulnerability Manager, debe conectarlo aMcAfee ESM como un dispositivo. A continuación, asócielo a un receptor para que McAfee ESM pueda extraereventos de McAfee Vulnerability Manager desde el receptor.

Antes de empezarObtenga credenciales de inicio de sesión de McAfee Vulnerability Manager.

Cambiar esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma con la que el dispositivose comunica con McAfee ESM.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.


Opción Definición

Receptor asociado Seleccione el receptor asociado con este McAfee VulnerabilityManager. Para ver los detalles de este receptor, haga clic en elvínculo.

Escriba a continuación los parámetros deinicio de sesión para la base de datos

Escriba los parámetros solicitados. El Dominio es opcional.

Conectar Haga clic para probar la conexión con la base de datos.

Escriba a continuación las credenciales parala interfaz de usuario del sitio web

Escriba las credenciales web. El firewall de la base de datos y laaplicación web debe permitir los puertos para la conexión deMcAfee ESM.

Cargue el certificado del servidor MVM yescriba la frase de contraseña

Introduzca las credenciales de McAfee Vulnerability Manager yhaga clic en Cargar para buscar el archivo .zip.

Conectar Pruebe la conexión con el sitio web.

McAfee Network Security Manager

Contenido Adición de entradas a la lista negra de McAfee Network Security Manager Administración de entradas de lista negra eliminadas para McAfee Network Security Manager Recopilación de capa 7 en McAfee Network Security Manager

Adición de entradas a la lista negra de McAfee Network Security ManagerMcAfee Network Security Manager aplica una lista negra mediante los sensores.

Antes de empezarEs necesario ser superusuario para utilizar la función de lista negra.



Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y seleccione un

sensor.

2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.

Si existen direcciones IP duplicadas, la dirección de la lista negra global sobrescribirá la dirección de McAfeeNetwork Security Manager.

Una vez seleccionada esta opción, solo podrá eliminar los elementos manualmente.


Las entradas aparecerán en la lista negra hasta que caduquen.

Administración de entradas de lista negra eliminadas para McAfee Network SecurityManagerLas entradas iniciadas en McAfee ESM que aún no hayan caducado, pero que no devuelvan entradas de listanegra al realizar una consulta en McAfee Network Security Manager, aparecerán con el estado Eliminado y unamarca.

Esta situación se produce si elimina la entrada, pero no inicia la eliminación en McAfee ESM. Puede volver aagregar esta entrada o eliminarla de la lista negra.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.

2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en Agregar o enEliminar.


Recopilación de capa 7 en McAfee Network Security ManagerLos datos de capa 7 se introducen en la base de datos de McAfee Network Security Manager después de que elevento de NSM se escriba a su base de datos. No se insertan en el sistema como parte del evento.

Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción del evento a fin deincluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no solo a los que tienen datos decapa 7 asociados.

Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:

• Adición de un dispositivo McAfee NSM a la consola

• Configuración de un dispositivo NSM

• Adición de un origen de datos NSM

Adición de un dispositivo McAfee Network Security Manager

Cuando se agrega el dispositivo McAfee Network Security Manager a McAfee ESM, seleccione Activar recopilaciónde capa 7 y establezca el retraso en el Asistente de adición de dispositivos.

Configurando de un dispositivo McAfee Network Security Manager

Después de agregar un dispositivo McAfee Network Security Manager a McAfee ESM, configure la conexión deldispositivo. Puede seleccionar Activar recopilación de capa 7 y establecer el retraso.



Adición de un origen de datos de McAfee Network Security Manager

Para agregar un origen de datos de McAfee Network Security Manager al receptor, seleccione McAfee enProveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en Modelo de origen de datos. Puede seleccionarActivar recopilación de capa 7 y establecer el retraso.

Asignación de un DAS para almacenar datos de un ESM de tipo todo enuno

Antes de empezarConfigure dispositivos DAS.

Procedimiento1 En el árbol de navegación del sistema, seleccione McAfee ESM y, a continuación, haga clic en el icono

Propiedades .

2 Haga clic en Base de datos y, a continuación, en Almacenamiento de datos.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de McAfeeESM.

4 Haga clic en Asignar y, a continuación, en Sí.

Una vez asignado un dispositivo, no se puede cambiar.

Véase también Configuración del almacenamiento de datos externo en la página 94Adición de dispositivos iSCSI en la página 94Formateo de los dispositivos de almacenamiento SAN en la página 95Configuración de una unidad local virtual para almacenar datos en la página 96

Configuración de servicios auxiliares de McAfee ESM

Contenido Información general del sistema Opciones de configuración del servidor de Remedy Detención de la actualización automática del árbol de sistemas de McAfee ESM Definición de la configuración de los mensajes Configuración del protocolo NTP Configuración de las opciones de red Configuración de la hora del sistema Instalación del certificado SSL Administración de perfiles de sistema Configuración de SNMP

Configuración de McAfee ESMConfiguración de servicios auxiliares de McAfee ESM 3


Información general del sistemaAparecerá información general de su sistema y el estado de diversas funciones en Propiedades del sistema |Información del sistema. Puede ver los eventos que se hayan producido en el sistema o los dispositivos.

• Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y suestado.

• La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (porejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas funciones.El estado OK significa que la base de datos funciona de la forma normal.

• Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las Propiedades delsistema.

• Actualización de reglas muestra la última vez que se actualizaron las reglas.

• En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una pruebaautomática de FIPS, así como su estado.

• Ver informes muestra los informes Recuento de tipos de dispositivos y Hora de evento.

Opciones de configuración del servidor de RemedySi utiliza un sistema Remedy, debe configurar las opciones correspondientes para que McAfee ESM se puedacomunicar con él.

Antes de empezarConfigure el sistema Remedy.



3 Haga clic en Configuración personalizada | Remedy.

4 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic enAceptar.

Opción Definición

Host Escriba el host del sistema Remedy.

Puerto Cambie el número de puerto, si procede.

Usar TLS Seleccione esta opción si desea usar TLS como protocolo de cifrado.

Nombre de usuario y contraseña Escriba las credenciales del sistema Remedy, si procede.

Dirección de destino y Dirección deorigen

Escriba las direcciones de correo electrónico de los remitentes ydestinatarios de Remedy.

Detención de la actualización automática del árbol de sistemas deMcAfee ESMEl árbol de sistemas de McAfee ESM se actualiza automáticamente cada cinco minutos. Si es necesario, puededetener la actualización automática.

Antes de empezarCompruebe que dispone de privilegios de administración del sistema para cambiar este ajuste.

3 Configuración de McAfee ESMConfiguración de servicios auxiliares de McAfee ESM


Procedimiento1 En el árbol de sistemas, seleccione el dispositivo y haga clic en el icono Propiedades .

Durante la actualización, no puede seleccionar dispositivos en el árbol.

2 Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.

Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos , situado en labarra de herramientas de acciones del Árbol de sistemas.

Definición de la configuración de los mensajesPara poder enviar mensajes de correo electrónico, texto (SMS), SNMP o syslog, primero debe conectar McAfeeESM a su servidor de correo. A continuación, puede identificar los destinatarios del mensaje.

McAfee ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP comoprotocolo de transporte para transmitir datos entre los administradores y los agentes.

En una configuración SNMP, los agentes (por ejemplo, McAfee ESM) reenvían eventos a los servidores SNMP(denominados estaciones de administración de red o NMS) mediante paquetes de datos conocidos comocapturas. Otros agentes de la red pueden recibir informes de eventos de la misma forma que recibennotificaciones. Debido a las limitaciones de tamaño de los paquetes de captura SNMP, McAfee ESM envía cadalínea de informe en una captura distinta.

Syslog también puede enviar informes CSV generados por McAfee ESM. Syslog envía informes de consulta enCSV con el método de una línea por mensaje de syslog, con los datos de cada línea de los resultados de laconsulta organizados mediante campos separados por comas.

Conexión de McAfee ESM al servidor de correo electrónicoConfigure las opciones para conectar McAfee ESM con el servidor de correo de manera que se puedan enviarmensajes de alarma e informes.

Antes de empezarVerifique que dispone de privilegios de administrador o pertenece a un grupo de acceso conprivilegios de administración de usuarios.





3 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con elservidor de correo.

Opción Descripción

Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.

Usar TLS Indique si desea usar el protocolo de cifrado TLS.

Nombre de usuario yContraseña

Escriba el nombre de usuario y la contraseña para acceder al servidor decorreo electrónico.

Título Escriba un título genérico para todos los mensajes de correo electrónicoenviados desde su servidor de correo (por ejemplo, la dirección IP de ESM)para identificar qué dispositivo ESM ha generado el mensaje.

De Escriba su nombre.

Configurar destinatarios Adición, edición y eliminación de destinatarios de mensajes

4 Envíe un mensaje de correo electrónico de prueba para verificar la configuración.

5 Haga clic en Aplicar o en Aceptar para guardar la configuración.

Administración de destinatarios del mensajePuede definir los destinatarios de los mensajes de alarma o informe y agrupar direcciones de correoelectrónico para enviar mensajes a varios destinatarios al mismo tiempo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de correo

electrónico.

2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos.



Administración de grupos de correo electrónicoAgrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a la vez.

Antes de empezarCompruebe que los destinatarios y sus direcciones de correo electrónico existen.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades .

2 Haga clic en Configuración de correo electrónico y, a continuación, en Configurar destinatarios | Grupos de correoelectrónico.

3 Haga clic en Agregar, Editar o Quitar para administrar la lista de grupos de destinatarios.

4 Proporcione la información solicitada y, a continuación, haga clic en Aceptar.



Configuración del protocolo NTPAdministre los servidores NTP (Network Time Protocol, protocolo de hora de red) para el dispositivo e indique sidesea utilizar servidores NTP para la sincronización del tiempo.

Procedimiento1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades .

2 Haga clic en Configuración | NTP.


Opción Definición

Usar servidores NTP parasincronización de tiempo

Seleccione esta opción para utilizar los servidores NTP a fin de sincronizar la horadel dispositivo en lugar de emplear el reloj del sistema.

Tabla Ver los servidores NTP predeterminados y los que se han agregado al dispositivo.

Columna Servidor NTP Haga clic en esta columna para agregar las direcciones IP de los servidores NTPque desee agregar al dispositivo. Se pueden agregar hasta diez servidores.

Las direcciones de servidores NTP en dispositivos de tipo IPS deben serdirecciones IP.

Columnas Clave deautenticación e ID declave

Escriba la clave de autenticación y el ID de clave de cada uno de los servidores NTP(póngase en contacto con el administrador de red si no los conoce).

Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha realizadocambios en la lista de servidores, haga clic en Aceptar para guardar los cambios ycierre la página. A continuación, vuelva a abrirla antes de hacer clic en Estado.

Procedimientos• Visualización del estado de los servidores NTP en la página 153

Vea el estado de los servidores NTP en McAfee ESM.

Visualización del estado de los servidores NTPVea el estado de los servidores NTP en McAfee ESM.

Antes de empezarAgregue servidores NTP a McAfee ESM o dispositivos.

Pueden transcurrir hasta 10 minutos para que aparezcan los cambios.

Procedimiento1 En el árbol de navegación del sistema, realice una de las siguientes acciones:

• Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema.

• En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades yseleccione Configuración | NTP.

2 Haga clic en Estado, compruebe los datos del servidor NTP y haga clic en Cerrar.



Opción Definición

Columna ServidorNTP

Incluye las direcciones IP de los servidores NTP. Estas marcas pueden aparecer antes dela dirección:• *: servidor al que se hace referencia

• +: seleccionado, incluido en el conjunto final

• #: seleccionado, la distancia supera el valor máximo

• o: seleccionado, con el uso de Pulso Por Segundo (PPS)

• x: marca de falso de origen

• . : seleccionado al final de la lista de candidatos

• -: descartado por el algoritmo de clúster

ColumnaAccesible

Sí significa que se puede acceder al servidor y No significa que no se puede.

ColumnaAutenticación

• Ninguno indica que no hay credenciales

• Incorrecto indica credenciales incorrectas

• Sí indica credenciales correctas

ColumnaCondición

La condición corresponde a la marca de la columna Servidor NTP.• Candidato indica una posible elección

• sys.peer indica la opción actual

• Rechazar indica que no se puede alcanzar. Si todos los servidores presentan el valorRechazar, es posible que la configuración de NTP se esté reiniciando.

Configuración de las opciones de redConfigure la forma con la que McAfee ESM se conecta a su red agregando el gateway de servidor de McAfeeESM y las direcciones IP de servidor DNS, definiendo la configuración del servidor proxy, configurando SSH yagregando rutas estáticas.



Propiedades .

3 Haga clic en Configuración de red.

4 Configure las opciones de la ficha Principal.

Opción Definición

Interfaz 1, Interfaz 2 Define las interfaces disponibles. Debe estar activada al menos una interfaz.

Red local Define la red local, incluidas las direcciones IP o subredes. Los valores estánseparados por comas.



Opción Definición

Activar SSH(no disponible en elmodo FIPS)

Permite la comunicación segura a través de SSH.

McAfee ESM y los dispositivos emplean una versión de SSH compatible con FIPS. Losclientes SSH OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP y TeraTerm se hansometido a pruebas y se sabe que funcionan. Si utiliza Putty, la versión 0.62 escompatible y puede descargarla en http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

Puerto SSH El puerto utilizado para conexiones SSH.

Administrar claves SSH Si ha activado las conexiones SSH, los sistemas de la lista se comunicarán medianteel puerto SSH. Si elimina un ID de sistema de la lista, se desactiva la comunicación.

Configuración IPv6 • Desactivado: el modo IPv6 está desactivado.

• Automático: se desactivan los campos de IPv6 Principal y Secundario. Cada hostdeterminará su dirección a partir del contenido de las publicaciones de usuariorecibidas. Se emplea el estándar IEEE EUI-64 para definir la parte del ID de red dela dirección.

• Manual: se activan los campos de IPv6 Principal y Secundario.

5 Seleccione la ficha Avanzado y configure los mensajes de Internet Control Message Protocol (ICMP) eIntelligent Platform Management Interface (IPMI).

Opción Definición

Mensajes de ICMP • Redirigir: McAfee ESM ignora los mensajes de redirección.

• Destino inaccesible: McAfee ESM genera un mensaje cuando un paquete no se puedeentregar en su destino por motivos distintos a una congestión.

• Activar PING: McAfee ESM envía un mensaje Respuesta de eco en respuesta a un mensajeSolicitud de eco enviado a una dirección IPv6 de multidifusión o difusión por proximidad.

Configuración IPMI Establece la tarjeta IPMI para administrar dispositivos McAfee ESM si dispone de una NICIPMI conectada a un conmutador.• Activar configuración IPMI: permite acceder a los comandos de IPMI.

• VLAN, Dirección IP, Máscara de red, Gateway: configura la red para el puerto IPMI.

6 Si la red usa un servidor proxy, seleccione la ficha Proxy configure la conexión con McAfee ESM.

Opción Definición

IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una direcciónIPv6, puede seleccionar IPv6. De lo contrario, se selecciona IPv4.

Dirección IP, Puerto, Nombre deusuario, Contraseña

Información necesaria para la conexión con el servidor proxy.

Autenticación básica Implementa la comprobación de autenticación básica.



7 Seleccione la ficha Tráfico y haga clic en Agregar para definir un valor máximo de salida de datos para una redy una máscara para controlar la tasa de envío del tráfico saliente.

Opción Definición

Columna Red Muestra las direcciones de las redes en las que el sistema controla el tráficosaliente.

Columna Máscara (Opcional) Muestra las máscaras para las direcciones de red.

Columna Rendimiento máximo Muestra el rendimiento máximo definido para cada red.

8 Para agregar o editar rutas estáticas, seleccione la ficha rutas estáticas y haga clic en Agregar o Editar.

Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red nodisponibles a través del gateway predeterminado. Cuando se agrega una ruta estática, el cambio se insertaen el ESM y entra en vigor inmediatamente al hacer clic en Aplicar. Tras aplicar los cambios, McAfee ESM sereinicializa, de modo que se pierden todas las sesiones en curso.

Opción Definición

IPv4 o IPv6 Determina si esta ruta estática corresponde al tráfico IPv4 o IPv6.

Red La dirección IP de la red de esta ruta.

Máscara La máscara de red.

Gateway La dirección IP del gateway de esta ruta.

Procedimientos• Configuración del puerto IPMI en McAfee ESM o sus dispositivos en la página 160

Configure la red para que el puerto IPMI configure IPMI en McAfee ESM o en sus dispositivos.

• Configuración del control de tráfico de la red en la página 160Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa deenvío de tráfico saliente. Las opciones incluyen kilobits (kb), megabits (Mb) y gigabits (Gb) porsegundo.

• Configuración del protocolo DHCP en la página 162Use el protocolo DHCP (Dynamic Host Configuration Protocol, protocolo de configuración de hostsdinámicos) en redes IP para distribuir parámetros de configuración de red (por ejemplo, direccionesIP de interfaces y servicios) de forma dinámica.

Administración de interfaces de redLa comunicación con dispositivos usa las interfaces pública y privada de las rutas de tráfico. Esto significa que eldispositivo es invisible en la red porque no requiere una dirección IP.

Interfaz de administración

Si lo prefieren, los administradores de red pueden configurar interfaces de administración con direcciones IPpara la comunicación entre McAfee ESM y el dispositivo. Estas funciones de dispositivo requieren el uso de unainterfaz de administración:

• Control completo de las tarjetas de red de omisión

• Uso de la sincronización de hora NTP

• Syslog generado por dispositivo

• Notificaciones SNMP



Los dispositivos equipados con al menos una interfaz de administración aportan al dispositivo una dirección IP.Con una dirección IP, McAfee ESM puede acceder directamente al dispositivo sin dirigir la comunicación haciaotra dirección IP o nombre de host de destino.

No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y suseguridad podría ponerse en peligro.

Enlace de interfaz de McAfee ESM

McAfee ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces deadministración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan lasmismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 0 (round robin), queproporciona tolerancia a errores.

Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de coincidircon la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.

Configuración de interfaces de redDefina la configuración de la interfaz para determinar cómo McAfee ESM se conecta a cada dispositivo.


2 Haga clic en la opción Configuración del dispositivo y, a continuación, en Interfaz.

3 Introduzca los datos solicitados y haga clic en Aplicar.

Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de loscambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.

Opción Definición

Configuración deNIC de omisión

Establezca la NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,incluido el malicioso. Los dispositivos en el modo IDS no tienen capacidad de omisión, deforma que su estado será Funcionamiento normal.

Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen ydestino en el dispositivo.

ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver ydescargar los archivos de registro de ELM almacenados para los dispositivos. Si disponede privilegios de tipo Administración de dispositivos, podrá cambiar el puerto para acceder aestos archivos en el campo ELM EDS SFTP.

No utilice los puertos siguientes: 1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.

Use esta función con uno de los siguientes clientes FTP: WinSCP 5.11, FileZilla, CoreFTP LEo FireFTP.

HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen la direccióndel tráfico de flujo que recopila el dispositivo.



Opción Definición

Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo IPv4 oIPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de red también. Siintroduce una dirección IPv6, incluya la máscara de red en la dirección. De lo contrario,recibirá un mensaje de error.A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente aAdmin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista desplegable>), agreguemás interfaces.

Para activar el enlace de NIC, seleccione Administración en el primer campo y, después,escriba la dirección IP y la máscara de red correspondientes al NIC principal (primeralínea del cuadro de diálogo).

Modo IPv6 Seleccione si se debe activar o no el modo IPv6.

• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6 estarándesactivados.

• Automático: el modo IPv6 está activado. Cada host determinará su dirección a partir delcontenido de las publicaciones de usuario recibidas. Se emplea el estándar IEEE EUI-64para definir la parte del ID de red de la dirección. Los campos correspondientes a IPv6estarán desactivados.

• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estaránactivados.

Puerto SSH Seleccione el puerto en que el sistema permite el acceso entre McAfee ESM y losdispositivos.

4 Defina la configuración de red avanzada para el dispositivo seleccionado (los campos varían según eldispositivo seleccionado).

Opción Definición

Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.

Redirigir: si se selecciona esta opción, McAfee ESM ignora los mensajes de redirección.Destino inaccesible: si se selecciona esta opción, McAfee ESM genera un mensaje cuando unpaquete no se puede entregar en su destino por motivos distintos a una congestión.

Activar PING: si se selecciona esta opción, McAfee ESM envía un mensaje Respuesta de ecoen respuesta a un mensaje Solicitud de eco enviado a una dirección IPv6 de multidifusióno difusión por proximidad.

ConfiguraciónIPMI

Para administrar de forma remota dispositivos McAfee ESM a través de una tarjeta IPMIcuando hay una NIC IPMI conectada a un conmutador, agregue la configuración de IPMI.

• Activar configuración IPMI: permite el acceso a los comandos de IPMI.

• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de lared para el puerto IPMI.

Adición de VLAN y aliasEs posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los alias son paresde dirección IP y máscara de red asignados que se agregan en caso de disponer de un dispositivo de red conmás de una dirección IP.

Procedimiento

1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y,después, en la opción Configuración correspondiente al dispositivo.

2 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.



3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.

Opción Definición

VLAN El número que identifica la VLAN en el sistema.

DHCP Habilita los servicios DHCP para entornos que no sean de nube. DHCP resulta útil si esnecesario restablecer las direcciones IP de la red.

Si emplea un ELM redundante, la redundancia dejará de funcionar si se cambia la dirección IPdel dispositivo redundante.

IPv4 o IPv6 La opción predeterminada es IPv4. Si tiene IPv6 configurado con el valor Manual o Automáticoen la página Configuración de red, la opción IPv6 estará activada.

Dirección IP La dirección IP de la VLAN.

Máscara de red La máscara de red IPv4 (desactivada si el formato de la dirección IP es IPv6).

4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.

Opción Definición

VLAN La VLAN donde se encuentre este alias. Este campo se rellena previamente con el númerode la VLAN a la que se va a agregar este alias. Si se trata de la VLAN Sin etiquetar, este númeroserá 0.

Versión de IP Seleccione si el formato de la dirección IP es IPv4 o IPv6.

Dirección IP La dirección IP del alias.

Máscara de red La máscara de red (si el formato de la dirección es IPv4).

5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.

Adición de rutas estáticasUna ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a travésdel gateway predeterminado.


2 Haga clic en Configuración | Interfaces.

3 Junto a la tabla Rutas estáticas, haga clic en Agregar.

4 Introduzca la información y, a continuación, haga clic en Aceptar.

Configuración de red para puertos IPMIConfigure puertos IPMI en McAfee ESM o sus dispositivos para realizar las siguientes acciones:

• Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para elsoftware IPMI.

• Acceder a una máquina virtual basada en el kernel (KVM) de IPMI.

• Establezca la contraseña de IPMI para el usuario predeterminado.

• Acceda a comandos IPMI, como el encendido y el estado de alimentación.

• Restablecer la tarjeta IPMI.

• Llevar a cabo un restablecimiento en caliente o en frío.



Configuración del puerto IPMI en McAfee ESM o sus dispositivosConfigure la red para que el puerto IPMI configure IPMI en McAfee ESM o en sus dispositivos.

Antes de empezarEl sistema debe incluir una NIC IPMI.

Procedimiento1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga clic en el

icono Propiedades del sistema .

2 Acceda a la ficha Configuración de red Avanzada.

• En McAfee ESM, haga clic en Configuración de red | Avanzada.

• En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces | Opcionesavanzadas

3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway de IPMI.

Si la opción Activar configuración IPMI no está disponible en el BIOS del dispositivo, es necesario actualizar elBIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/areca/system_bios_update/Contents‑README.txt.


Cuando amplíe su dispositivo, un mensaje podría recomendarle que cambie la contraseña o vuelva a aplicarla clave del dispositivo para configurar IPMI.

Configuración del control de tráfico de la redDefina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de envío detráfico saliente. Las opciones incluyen kilobits (kb), megabits (Mb) y gigabits (Gb) por segundo.

Limitar el tráfico puede provocar fuga de datos.



3 Haga clic en Configuración de red y, a continuación, en la ficha Tráfico.

La tabla presenta una lista de los controles existentes.

4 Agregue controles para un dispositivo.

a Haga clic en Agregar.

b Defina la tasa de rendimiento, la máscara y la dirección de red.

Si establece la máscara como cero (0), se controlan todos los datos enviados.



Uso de los nombres de hostAsocie los nombres de host del dispositivo con sus direcciones IP correspondientes. Agregue, edite, elimine,busque, actualice e importe nombres de host, y establezca cuándo caduca un nombre de host de aprendizajeautomático.

Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las direcciones

IP del evento. Para ello, haga clic en el icono Mostrar nombres de host en la parte inferior de los componentesde vista.

Si los eventos existentes no se etiquetan con un nombre de host, el sistema realiza una búsqueda en la tabla dehosts de McAfee ESM y etiqueta las direcciones IP con sus nombres de host. Si las direcciones IP no aparecenen la tabla de hosts, el sistema lleva a cabo una búsqueda DNS para localizar los nombres de host. Losresultados de la búsqueda aparecerán en la vista y se agregarán a la tabla de hosts.

En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de tiempodesignado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la páginaPropiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda de DNS la siguiente vez que seselecciona la opción Mostrar nombres de host en una vista.

La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como susdirecciones IP. Puede agregar información a la tabla de hosts manualmente mediante la introducción de unadirección IP y un nombre de host individualmente, o bien a través de la importación de una lista delimitada portabulaciones de direcciones IP y nombres de host. Cuantos más datos introduzca de esta forma, menos tiempose dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca, pero es posibleeditarlo o quitarlo.

Administración de los nombres de hostLleve a cabo las acciones necesarias para administrar los nombres de host (por ejemplo, agregar, editar,importar, eliminar o buscar). También puede establecer el momento de caducidad de los hosts de aprendizajeautomático.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.

2 Seleccione una opción e introduzca la información solicitada.

• Cuando se agrega un host, puede introducir un nombre de host de hasta 100 caracteres de longitud ydirecciones IP en notaciones IPv4 o IPv6, incluida una máscara.

• Cambie o elimine los nombres de host existentes.

• Al configurar la información de una red interna, puede consultar el nombre de host para una direcciónIP.

• Importe la lista de direcciones IP y nombres de host delimitados por tabulaciones .

• Establezca la cantidad de tiempo que desea que los nombres de host de aprendizaje automáticopermanezcan en la tabla. Si no desea que caduquen, seleccione cero (0) en todos los campos.


Importación de una lista de nombres de hostImporte un archivo de texto que contenga las direcciones IP y los correspondientes nombres de host.

Antes de empezarCree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.



Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar en formatoIPv4 o IPv6. Por ejemplo:

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts |

Importar.

2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que se encuentranactualmente en la tabla de hosts con otro nombre de host distinto, en la página Duplicados aparecerán losregistros duplicados.

• Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo en lacolumna Uso y haga clic en Aceptar.

• Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic en Aceptar.

Los datos introducidos manualmente no caducan. El sistema agrega los nuevos datos de host a la tablade hosts. La columna Aprendido automáticamente para estos datos muestra No.

Configuración del protocolo DHCPUse el protocolo DHCP (Dynamic Host Configuration Protocol, protocolo de configuración de hosts dinámicos)en redes IP para distribuir parámetros de configuración de red (por ejemplo, direcciones IP de interfaces yservicios) de forma dinámica.

Cuando se configura McAfee ESM para un despliegue en la nube, el sistema activa automáticamente elprotocolo DHCP y asigna una dirección IP.

Si no utiliza la nube, puede activar y desactivar los servicios DHCP en McAfee ESM, un receptor que no sea dedisponibilidad alta, ACE y ELM si dispone de privilegios de administración de dispositivos. Esto es útil si necesitarestablecer las direcciones IP de la red.

El sistema desactiva los alias cuando se activa DHCP.

Procedimiento1 En el árbol de navegación del sistema, seleccione ESM o un dispositivo, y haga clic en el icono Propiedades .


• En el caso de McAfee ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.

• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, acontinuación, en la ficha Red.

3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y seleccione DHCP.

Para los dispositivos que no sean receptores, debe reiniciar el servidor de McAfee ESM.

4 Haga clic en Agregar VLAN, escriba el número de VLAN y seleccione DHCP.

5 Haga clic en Aceptar y, a continuación, en Aplicar.

Para los dispositivos que no sean receptores, debe reiniciar el servidor de McAfee ESM.



Configuración de la hora del sistemaEl sistema agrega una marca de tiempo a las actividades de McAfee ESM y sus dispositivos. Seleccione un relojdel sistema o servidores NTP para asegurarse de que el sistema utiliza una referencia de tiempo constante parala sincronización de las marcas de tiempo.

Antes de empezarSi desea sincronizar la hora del sistema con servidores NTP, compruebe que los servidores existen yque dispone de las calves de autorización y los ID de clave.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté

seleccionada la opción Información del sistema.

2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.

Opción Definición

Establecer la hora del sistemade ESM (GMT) en

Seleccione esta opción para establecer el reloj del sistema según la horamedia de Greenwich (GMT) en lugar de a servidores NTP.

Usar servidores NTP parasincronización de tiempo

Seleccione esta opción para utilizar servidores NTP a fin de sincronizar la horadel sistema en lugar de emplear el reloj del sistema.

Columna Servidor NTP Agregue las direcciones IP de servidores NTP. Puede agregar hasta 10servidores.

Las direcciones de servidores NTP en dispositivos ADM o DBM deben serdirecciones IP.

Columnas Clave deautenticación e ID de clave

Escriba la clave de autenticación y el ID de clave para cada servidor NTP.

Estado Haga clic para ver el estado de los servidores NTP de la lista. Si cambia la listade servidores, haga clic en Aceptar para guardar los cambios y cerrar la página.A continuación, vuelva a abrir la página antes de hacer clic en Estado.

Procedimientos• Sincronización de relojes de dispositivos en la página 163

Sincronice relojes de dispositivo con la hora de sistema de McAfee ESM para que los datosgenerados por los distintos sistemas reflejen las mismas marcas de tiempo.

Sincronización de relojes de dispositivosSincronice relojes de dispositivo con la hora de sistema de McAfee ESM para que los datos generados por losdistintos sistemas reflejen las mismas marcas de tiempo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del dispositivo

y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.

2 Haga clic en Actualizar para actualizar los datos de Información del sistema o Información del dispositivo.



Instalación del certificado SSLMcAfee ESM incluye un certificado de seguridad autofirmado (SSL) predeterminado para esm.mcafee.local. Lamayoría de los navegadores web no pueden avisar de que no tienen la capacidad de comprobar la autenticidaddel certificado. Una vez obtenido el par de claves del certificado SSL para su McAfee ESM, deberá instalarlo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM.

2 Haga clic en la ficha Administración de claves y, después, en Certificado.

3 Realice sus selecciones y haga clic en Cerrar.

Opción Definición

Cargar certificado Instale el certificado, la clave y los archivos de cadena opcionales, en caso dedisponer de ellos. Se le pedirá que cargue el archivo .crt, después el archivo .key y,por último, los archivos de cadena.

Certificado autofirmado Genere e instale un certificado de seguridad autofirmado para McAfee ESM.• Haga clic en Generar, introduzca la información en Administrar certificado y haga clic

en Aceptar.

• Haga clic en Generar.

Solicitud de firma decertificado

Genere una solicitud de certificado que enviar a una autoridad de certificaciónpara su firma.• Haga clic en Generar, introduzca la información en Administrar certificado y haga clic

en Aceptar.

• Descargue el archivo .zip que contiene un archivo .crt y otro .key.

• Extraiga el archivo .crt y envíelo a la autoridad de certificación.

Regenerar certificados deMcAfee predeterminados

Regenere el certificado original.

Administración de perfiles de sistemaAdministre perfiles de sistema para utilizarlos en el reenvío de eventos, la configuración de orígenes de datos,el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y los recursos compartidosremotos. Defina perfiles para el tráfico basado en syslog a fin de reutilizar configuraciones que compartaninformación. También puede agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o unaalarma.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de perfiles.

2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.

Opción Definición

Contraseña deautenticación

Si selecciona authNoPriv o authPriv en Nivel de seguridad, este campo estará activo.Escriba la contraseña para el protocolo de autenticación seleccionado en el campoProtocolo de autenticación.

Protocolo deautenticación

Si selecciona authNoPriv o authPriv en Nivel de seguridad, este campo estará activo.Seleccione el tipo de protocolo para este origen: MD5 o SHA1 (SHA1 y SHA hacenreferencia al mismo tipo de protocolo).

Nombre de comunidad Escriba la cadena de comunidad de la captura SNMP.



Opción Definición

Compresión En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar lacompresión.

Cifrado En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar elcifrado.

ID de motor (Opcional) Introduzca el ID de motor SNMPv3 del remitente de las capturas.

Registros de eventos Los registros de eventos de WMI predeterminados son SYSTEM, APPLICATION ySECURITY, pero se admiten otros registros.Los nombres adicionales distinguen entre mayúsculas y minúsculas, estánseparados por comas y no hay espacios entre ellos. Es necesario disponer de accesopara leer los registros.

Solo los administradores pueden extraer registros de seguridad. Puede extraerregistros de orígenes de datos WMI sin derechos de administrador si se configurancorrectamente.

Función Seleccione la función a la que enviar el mensaje de reenvío de eventos.

Intervalo Seleccione el intervalo en minutos para que el receptor compruebe el proveedorWMI en busca de eventos nuevos.

Dirección IP Captura SNMP: escriba la dirección IP del servidor de eEye que envía información decapturas.Reenvío de eventos: escriba la dirección IP a la que se reenviarán los eventos.

Contraseña La contraseña utilizada para conectar con el proveedor WMI.

Protocolo de privacidad Si selecciona authPriv en el campo Nivel de seguridad correspondiente a SNMP, estecampo estará activo.

Seleccione DES o AES.

En el modo FIPS, la única opción disponible es AES.

Agente de perfil Seleccione el agente para este perfil. Los campos restantes variarán en función de loque se seleccione en este campo.

Nombre de perfil Escriba un nombre descriptivo para este perfil.

Tipo de perfil Seleccione el tipo de perfil. Los campos restantes variarán en función de lo que seseleccione en este campo. Su uso es evidente en la mayoría de los casos.

Puerto Cambie el puerto de conexión si el predeterminado no es correcto.

Protocolo Seleccione el protocolo de transporte.

Dirección IP remota,Punto de montajeremoto, Ruta remota

Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta información para eldispositivo de almacenamiento.

Nivel de seguridad Seleccione el nivel de seguridad de este perfil de SNMPv3.




Los campos Autenticación y Privacidad se activarán en función del nivel de seguridadseleccionado.

Enviar paquete Seleccione esta opción si desea enviar el paquete de evento.



Opción Definición

Gravedad Seleccione la gravedad de la información reenviada.

Nombre de usuario El nombre de usuario utilizado para conectar con el proveedor WMI. En el caso delos usuarios de dominio, introduzca el nombre de usuario con el formato dominio\usuario.

3 Permite administrar los perfiles de comandos remotos para poder ejecutarlos en una vista o una alarma.Los scripts pueden hacer referencia a variables desde consultas o eventos. Si agrega un perfil, siemprepodrá acceder a él para agregar un comando remoto. Para agregar un comando remoto, haga clic en laficha Comando remoto y rellene la información solicitada.

Configure comandos remotos para ejecutar comandos en dispositivos que acepten conexiones SSH, exceptopara dispositivos de McAfee en ESM.

Opción Definición

Nombre Escriba un nombre para este perfil de comando remoto.

Descripción Describa lo que hace este comando.

Tipo Seleccione el tipo de comando remoto del que se trata.

Zona horaria Seleccione la zona horaria que se utilizará.

Formato de fecha Seleccione el formato para la fecha.

Host, Puerto, Nombre deusuario, Contraseña

Escriba la información correspondiente a la conexión SSH.

Cadena de comando Escriba la cadena de comando para la conexión SSH. Para insertar variablesen la cadena de comando, haga clic en el icono Insertar variable y seleccionelas variables.


Configuración de SNMPEstablezca la configuración utilizada por McAfee ESM para enviar capturas de vínculo activo/inactivo y de inicioen caliente/frío, tanto desde McAfee ESM como desde cada dispositivo. Recupere las tablas de sistema einterfaz de Base de datos de información de administración (MIB)-II y permita el descubrimiento de McAfeeESM mediante SNMP walk.

SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o SecureHash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced EncryptionStandard (AES) para el cifrado. MD5 y DES no están disponibles en el modo de conformidad con FIPS.

Pueden realizarse solicitudes SNMP en McAfee ESM para obtener información de estado sobre ESM y elreceptor. Pueden enviarse capturas SNMPv3 a McAfee ESM para agregar a la lista negra de uno o varios de susdispositivos gestionados. También puede configurar dispositivos de McAfee para que envíen capturas devínculo y de arranque a los destinos que elija.



Configuración de las opciones de SNMPConfigure las opciones que utiliza McAfee ESM para el tráfico SNMP entrante y saliente. Solo pueden realizarconsultas SNMP usuarios con nombres sin espacios.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración SNMP.

2 Introduzca la información requerida y haga clic en Aceptar.


SolicitudesSNMP

Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico.

Aceptar Seleccione los tipos de capturas que se aceptarán.

Permitir SNMPv1/2c Seleccione esta opción si desea permitir el tráfico SNMP de la versión 1 yla versión 2, y escriba el tipo de comunidad.

Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de la versión 3,y seleccione el nivel de seguridad, el protocolo de autenticación y elprotocolo de privacidad.

Direcciones IP deconfianza

Vea las direcciones IP que McAfee ESM permite o considera deconfianza. Es posible agregar direcciones nuevas y editar o eliminar lasexistentes. La dirección IP puede incluir una máscara.

Ver ID dedispositivos

Vea una lista de los ID de dispositivo que se pueden usar al enviarsolicitudes SNMP.

Ver MIB Vea la MIB (Management Information Base, base de datos deinformación de administración) de McAfee, la cual define losidentificadores de objeto (OID) de cada objeto o característica de interés.

Capturas SNMP Puerto de captura En la ficha Capturas SNMP, establezca el puerto por el que debe pasar eltráfico de captura en frío/en caliente, así como el tráfico de entrada delista negra y de vínculo activo/inactivo.

Capturas de vínculoactivo/inactivo

Seleccione esta opción para enviar capturas de vínculo activo/inactivo. Siselecciona esta opción y emplea varias interfaces, el sistema le notificarácuando una interfaz deje de funcionar, así como cuando vuelva a estaractiva.

El tráfico de captura en frío/en caliente se permite de formaautomática. Se genera una captura de inicio en frío siempre que sereinicia el servicio SNMP. El servicio SNMP se reinicia cuando cambia laconfiguración de SNMP, se modifica un usuario, se modifica un grupo,un usuario inicia sesión con autenticación remota, se reinicia el ESM, sereinicia cpservice, y en otras situaciones. Reiniciar el sistema generauna captura de inicio en caliente.

Capturas de base dedatos activa/inactiva

Seleccione esta opción si desea que se envíe una captura SNMP cuandola base de datos (cpservice, IPSDBServer) se active o se desactive.

Captura de error deregistro deseguridad

Seleccione esta opción si desea que se envíe una captura SNMP cuandono se escriba un registro en la tabla de registros.

Error de hardwaregeneral

Seleccione esta opción si desea recibir una notificación cuando fallecualquiera de las fuentes de alimentación del ESM (DAS o hardwaregeneral). Esto contribuye a evitar el apagado del sistema debido a unfallo de alimentación.

Destinos Seleccione los nombres de perfil de los sistemas a los que desee enviarlas notificaciones. La tabla muestra todos los perfiles de captura SNMPdisponibles en el sistema. Para editar esta lista, haga clic en Editar perfilesy agregue, edite o elimine perfiles en la lista del Administrador de perfiles.



Configuración de una captura SNMP para la notificación de fallos de alimentaciónSeleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos dealimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.

Antes de empezar• Verifique que dispone de privilegios de administrador o pertenece a un grupo de acceso con

privilegios de administración de alarmas.

• Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptor decapturas SNMP).



3 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

4 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.

5 Haga clic en Agregar e introduzca la información solicitada de este modo:

• Tipo de perfil: seleccione Captura SNMP.

• Dirección IP: escriba la dirección a la que desee enviar la captura.

• Puerto: escriba 162.

• Nombre de comunidad: escriba Público.

Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.

6 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.

El perfil se agregará a la tabla Destinos.

7 Seleccione el perfil en la columna Uso y haga clic en Aceptar.

Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado demantenimiento junto al dispositivo en el árbol de navegación del sistema.

SNMP y la MIB de McAfeePuede accederse a diversos aspectos de los productos de McAfee a través de SNMP. La MIB (ManagementInformation Base, base de datos de información de administración) de McAfee define los identificadores deobjeto (OID) de cada objeto o característica de interés.

La MIB define grupos de objetos para lo siguiente:

• Alertas: McAfee ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Unreceptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP deMcAfee.

• Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de datos SNMPde McAfee.



• Solicitudes de estado de ESM: McAfee ESM puede recibir y responder solicitudes de estado de sí mismo yde los dispositivos que administra.

• Lista negra: McAfee ESM puede recibir capturas que definen entradas para las listas negras y decuarentena, las cuales a su vez se aplican a los dispositivos que administra.

La MIB de McAfee también define convenciones textuales (tipos enumerados) de los valores, entre las que seincluyen:

• La acción realizada cuando se recibe una alerta

• La dirección y el estado del flujo

• Los tipos de orígenes de datos

• Las acciones de lista negra

La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information(SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a través deSNMPv1, SNMPv2c y SNMPv3, lo cual incluye la autenticación y el control de acceso.

Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de administraciónde SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los objetos administradosque mantiene el agente SNMP (en este caso, McAfee ESM). Los dispositivos suelen llevar a cabo una solicitudGET de SNMP proporcionando el nombre de host de McAfee ESM y los OID junto con la instancia concreta delOID.

McAfee ESM responde rellenando los vínculos de OID con los resultados de la solicitud de estado.

Las tablas siguientes muestran el significado de los OID de McAfee ESM y del receptor.

Tabla 3-14 Estado de McAfee ESM

OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneo combinadode carga de la CPU

1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM

1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible

1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Espacio total de la unidad de discoduro particionado para la base dedatos de McAfee ESM

1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad de discoduro disponible para la base de datosde McAfee ESM

1.3.6.1.4.1.23128.1.3.1.6 Segundos desde01/01/197000:00:0,0 (GMT)

1283888714 Hora actual del sistema en McAfeeESM

1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación de McAfee ESM

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo de McAfee ESM

1.3.6.1.4.1.23128.1.3.1.9 McAfee ESM Número de modelo de McAfee ESM



Tabla 3-15 Estado del receptor

OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nombre del receptor

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único de McAfeeESM para el receptor

1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que la comunicación con elreceptor está disponible (1) o noestá disponible (0)

1.3.6.1.4.1.23128.1.3.3.4.x Aceptar Indica el estado del receptor

1.3.6.1.4.1.23128.1.3.3.5.x Porcentaje 2 Porcentaje instantáneocombinado de carga de la CPU

1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 Total de RAM

1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponible

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Total de espacio de la unidad dedisco duro particionado para labase de datos del receptor

1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espacio libre de la unidad dedisco duro disponible para la basede datos del receptor

1.3.6.1.4.1.23128.1.3.3.10.x Segundos desde01/01/197000:00:0.0 (GMT)

1283889234 Hora actual del sistema en elreceptor

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.3 20070518091421a Versión y compilación delreceptor

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de equipo del receptor

1.3.6.1.4.1.23128.1.3.3.13.x Receiver Número de modelo del receptor

1.3.6.1.4.1.23128.1.3.3.14.x Alertas porminuto

1 Tasa de alertas (por minuto)durante un mínimo de 10minutos

1.3.6.1.4.1.23128.1.3.3.15.x Flujos por minuto 2 Tasa de flujos (por minuto)durante un mínimo de 10minutos

x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema | ConfiguraciónSNMP y haga clic en Ver ID de dispositivos.

Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de información.Una captura de alerta enviada desde McAfee ESM configurado para el reenvío de eventos podría tener unaspecto similar al siguiente:

OID Valor Significado

1.3.6.1.4.1.23128.1.1.1 780 ID de alerta de McAfee ESM

1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo

1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo




1.3.6.1.4.1.23128.1.1.5 10.0.0.69 Dirección IP de origen

1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 Dirección IP de destino

1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino

1.3.6.1.4.1.23128.1.1.11 17 Protocolo

1.3.6.1.4.1.23128.1.1.12 0 VLAN

1.3.6.1.4.1.23128.1.1.13 Dirección

1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos

1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez

1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez

1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos)

1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma

1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Descripción de firma

1.3.6.1.4.1.23128.1.1.20 5 Acción realizada

1.3.6.1.4.1.23128.1.1.21 1 Gravedad

1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos

1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino

1.3.6.1.4.1.23128.1.1.26 Aplicación

1.3.6.1.4.1.23128.1.1.27 Dominio

1.3.6.1.4.1.23128.1.1.28 Host

1.3.6.1.4.1.23128.1.1.29 Usuario (origen)

1.3.6.1.4.1.23128.1.1.30 Usuario (destino)

1.3.6.1.4.1.23128.1.1.31 Comando

1.3.6.1.4.1.23128.1.1.32 Objeto

1.3.6.1.4.1.23128.1.1.33 Número de secuencia




1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entorno deconfianza o no de confianza.

1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta

Los números significan lo siguiente:

• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA.

• El número final (1–35): para informar de las diversas características de la alerta.

Para conocer todos los detalles sobre la definición de la MIB de McAfee, consulte https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP de McAfee ESM.

Funcionamiento de las capturas SNMP con orígenes de datosLas capturas SNMP permiten que los orígenes de datos acepten capturas SNMP estándar de cualquierdispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas SNMP.

Las capturas SNMP estándar incluyen:

• Error de autenticación • Vínculo inactivo

• Inicio en frío • Vínculo activo e Inicio en caliente

• Pérdida de vecino de EGP

Para enviar capturas SNMP a través de IPv6, debe formular la dirección IPv6 como dirección de conversión IPv4.Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:

2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254

Extracción del MIB de McAfee ESMPermite ver los objetos y las notificaciones para crear una interfaz con McAfee ESM.

Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes:

• A un McAfee ESM que solicita información de estado del propio ESM o de los dispositivos receptores.

• A un dispositivo para solicitar su información de estado.

Procedimiento1 En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

2 Seleccione la ficha Solicitudes SNMP y haga clic en Ver MIB.

Administración de la base de datos de McAfee ESMAdministre la base de datos de McAfee ESM para proporcionar información y opciones de configuración amedida que se establecen las funciones en el sistema.

Las opciones disponibles son las siguientes:

3 Configuración de McAfee ESMAdministración de la base de datos de McAfee ESM


• Configure la directiva de retención de datos y asignación de espacio para eventos y flujos.

• Vea e imprima la información sobre la utilización de memoria de la base de datos para eventos.

Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamientoadicional para almacenamiento del sistema, de datos y de alto rendimiento.

Si elimina más de una unidad de la máquina virtual de McAfee ESM al mismo tiempo, se pueden perder todas lasbúsquedas de Enterprise Log Manager (ELM) anteriores. Para evitarlo, exporte los resultados de búsqueda deELM antes de retirar las unidades.

Configuración del almacenamiento de datosSi tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipos pequeñosde Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS (Direct-attached storage,almacenamiento conectado directamente) conectado a McAfee ESM, puede configurarlo para elalmacenamiento de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos | Archivado.

2 Haga clic en las fichas de dispositivo de almacenamiento de datos, seleccione una acción y rellene ladirección IP, el nombre y el puerto del dispositivo.

Las fichas disponibles dependen de los tipos de almacenamiento conectados a McAfee ESM.

3 Haga clic en Cancelar para cerrar la página.

Configuración del almacenamiento de datos de máquinas virtualesSi su máquina virtual de McAfee ESM tiene más de 4 CPU, puede utilizar almacenamiento adicional para elalmacenamiento de sistema, de datos y de alto rendimiento de la máquina virtual.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos |

Datos de máquina virtual.

2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo puedeseleccionar cada unidad una vez.


Aumento de los índices de acumulaciónDebido al número de índices estándar activados en McAfee ESM, solo se pueden agregar cinco índices a uncampo de acumulación. Si necesita más de cinco, puede desactivar hasta 42 índices estándar no utilizados (porejemplo, los de ID de sesión, MAC de origen/destino, puerto de origen/destino, zona de origen/destino ogeolocalización de origen/destino).

Configuración de McAfee ESMAdministración de la base de datos de McAfee ESM 3


Procedimiento

McAfee ESM emplea los índices estándar para generar consultas, informes, alarmas y vistas. Si desactiva uníndice, McAfee ESM le notificará cuando no pueda generar una consulta, informe, alarma o vista debido a uníndice desactivado, aunque no identificará qué índice está inactivo. Debido a esta limitación, no desactive índicesestándar a menos que sea necesario.


2 Haga clic en Base de datos.

3 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

4 En la lista Disponible, haga clic en Índices estándar y seleccione Mostrar índices estándar.

5 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para moverlos alárea Disponible.

El número de la indicación restante(s), situada en la esquina superior derecha de la página, aumentará concada índice estándar desactivado.

Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado.

Configuración de límites de retención de datosSi su configuración envía datos históricos al sistema, seleccione durante cuánto tiempo desea conservareventos y flujos, y si desea restringir los datos históricos.


Retención de datos.

2 Seleccione el número máximo de eventos y flujos que desea conservar, y si desea restringir los datoshistóricos.


Definición de los límites de asignación de datosEl número máximo de registros de eventos y flujos que el sistema mantiene es un valor fijo. La asignación dedatos permite establecer cuánto espacio debe asignarse a cada uno y cuántos registros deben incluirse en lasbúsquedas para optimizar las consultas.


Asignación de datos.

2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien hagaclic en las flechas de los campos Eventos y Flujos.


3 Configuración de McAfee ESMAdministración de la base de datos de McAfee ESM


Administración de la indización de acumulaciónSi hay campos personalizados que extraen datos numéricos de un origen, puede acumular varios eventos entresí y calcular su valor medio, o generar un valor de tendencia.

Antes de empezarCompruebe que existen tipos personalizados.

Procedimiento



3 Haga clic en Base de datos y, a continuación, en Configuración.

4 Seleccione un campo de acumulación en la lista desplegable Disponible.

5 Seleccione campos y muévalos a Activado.

6 Seleccione si realizar la acumulación a partir de ese momento o volver a generar datos pasados a partir dela fecha que especifique.

Visualización del uso de memoria de la base de datosVea e imprima tablas que detallan cómo el sistema utiliza la memoria de la base de datos.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos | Uso dememoria.

Las tablas Eventos y Flujos incluyen el uso de memoria por parte de la base de datos.

2 Para imprimir los informes, haga clic en el icono Imprimir .

Uso de usuarios y gruposAgregue usuarios y grupos a McAfee ESM, sus dispositivos, sus directivas y sus privilegios asociados.

En modo FIPS, McAfee ESM incluye Usuario, Usuario avanzado, Administrador de claves y certificados, y Administrador deauditorías. Cuando no se encuentra en modo FIPS, McAfee ESM incluye Administrador del sistema y Usuario general.

Listas de McAfee ESM:

• Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada usuario y losgrupos a los que pertenecen.

• Grupos: muestra los nombres de los grupos y los privilegios asignados a cada grupo.

Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.

Privilegios de grupo

Al configurar grupos, defina los privilegios que se aplican a todos los miembros del grupo.

Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema | Agregargrupo), el acceso a estas funciones queda limitado.

Configuración de McAfee ESMUso de usuarios y grupos 3


• Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de dispositivos, ala administración de varios dispositivos ni al visor de transmisiones de eventos.

• Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de alarmas.No pueden crear, editar, eliminar, activar ni desactivar alarmas.

• Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.

• Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.

• ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni acceder a laspropiedades de dispositivos ELM.

• Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory, Activos,Grupos de activos ni Etiquetas.

• Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo electrónico.

• Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.

• Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.

• Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.

Adición de usuariosAgregue usuarios al sistema para que tengan acceso a McAfee ESM y a sus dispositivos, directivas y privilegiosasociados. Una vez agregada, la configuración del usuario se puede editar o eliminar.

Antes de empezarCompruebe que dispone de privilegios de Administración de usuarios.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 Introduzca la contraseña y, a continuación, haga clic en Aceptar.

3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada.

Opción Definición

Nombre de usuario Especifique un nombre de usuario. Si va a emplear la configuración de CAC, el nombrede usuario corresponde al EDI-PI de 10 dígitos del usuario.

Alias de usuario (Opcional) Introduzca un alias si no desea que el nombre de usuario resulte visible. Siemplea la configuración de CAC, puede que corresponda al nombre de usuario.

Contraseña Haga clic en Establecer contraseña, introduzca una contraseña exclusiva para la cuenta,confírmela y haga clic en Aceptar.

3 Configuración de McAfee ESMUso de usuarios y grupos


Opción Definición

Función (solomodo FIPS)

Seleccione una función para este usuario. Las opciones son las siguientes:• Usuario: no se pueden agregar usuarios a un grupo con privilegios de Usuario avanzado.

• Usuario avanzado: estos usuarios son administradores del sistema para fines deUCAPL, pero podrían no disponer de todos los privilegios de un administrador delsistema. Esta función es obligatoria para asignar un usuario a un grupo concualquiera de estos privilegios:

• Administración de sistemas • Agregar/eliminar directivas

• Administración de usuarios • Variables y reglas personalizadas

• Administración de directivas • Lista negra global

• Administrador de claves y certificados: esta función es obligatoria para llevar a cabofunciones de administración de claves. Un usuario con esta función no se puedeagregar a un grupo con privilegios de Usuario avanzado.

• Administrador de auditorías: esta función es necesaria para configurar los registros. Unusuario con esta función no se puede agregar a un grupo con privilegios de Usuarioavanzado.

Derechos deadministrador(no disponible enel modo FIPS)

Seleccione esta opción si desea que el usuario tenga privilegios de administrador. Eladministrador del sistema puede otorgar privilegios a los usuarios generales mediantela creación de grupos de acceso y la asignación de usuarios a estos grupos. Eladministrador del sistema es el único usuario que tiene acceso a todas las áreas delsistema, incluida el área de usuarios y grupos.

Desactivar cuenta Seleccione si desea bloquear el acceso del usuario a su cuenta en McAfee ESM.

Dirección de correoelectrónico

Agregue la dirección de correo electrónico del usuario, que es opcional a menos que elusuario reciba notificaciones de informe o alarma.• Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la lista

desplegable Dirección de correo electrónico.

• Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico yagréguela al sistema.

SMS móvil Agregue la dirección de mensaje de texto (SMS) del usuario.• Si el número de mensaje de texto (SMS) ya existe en el sistema, selecciónelo en la

lista desplegable SMS móvil.

• Si el número no existe en el sistema, haga clic en SMS móvil y agréguelo al sistema.

El usuario esmiembro de

Seleccione los grupos a los que debe pertenecer el usuario.

4 Haga clic en Aceptar y escriba su contraseña de nuevo.

Los usuarios se agregan al sistema con los privilegios asignados a los grupos a los que pertenecen. Losnombres de usuario aparecen en la sección Usuarios de la página Usuarios y grupos. Junto a cada nombre deusuario, un icono indica si la cuenta está o no activada. Si el usuario tiene privilegios de administrador,

aparecerá un icono diferente junto a su nombre.



Configuración de usuarioDefina la configuración de usuario, como la zona horaria, el formato de fecha, contraseña y pantallapredeterminada.

Procedimiento1 En el panel, haga clic en el ID de usuario y, a continuación, en Opciones.

2 Seleccione Configuración de usuario.

3 Seleccione la zona horaria y el formato de fecha adecuados.

Las vistas, consultas y opciones de configuración muestran datos de eventos, flujos y registro relativos a lazona horaria y el formato de fecha seleccionados, a menos que se indique lo contrario de forma explícita.Cambiar la zona horaria puede provocar que el sistema genere datos incorrectos. Se recomienda establecerla zona horaria de la hora media de Greenwich (GMT).

4 Seleccione la pantalla predeterminada del árbol de navegación del sistema que desee que aparezca deforma predeterminada al abrir el sistema.

5 También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos.



Definición de la seguridad de inicio de sesiónDefina la configuración general de la seguridad de inicio de sesión de su sistema, como el número de intentosde inicio de sesión en un periodo determinado, durante cuánto tiempo el sistema puede estar inactivo, laconfiguración de la contraseña y si desea mostrar el último ID de usuario al iniciar sesión.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de

sesión.

2 Establezca las opciones en la ficha Estándar y haga clic en Aceptar o Aplicar.

3 Haga clic en Aceptar o en Aplicar.

Opción Definición

Intentos de inicio de sesiónfallidos permitidos

Especifique cuántos inicios de sesión fallidos consecutivos se permiten en unasesión. El valor 0 indica que se permite un número infinito de intentos de iniciode sesión.Si se supera este número en el tiempo especificado, el sistema bloquea lacuenta. El administrador del sistema deberá desbloquearla a través de la cuentaUsuarios y grupos.

No se puede bloquear la cuenta principal.

Espacio de tiempo deintentos de inicio de sesiónfallidos

Defina el periodo de tiempo para los intentos de inicio de sesión fallidosconsecutivos (entre 0 y 1440 minutos).

Este campo funciona junto con Intentos de inicio de sesión fallidos permitidos. Cuandose alcanza el número de intentos fallidos permitidos en un periodo de tiempoespecífico, el sistema bloquea la cuenta de destino. Permanecerá bloqueadadurante el tiempo definido en el campo Duración de bloqueo en error de inicio desesión o hasta que la desbloquee el administrador del sistema.

Duración de bloqueo en errorde inicio de sesión

Especifique el periodo de tiempo durante el que bloquear una cuenta si seautobloquea debido a inicios de sesión fallidos. El valor máximo es 1440minutos y 0 significa que no se desbloqueará automáticamente.

Transcurrido ese tiempo, la cuenta se desbloquea automáticamente. Esto noafecta a las cuentas que se han bloqueado manualmente. Los administradorespueden desbloquear la cuenta en cualquier momento.

Valor de tiempo de espera deinterfaz de usuario

Especifique el periodo que debe transcurrir sin actividad antes de forzar laaparición de la pantalla de inicio de sesión en la sesión actual. El valor 0 significaque no existe límite.Por ejemplo, si define un valor de 30 minutos, la pantalla de inicio de sesiónaparecerá automáticamente después de 30 minutos de inactividad, de modoque el usuario tendrá que iniciar sesión de nuevo para reanudar su actividad.

Bloquear automáticamentelas cuentas inactivasdespués de

Configure McAfee ESM para que bloquee las cuentas de usuario que no tenganderechos de administrador tras un número específico de días de inactividad.

El valor máximo es 365 días y el mínimo es 0, que equivale a desactivar estafunción. El bloqueo permanece hasta que un administrador desbloquea lacuenta.

Sesiones activas de unusuario

Establezca el número de sesiones activas que puede tener un usuariosimultáneamente. El máximo es 10 y el valor 0 desactiva la restricción.

Mostrar el último ID deusuario al iniciar sesión

Indique si desea que el campo de nombre de usuario se relleneautomáticamente con el utilizado en el último inicio de sesión correcto.

Configuración de la ACL Seleccione esta opción si desea establecer una lista de direcciones IP quepueden acceder al sistema o que tienen el acceso bloqueado.



Definición de la seguridad de la contraseñaDefina la configuración de seguridad de las contraseñas de usuario.

Antes de empezarCompruebe que dispone de privilegios de administrador del sistema.


sesión.

2 Haga clic en la ficha Contraseñas, seleccione las opciones que desee y haga clic en Aplicar o en Aceptar.

Opción Definición

Contraseña avanzadarequerida

Identifique los requisitos de la contraseña con estos valores mínimos:• 15 caracteres de longitud

• 2 números

• 2 símbolos o signos de puntuación

• 2 letras minúsculas

• 2 letras mayúsculas

• No puede contener 4 o más caracteres repetidos consecutivos

El sistema no acepta contraseñas que no cumplan estos requisitos.

Caducidad de lacontraseña

Especifique la frecuencia con la que los usuarios deben cambiar sus contraseñas(0-365 días). Si selecciona 0, la contraseña no caduca.

Notificación previa acaducar la contraseña

Seleccione con cuántos días de antelación desea recordar a los usuarios que debencambiar la contraseña (1-30).

Periodo de gracia decaducidad decontraseña

Seleccione el periodo de tiempo tras caducar la contraseña durante el que unusuario podrá iniciar sesión. Tras el periodo de gracia, la cuenta se bloquea y eladministrador deberá desbloquearla.

Inicios de sesión enperiodo de gracia

Seleccione las veces que un usuario podrá iniciar sesión durante el periodo detiempo especificado tras caducar la contraseña. Tras los inicios de sesión de gracia,el sistema bloquea la cuenta, que solo podrá ser desbloqueada por eladministrador.

Número de historialesde contraseñas

Designe si se debe almacenar el historial de contraseñas y cuántas contraseñasalmacenar para cada usuario (entre 0 y 100 contraseñas).Si se establece en 0, el sistema no almacena el historial de contraseñas.

El sistema comprueba el historial de contraseñas existente cuando los usuarioscambian las contraseñas.

Si la contraseña no es única, el sistema muestra un error y no actualiza lacontraseña. Si la contraseña es única, el sistema la cambia y agrega una entrada alhistorial. Si se alcanza el límite de almacenamiento, el sistema elimina la contraseñamás antigua.

Restringir cambios decontraseña una vezcada

Restringe la frecuencia con la que un usuario puede cambiar las contraseñas. Porejemplo, si selecciona 12, los usuarios no podrán cambiar sus contraseñas más deuna vez cada 12 horas.



Configuración de la autenticación RADIUSConfigure McAfee ESM para autenticar usuarios en un servidor RADIUS.

Antes de empezar

RADIUS no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice estafunción.


sesión.

2 Seleccione la ficha RADIUS y rellene los campos para el servidor principal, como la dirección IP, el puerto delservidor y el secreto compartido (por ejemplo, la contraseña) para el servidor RADIUS. El servidorsecundario es opcional. A continuación, haga clic en Aceptar o en Aplicar.

Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican con elservidor RADIUS. Si desactiva la autenticación, los usuarios configurados para la autenticación medianteRADIUS no podrán acceder a McAfee ESM.

Configuración de la lista de control de accesoConfigure una lista de direcciones IP para permitir o bloquear el acceso a McAfee ESM.



3 Haga clic en Seguridad de inicio de sesión y seleccione la ficha Estándar.

4 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista.

Configuración de Common Access Card (CAC)Realice la autenticación en McAfee ESM proporcionando credenciales de Common Access Card (CAC) a travésdel navegador en lugar de introduciendo un nombre de usuario y una contraseña.

La configuración de CAC contiene certificados de cliente que identifican a los usuarios, de forma similar a comoun certificado de servidor identifica sitios web. Antes de activar CAC, identifique qué navegadores admiten CACy el identificador personal de intercambio electrónico de datos (EDI-PI) asociado a CAC.

Las listas de revocación de certificados (CRL) identifican qué certificados están revocados. Puede cargarmanualmente un archivo .zip con archivos CRL.

ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la autenticación CAC enMcAfee ESM desde Windows mediante Internet Explorer, debe instalar ActivClient en el equipo cliente. Una vezinstalado, el sistema usa ActivClient para administrar las credenciales CAC en lugar del administrador detarjetas inteligentes nativo de Windows. Lo más probable es que el software ActivClient ya esté instalado si elcliente accede a otros sitios compatibles con CAC. Colabore con su administrador del sistema para asegurarsede que se ha instalado ActivClient en su entorno.

Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema depende de laseguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los inicios de sesión medianteCAC también lo estarán.



Configuración del inicio de sesión Common Access Card (CAC)Para configurar el inicio de sesión Common Access Card (CAC), cargue los certificados raíz de CA, active lafunción de inicio de sesión mediante CAC y active un usuario CAC mediante el establecimiento del nombredistintivo completo (FQDN) del titular de la tarjeta como nombre de usuario. A partir de ese momento, lostitulares de la tarjeta podrán acceder a McAfee ESM mediante navegadores compatibles con CAC sin tener queintroducir un nombre de usuario y una contraseña.

McAfee ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One.

Procedimiento1 Cargue el certificado raíz de CA.

a En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados | Entidades decertificación raíz de confianza.

b Seleccione su CA raíz actual y haga clic en Exportar.

c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y haga clic enSiguiente.

d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y, después, enFinalizar.

e En el árbol de navegación del sistema de la consola de McAfee ESM, acceda a Propiedades del sistema, hagaclic en Seguridad de inicio de sesión y seleccione la ficha CAC.

f Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en McAfee ESM.



4 Haga clic en Seguridad de inicio de sesión y seleccione la ficha CAC.



Opción Definición

El modo CAC estáactualmenteestablecido en

Seleccione el modo correspondiente a Common Access Card (CAC). Las opciones sonlas siguientes:

• DESACTIVADO: esta es la opción predeterminada. El inicio de sesión CAC estádesactivado, de modo que los usuarios tendrán que iniciar sesión mediante elmensaje de inicio de sesión de McAfee ESM.

• OPCIONAL: la autenticación CAC está disponible, pero si el usuario no proporciona uncertificado, aparecerá el mensaje de inicio de sesión de McAfee ESM como si elmodo CAC estuviera desactivado.

• REQUERIDO: solo se podrá acceder al sistema mediante el inicio de sesión CAC. Elmensaje de inicio de sesión no se muestra nunca. Si selecciona esta opción,introduzca un código PIN de seguridad en Código PIN de seguridad para modo requerido(IPv4). Se trata del código PIN que se introduce en el panel LCD si es necesariocambiar el modo CAC a OPCIONAL en caso de que se bloquee el acceso al sistema detodos los usuarios. El panel LCD reconoce el código PIN en el formato IPv4 (10.0.0.0).

Los certificados y las autoridades de certificación caducan, así que el modo REQUERIDOpodría llegar a bloquear el acceso de todos los usuarios a McAfee ESM. Existe un botóna prueba de errores situado en el panel LCD de la parte delantera del McAfee ESM quecambia el modo CAC de nuevo a OPCIONAL.

Credenciales decertificado

Permite cargar la cadena de certificados raíz de CA de forma que McAfee ESM tengaacceso a ellos. Es posible ver el archivo de certificado o descargarlo a una ubicaciónseleccionada.

Lista de revocaciónde certificados

Cargue la lista de certificados revocados o descárguelos a la ubicación de su elección.

Configurar unprograma derecuperación

Configure una planificación de recuperación automática; para ello, escriba la direcciónURL y la frecuencia con la que McAfee ESM debería buscar actualizaciones de archivosde revocación.

5 Active cada uno de los usuarios CAC.

a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema.

b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

c Sustituya el nombre del campo Nombre de usuario por el FQDN.

d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario.

Configuración de las opciones de autenticación de Active DirectoryConfigure McAfee ESM para autenticar usuarios en Active Directory (excepto el administrador del sistema). Sidesactiva la autenticación, los usuarios configurados para la autenticación mediante Active Directory no podránacceder al sistema.

Antes de empezar• Configure Active Directory para McAfee ESM.

• Cree un grupo con el mismo nombre que el grupo de Active Directory que tiene acceso alMcAfee ESM. Por ejemplo, si asigna el nombre Usuarios de McAfee al grupo, deberá agregar ungrupo llamado Usuarios de McAfee.




sesión.

2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.

3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión.

4 Haga clic en Aceptar en la página Conexión de Active Directory.

Opción Definición

Usar comopredeterminado

Seleccione esta opción si desea usar este dominio de forma predeterminada.

Nombre de dominio Escriba el nombre del dominio.

Cuando se inicia sesión en el sistema, se puede utilizar este nombre de dominiocomo nombre de usuario. Si inicia sesión mediante su nombre de usuario, el sistemaempleará el dominio designado como predeterminado.

Botón Agregar Permite agregar direcciones IP utilizadas para Active Directory.• Servidor de administración: seleccione esta opción si se trata de la dirección del

servidor de administración. De lo contrario, anule su selección.

Una de las direcciones introducidas debe identificar el host donde se ejecuta elservidor de administración.

• Dirección IP: escriba la dirección IP para Active Directory.

• Puerto y Puerto LDAP: puede cambiar los valores predeterminados, si procede.

• Usar TLS: seleccione esta opción a fin de utilizar el protocolo de cifrado TLS para losdatos.

Botón Editar Realice cambios en la configuración existente de direcciones IP.

Botón Eliminar Elimine una dirección IP existente.

Configuración de credenciales para McAfee ePOEstablezca las credenciales de usuario para limitar el acceso a un dispositivo McAfee ePO.

Antes de empezarCompruebe que el dispositivo McAfee ePO está configurado y no requiere autenticación deusuarios global.

Procedimiento1 En el panel, haga clic en el nombre de usuario y, a continuación, en Opciones.

2 Seleccione Credenciales de ePO.



3 Vea los dispositivos McAfee ePO en McAfee ESM.

• Si aparece el estado No necesario, el dispositivo está configurado para la autenticación de usuariosglobal.

• Si aparece el estado Sin credenciales, el dispositivo está configurado para requerir la autenticaciónindividual de los usuarios.

• Para cambiar la configuración de autenticación de los usuarios, acceda al cuadro de diálogo Propiedadesdel dispositivo McAfee ePO, haga clic en Conectar y cambie la configuración en el campo Solicitarautenticación de usuario.

4 Seleccione un dispositivo y haga clic en Editar.

5 Escriba el nombre de usuario y la contraseña, y haga clic en Probar conexión.

Activación o desactivación de usuariosBloquee (desactive) o permita (active) el acceso de los usuarios temporal o permanentemente sin eliminarloscomo usuarios de McAfee ESM.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar.

El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.

Autenticación de usuarios mediante un servidor LDAPConfigure McAfee ESM para autenticar usuarios en un servidor LDAP.


sesión.

2 Haga clic en la ficha LDAP.

3 Rellene los campos (por ejemplo, el protocolo de cifrado de datos, atributos y filtros), y haga clic en Aplicar oAceptar.

Configuración de grupos de usuariosDefina la configuración de grupo, como privilegios, directivas y acceso a dispositivos, informes, y datos dealarma. De ese modo, cualquier usuario que forme parte del grupo heredará su configuración.

Antes de empezarCompruebe que dispone de privilegios de administración de usuarios.

Procedimiento1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema | Usuarios y grupos y escriba su

contraseña.

2 Seleccione los privilegios para este grupo. Solo el creador del elemento puede cambiar los permisos de loselementos personalizados de solo lectura.



Opción Definición

(Solo vistas)Heredar permisos dela carpeta principal

(Valor predeterminado) Si no desea que este privilegio se herede, anule la selección deesta opción.

(Solo informes ylistas devigilancia) Heredarconfiguración demodificación

(Valor predeterminado) Los usuarios heredan privilegios. Anule la selección de estaopción si desea cambiar la configuración predeterminada.

Ficha Grupos Indique los grupos que tienen acceso a los elementos seleccionados. Puedeseleccionar Solo lectura, Modificar o ninguna de las dos opciones. Si no seleccionaninguna, el grupo dispondrá de derechos de denegación. Si selecciona Modificar, seselecciona automáticamente Solo lectura.Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios detipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán esteprivilegio.

Ficha Usuarios Incluye todos los usuarios a los que tiene acceso en función de su pertenencia agrupos. Indique los usuarios que deben tener acceso a los elementos seleccionados.Puede seleccionar Solo lectura, Modificar o ninguna de las dos opciones. Si no seleccionaninguna, el usuario dispondrá de derechos de denegación. Si selecciona Modificar, seselecciona automáticamente Solo lectura.

Los derechos de usuario tienen prioridad sobre los derechos de grupo. Por ejemplo, sia un usuario solo se le asigna el acceso Leer para un recurso, pero su grupo tieneacceso para Modificar, el usuario solo podrá Leer los elementos seleccionados.

Puede agregar o eliminar usuarios en la lista.

1 Haga clic en Agregar, seleccione los usuarios y haga clic en Aceptar.

2 Para cada usuario, seleccione Leer o Modificar, y haga clic en Aceptar.

Si un usuario no está en la lista, el sistema utiliza los derechos de grupo del usuario. Siun usuario está en la lista pero no tiene marcadas las opciones Leer o Modificar, elusuario tendrá derechos de denegación explícitos para el recurso.



3 A la derecha de la tabla Grupos, haga clic en Agregar y rellene la información solicitada en cada una de lasfichas.

Opción Definición

Nombre y descripción Escriba el nombre para este grupo y una descripción.

Usuarios Seleccione los usuarios que formarán parte de este grupo.

Privilegios Seleccione los privilegios asociados con este grupo.

Dispositivos Seleccione los dispositivos a los que podrán acceder los usuarios. Si selecciona todoslos dispositivos, los usuarios también tendrán acceso a los dispositivos nuevos que seagreguen al sistema.

Directivas Seleccione las directivas que los usuarios pueden usar y modificar.

Filtros de dirección IP Aplique filtros de direcciones IP para que el grupo limite los datos vistos por losusuarios al ejecutar informes o al seleccionar usuarios como destinatarios deinformes o alarmas.

Zonas Seleccione las zonas a las que los usuarios pueden acceder y que pueden modificar.

Reenvío de eventos Seleccione los destinos de reenvío de eventos a los que puede acceder este grupo.Esta opción define los dispositivos desde los que un usuario puede reenviar eventos ylos filtros que especifican los tipos de eventos que se pueden reenviar.

Si un destino de reenvío de eventos no pertenece a un grupo de acceso, cuenta conacceso a todos los dispositivos.

Restricciones detiempo para grupo

Limita los días y las horas en los que este grupo puede acceder a McAfee ESM. Losusuarios reciben una notificación visual que informa de que la sesión va a caducar 15,5 y 1 minuto(s) antes de que la sesión caduque.

Informes Seleccione los informes que los usuarios de este grupo pueden ver y modificar.También puede seleccionar grupos o usuarios con los que compartir los informes.

Vistas Permite seleccionar las vistas que los usuarios de este grupo pueden ver y modificar.También puede compartir la visibilidad con otros usuarios y grupos.

Listas de vigilancia Seleccione las listas de vigilancia que los usuarios de este grupo pueden ver ymodificar. También puede compartir la visibilidad con otros usuarios y grupos.

Filtros Seleccione los conjuntos de filtros que los usuarios de este grupo pueden ver ymodificar.

Si selecciona más de una vista, lista de vigilancia o informe, una casilla de verificación en la columna Leer oModificar de la ficha Grupos o Usuarios indica un conflicto. No podrá guardar y cerrar la página hasta queresuelva el conflicto. Haga clic en la casilla de verificación para resolver la configuración de todos loselementos seleccionados.

4 Haga clic en Aceptar y escriba su contraseña de nuevo.

Adición de grupos con acceso limitadoPara restringir el acceso de usuarios concretos a funciones de McAfee ESM, cree grupos que incluyan a estosusuarios. Esta opción limita su acceso a alarmas, administración de casos, informes de ELM, listas de vigilancia,administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y barra de herramientasde acciones. El resto de las funciones estarán desactivadas.


2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema.




• Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar.

• Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la descripción y,a continuación, seleccione los usuarios.

4 Haga clic en Privilegios y seleccione Limitar el acceso de este grupo.

Casi todos los privilegios están desactivados.

5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.

6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.

Copia de seguridad y restauración de la configuración del sistemaGuarde las opciones de configuración actuales del sistema de forma automática o manual de manera que sepuedan restaurar en caso de fallo del sistema o fuga de datos.

Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las correspondientes ala directiva, SSH, la red y los archivos SNMP. Cuando se agrega un dispositivo ESM, se activa Copia de seguridad yrestauración para crear una copia de seguridad cada siete días.

Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el sistema. En la primeracopia de seguridad de datos de eventos, flujos o registros solamente se guardan datos a partir del inicio del díaen curso. En las copias de seguridad subsiguientes, se guardan los datos a partir del momento de la últimacopia de seguridad.

Para restaurar el sistema, seleccione los archivos de copia de seguridad en McAfee ESM, un equipo local o unaubicación remota para revertir toda la configuración y los datos a un estado anterior. Se perderán todos loscambios realizados en la configuración tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabouna copia de seguridad diaria y desea restaurar los datos de los últimos tres días, seleccione los tres últimosarchivos de copia de seguridad. El sistema agrega eventos, flujos y registros de los tres archivos de copia deseguridad a los eventos, flujos y registros que haya en ese momento en McAfee ESM. El sistema sobrescribirátoda la configuración con la configuración de la copia de seguridad más reciente.

Copia de seguridad de la configuración y los datos de sistema de McAfeeESM

Antes de empezarCree una copia de seguridad completa antes de cualquier actualización a una versión principal paraevitar la fuga de datos. Una copia de seguridad completa contiene:

• Configuración de los dispositivos ESM, ERC, DEM, ADM y ACE.

Las copias de seguridad completas de ELM solo incluyen los ajustes de configuración. Deberácrear una copia de seguridad independiente de la configuración de la base de datos o perderátodas las conexiones de base de datos con sus recursos compartidos locales, recursoscompartidos remotos y SAN.

• Detenga CPService y, después, DBServer; cree una copia del contenido de /usr/local/ess/data/, /etc/NitroGuard y otras carpetas en un recurso compartido remoto.

Si experimenta problemas durante la actualización:

3 Configuración de McAfee ESMCopia de seguridad y restauración de la configuración del sistema


• Reinstalar el software en la versión existente.

• Reinstalar los archivos de copia de seguridad.

• Vuelva a intentar la actualización a la siguiente versión.

Las copias de seguridad solo son compatibles con la versión actual del dispositivo ESM. No sepuede instalar una copia de seguridad de una versión anterior en un dispositivo ESM actualizado.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM |

Mantenimiento | Copia de seguridad.

2 Defina la configuración de la copia de seguridad y haga clic en Aceptar.

Opción Definición

Frecuencia de copiade seguridad

Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia de seguridad yrestauración está activada para crear una copia de seguridad cada siete días. Es posiblecambiar la frecuencia o desactivar las copias de seguridad.

Hacer copia deseguridad de datospara

Seleccione lo que desee incluir en la copia de seguridad.

Ubicación de copia deseguridad

Seleccione dónde desea guardar la copia de seguridad:• ESM: se guarda en McAfee ESM y se accede a ella mediante la página Mantenimiento de

archivos.

• Ubicación remota: se guarda en la ubicación definida en los campos activos. Si guardauna copia de ESM y todos los datos del sistema manualmente, deberá seleccionaresta opción.

Cuando cree una copia de seguridad en un recurso compartido CIFS, escriba unabarra (/) en el campo de ruta remota.

Hacer una copia deseguridad ahora

Cree manualmente una copia de seguridad de la configuración de ESM, así como delos eventos, flujos y registros (si se selecciona esta opción). Haga clic en Cerrar cuandofinalice la copia de seguridad correctamente.

Copia de seguridadcompleta ahora

Guarde manualmente una copia de la configuración del dispositivo y los datos delsistema. Estos datos no pueden guardarse en McAfee ESM, así que deberá seleccionarUbicación remota en el campo Ubicación de copia de seguridad e introducir la informaciónsobre la ubicación.

El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

Restauración de la configuración de McAfee ESMEn caso de fallo del sistema o fuga de datos, restaure McAfee ESM a un estado anterior seleccionando unarchivo de copia de seguridad.

Antes de empezar

Si la base de datos contiene el máximo de registros permitidos y los registros que se van arestaurar están fuera del intervalo de datos actual de McAfee ESM, los registros no se restauran.Para guardar datos fuera de este intervalo y acceder a ellos, es necesario disponer de unaconfiguración de archivado de partición inactiva.

Configuración de McAfee ESMCopia de seguridad y restauración de la configuración del sistema 3


Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM |

Mantenimiento | Restaurar copia de seguridad.

2 Seleccione el tipo de restauración que desee realizar.

3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y, después,haga clic en Aceptar.

La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del archivo derestauración. McAfee ESM permanecerá inactivo hasta que termine la restauración por completo. Durante estetiempo, McAfee ESM intentará reconectarse cada 5 minutos. Cuando el proceso finaliza, se abre la página Iniciode sesión.

Restauración de archivos de configuración con copias de seguridadPuede restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de seguridad creadasen McAfee ESM para cada dispositivo.

Antes de empezarCree una copia de seguridad de los archivos de configuración en McAfee ESM.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de Propiedades .

2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,finalmente, haga clic en Sí.

Administración del mantenimiento de archivosMcAfee ESM almacena archivos de copias de seguridad, actualizaciones de software, registros de alarmas yregistros de informes. Puede descargar, cargar y quitar archivos de cada una de estas listas.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos.

2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de software,Archivos de registro de alarmas o Archivos de registros de informes.

3 Seleccione los archivos y haga clic en una de las opciones disponibles.


Administración de McAfee ESMPuede administrar certificados, registros, archivos de funciones y claves de comunicación de McAfee ESM.


Configuración Administrar registros Configurar los tipos de eventos que se almacenan en el registro deeventos.

Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos ESMjerárquicos.

3 Configuración de McAfee ESMAdministración de McAfee ESM



Ocultamiento Defina la configuración global para enmascarar ciertos datos en cualquierregistro de alerta enviado mediante el reenvío de eventos o enviado a unESM principal.

Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos sepueden usar con fines de auditoría.

Configuraciónregional del sistema

Seleccionar el idioma del sistema que se usará para registrar eventos,como en el caso del registro de dispositivos y el monitor de estado.

Asignación denombre

Permite anular la selección de los puertos y los protocolos de forma quemuestren números sin procesar en lugar de nombres. Por ejemplo, si seanula la selección de Puerto de origen o Puerto de destino, http:80 se mostrarácomo 80. Si se selecciona Protocolos, el número sin procesar 17 aparecerácomo udp.

Red local Agregue una lista de las direcciones IP o subredes incluidas en la redlocal.

Administraciónde claves

Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL).

Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado paracomunicarse con todos los dispositivos.

Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las reglasde McAfee o a través de un ingeniero de seguridad de McAfee.

Datos de ESM Permite descargar un archivo .tgz con información sobre el estado delESM. Este estado puede ayudar al Soporte de McAfee a solucionarproblemas y corregir errores.

Administrador detareas

Vea las consultas en ejecución en McAfee ESM y deténgalas, si esnecesario.

Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida decomunicación de todos los usuarios con el ESM.

Reiniciar Detenga y reinicie McAfee ESM.

Esta acción provoca la pérdida de comunicación de todos los usuarioscon McAfee ESM.

Obtener funciones Si ha adquirido funciones adicionales, actívelas en McAfee ESMdescargando un archivo cifrado con información sobre las funciones queadmite su ESM.

Establecer funciones Instalar el archivo descargado mediante Obtener funciones.

Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistema cuandosolicita ayuda.

Esta opción no es conforme a FIPS, así que no está disponible cuando seemplea el modo FIPS.

Ver estadísticas Permite acceder a la información siguiente en cualquier dispositivo ESM:• Estadísticas de uso de memoria y espacio de intercambio.

• Uso de la CPU.

• Actividad de conmutación del sistema

• Estadísticas de velocidad de transferencia y entrada/salida

• Promedios de longitud de cola y carga

Configuración de McAfee ESMAdministración de McAfee ESM 3


Administración de registrosSeleccione los eventos que desea guardar en el registro de eventos.


2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.

Enmascaramiento de direcciones IPEnmascare ciertos datos en los registros de eventos enviados mediante el reenvío de eventos a un ESMprincipal.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Administración

de ESM | Jerarquía de ESM.

2 Seleccione Ocultar para que los dispositivos ESM enmascaren datos.

3 Seleccione los campos que desee enmascarar.

4 Seleccione las opciones en su red local.

• Para garantizar que el ocultamiento suceda del mismo modo cada vez. Introduzca un origen en el campoValor de origen o haga clic en Generar para generar un origen aleatorio. Esto resulta útil cuando seocultan las direcciones IP de varios dispositivos ESM y desea mantener los valores sincronizados.

• Seleccione esta opción para ocultar las direcciones IP de dentro y fuera de la red local. Esto abarca lostipos personalizados de IP, tales como las direcciones IPv4 e IPv6.

• Introduzca una lista de las direcciones IP o subredes incluidas en la red local, separadas por comas(hasta 2000 caracteres).

Si su red local supera los 2000 caracteres, puede consolidar varias subredes en una red local más cortamediante la notación CIDR.


Una vez realizada esta operación, si un ESM principal solicita un paquete de un ESM secundario, el sistemaenmascara los datos seleccionados.

Configuración del registro de McAfee ESMSi tiene un dispositivo Enterprise Log Manager (ELM) en su sistema, configure el grupo de registropredeterminado para enviar datos de eventos internos que McAfee ESM genera para el dispositivo ELM.

Antes de empezarAgregue un dispositivo ELM al sistema.


2 En la ficha Configuración, haga clic en Registro.

3 Configuración de McAfee ESMAdministración de McAfee ESM


3 Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar datos deeventos internos y haga clic en Aceptar.• Si dispone de más de un dispositivo ELM en el sistema, seleccione el ELM donde desee almacenar los

datos. Este dispositivo McAfee ESM siempre registrará los datos en el ELM seleccionado.

• Seleccione la dirección IP con la que desea que McAfee ESM se comunique con el ELM. El sistema lenotificará cuando el ELM seleccionado esté correctamente asociado al dispositivo.

• Si no se han configurado grupos de almacenamiento en el ELM, el sistema le informará de que debeagregar grupos de almacenamiento al ELM antes de activar el registro.

Regeneración de una clave SSHEs posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos losdispositivos.


2 En la ficha Administración de claves, haga clic en Regenerar SSH.

3 Haga clic en Sí.

Cuando el sistema regenere la nueva clave, sustituirá el par de claves anterior en todos los dispositivosadministrados por McAfee ESM.

Administración de consultas de tareasEl Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible ver suestado y eliminarlas si afectan al rendimiento del sistema.


2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de tareas.

3 Puede realizar las tareas siguientes:

• Cierre consultas de informes, vistas, listas de vigilancia, ejecución y exportación, alarmas y API externasen el sistema. No es posible cerrar consultas del sistema.

• De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona unaconsulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los detalles. Lasconsultas finalizadas no aparecen en la lista.

• Seleccione y copie los datos del área Detalles de consulta.

• Ordene las columnas de la tabla.

• Un icono de borrado identifica las consultas que puede cerrar.

Configuración de McAfee ESMAdministración de McAfee ESM 3


Ampliación de dispositivos ESM principales o redundantesAmplíe los dispositivos ESM principales o redundantes.

Procedimiento1 Desactive la recopilación de eventos, flujos y registros.

a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos yregistros.

b Anule la selección de Intervalo de comprobación automática.

2 Actualice el dispositivo ESM principal.

3 Actualice el dispositivo ESM redundante.

4 Para activar la recopilación de eventos, flujos y registros, vuelva a seleccionar Intervalo de comprobaciónautomática.

Funcionamiento de una lista negra globalUna lista negra bloquea el tráfico a medida que fluye por un dispositivo de red antes de que el motor deinspección profunda de paquetes lo analice. Una lista negra global se aplica a todos los dispositivos de redadministrados por McAfee ESM.

Puede configurar una lista negra de dispositivos de red individuales en McAfee ESM. Una lista negra global solopermite entradas permanentes en la lista negra. Para establecer entradas temporales, use la opción Lista negradel dispositivo de red.

Todos los dispositivos de red pueden utilizar la lista negra global. La función está desactivada en todos losdispositivos hasta que se activa.

El Editor de lista negra global le permite:

• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por eldispositivo.

• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por eldispositivo.

• Exclusiones: impide la adición automática a cualquiera de las listas negras. Puede agregar direcciones IPcríticas (por ejemplo, DNS y otro tipo de servidores, o estaciones de trabajo de los administradores delsistema) a las exclusiones para asegurarse de que nunca se incluyan automáticamente en las listas negras,independientemente de los eventos que puedan generar.

Puede configurar entradas en Orígenes bloqueados y en Destinos bloqueados para limitar el efecto de la lista negra enun puerto de destino concreto.

A la hora de agregar entradas:

3 Configuración de McAfee ESMFuncionamiento de una lista negra global


• Puede configurar entradas de origen y destino bloqueados en las listas negras de todos los puertos o de unpuerto específico.

• Configure entradas con un intervalo enmascarado de direcciones IP con el puerto establecido comocualquiera (0). La duración debe ser permanente.

• Tras escribir una dirección IP o nombre de host, el botón situado junto al control mostrará Resolver o Buscaren función del valor introducido. Si aparece Resolver, al hacer clic se resolverá el nombre de host introducido,se rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo Descripción.De lo contrario, al hacer clic en Buscar se realizará una búsqueda sobre la dirección IP y se rellenará el campoDescripción con los resultados de la búsqueda.

Algunos sitios web usan más de una dirección IP o cuentan con direcciones IP cambiantes. No dependa deesta herramienta para garantizar el bloqueo de sitios web.

Establecimiento de una lista negra globalConfigure una lista negra global para bloquear el acceso de tráfico específico a todos los dispositivos de redcompatibles con el uso de una lista negra.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.

2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la listanegra.

• Para Exclusiones, administre la lista de direcciones IP que nunca se deben incluir en la lista negra deforma automática (por ejemplo, DNS, servidores de otro tipo o la estación de trabajo del administradordel sistema).

• La configuración predeterminada es cero (0), lo cual permite cualquier puerto. Escriba un número depuerto si desea restringir el efecto de la lista negra a un puerto de destino específico.

3 Seleccione los dispositivos de red compatibles con la lista negra global.

Enriquecimiento de datosEnriquezca eventos enviados por el origen de datos situado en sentido ascendente con contexto no presenteen el evento original (por ejemplo, una dirección de correo electrónico, un número de teléfono o informaciónsobre la ubicación del host). Estos datos enriquecidos pasan a formar parte del evento analizado y se almacenanjunto con el evento, al igual que en los campos originales.

Puede configurar orígenes de enriquecimiento de datos mediante definiendo la forma de conectarse con labase de datos y cómo acceder a una o dos columnas de una tabla contenida en esa base de datos. Acontinuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos, tantopara eventos como para flujos.

También puede editar o quitar orígenes de enriquecimiento de datos, y ejecutar una consulta. Los eventos quese activan en McAfee ESM no se enriquecen. La adquisición de datos tiene lugar en McAfee ESM, no en losdispositivos.

Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares de clave-valordel origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer a un receptor deforma regular para enriquecer los eventos.

Configuración de McAfee ESMEnriquecimiento de datos 3


Adición de orígenes de enriquecimiento de datosAgregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en

Enriquecimiento de datos | Agregar.

Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de enriquecimientoseleccionado.

2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.


FichaPrincipal

Nombre Escriba un nombre para el origen.

Activar Indique si desea activar este origen o no.

Tipo de búsqueda Seleccione el tipo de datos que desee utilizar para la búsqueda.

Tipo de enriquecimiento Seleccione el tipo de datos que desee enriquecer.

Frecuencia de extracción Seleccione la frecuencia con que se debe ejecutar este origen deenriquecimiento de datos.

Ficha Origen • Los tipos de orígenes CIFS, NFS, FTP, SFTP y SCP solo pueden utilizar archivos externos parael enriquecimiento. El resto de los tipos de orígenes requieren la escritura de una consultapara una base de datos o una expresión regular.

• El archivo extraído para el enriquecimiento de datos debe tener el formatoValorDeBúsqueda=ValorDeEnriquecimiento.

• Cada entrada debe encontrarse en una línea distinta.

• En el caso del enriquecimiento de una única columna, solo se necesitan entradas de valorde búsqueda.

• Para el enriquecimiento de dos columnas, el valor de búsqueda debe estar separado delvalor de enriquecimiento mediante el signo igual (=).

Por ejemplo, un archivo que emplea direcciones IP correspondientes a nombres de hostpodría tener un aspecto similar a este:

10.5.2.3=Nueva York10.5.2.4=Houston

Tipo Tipo de controlador de base de datos para el origen.

Autenticación El valor predeterminado es Ninguna.Si selecciona Básica, escriba el nombre de usuario y la contraseña delsitio web si este requiere iniciar sesión.

Nombre de base de datos Nombre de la base de datos.

Host El nombre del equipo que ejecuta la base de datos.

Ignorar certificados noválidos

Si el sitio web en el que intenta realizar la búsqueda está en unadirección URL HTTPS, seleccione esta opción para ignorar loscertificados SSL no válidos.

Dirección IP Dirección IP de la base de datos.

Host de Jobtracker (No obligatorio) Dirección de host o dirección IP de Jobtracker deApache Hadoop. Si se deja en blanco, el sistema utiliza el host deNamenode.

3 Configuración de McAfee ESMEnriquecimiento de datos



Puerto de Jobtracker (No obligatorio) Puerto de escucha del host de Jobtracker. Si se dejaen blanco, el sistema utiliza el host de Namenode.

El valorpredeterminado deMétodo es GET.

El valor predeterminado es GET.Si se selecciona POST, pueden ser necesarios el contenido oargumento correspondientes para navegar a la página web queincluye el contenido en el que se desea buscar.

Punto de montaje El directorio para los archivos.

Host de Namenode Dirección de host o dirección IP de Namenode de Apache Hadoop.No incluya el protocolo.

Puerto de Namenode (No obligatorio) Puerto de escucha del host de Namenode. Si se dejaen blanco, el sistema utiliza el host de Namenode.

Contraseña La contraseña para acceder a la base de datos.

Ruta La ruta de acceso a la base de datos. Si selecciona FTP en el campoTipo, la ruta hará referencia al directorio de inicio. A fin de especificaruna ruta absoluta en el servidor FTP, inserte una barra diagonaladicional (/) al principio de la ruta. Por ejemplo, //var/local/ruta.

Puerto El puerto de la base de datos.

Nombre de recursocompartido

El directorio para los archivos.

Nombre de usuario El nombre del usuario que puede acceder a la base de datos. En elcaso de LDAP, introduzca un nombre de dominio completo sinespacios. Por ejemplo,uid=blas,ou=Usuarios,dc=ejemplo,dc=com [email protected].

FichaAnálisis

Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite verlas primeras 200 líneas del código fuente HTML correspondiente a laURL introducida en el campo URL de la ficha Origen. Se trata solo deuna vista previa del sitio web, pero es suficiente a fin de escribir unaexpresión regular para la coincidencia.Una actualización planificada o ejecutada mediante Ejecutar ahora delorigen de enriquecimiento de datos incluye todas las coincidenciascorrespondientes a la búsqueda mediante la expresión regular. Estafunción es compatible con expresiones regulares de la sintaxis RE2,tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

Líneas de encabezado queomitir

Normalmente, un sitio de Internet tiene un código de encabezado enel que no es necesario buscar. Especifique cuántas líneas delprincipio del sitio desea omitir para que la búsqueda no incluya losdatos del encabezado.

Delimitador de línea nueva Escriba lo que se utiliza en el sitio para separar los valores en los queesté interesado. Este campo tiene el valor predeterminado \n, queindica que el delimitador es una línea nueva. El otro delimitador máshabitual es la coma.

Ignorar expresión Escriba una expresión regular que elimine los valores no deseadosde los resultados de la búsqueda realizada mediante una expresiónregular.




Expresión regular (Obligatorio) Escriba la lógica empleada para buscar unacoincidencia y extraer los valores del sitio.Los casos de uso más comunes son crear una expresión quecoincida con una lista de direcciones IP o sumas MD5 maliciosasconocidas incluidas en un sitio.

Si ha proporcionado dos grupos de coincidencia en la expresiónregular, puede asignar los resultados de cada coincidencia de regexa Valor de búsqueda o a Valor de enriquecimiento.

Valor de búsqueda o El valor que se debe buscar en los eventos recopilados del ESMdonde desee agregar más valores. Está asignado al Campo de búsquedade la ficha Destino.

Valor de enriquecimiento El valor enriquecido o insertado en los eventos de origen quecoincide con el valor de búsqueda. Está asignado al Campo deenriquecimiento de la ficha Destino.

FichaConsulta

Configure la consulta para los tipos Hadoop HBase (REST), Hive, LDAP, MSSQL, MySQL, Oracleo PIG.

FichaCalificación

Ajuste la calificación para cada valor devuelto por una consulta de una única columna.Seleccione el campo de origen y el campo de destino donde desee aplicar la calificación yhaga clic en Ejecutar consulta.

Valor Muestra los valores devueltos.

Calificación Muestra el stepper numérico que se puede utilizar a fin deestablecer la calificación de riesgo para el valor.

FichaDestino

Permite ver los dispositivos y la regla para la asignación de campos correspondiente a losdispositivos alimentados por este origen de enriquecimiento de datos.

Agregar Permite seleccionar los dispositivos y las reglas.

Editar Permite cambiar la configuración de los dispositivos o las reglas.

Quitar Permite eliminar la configuración de dispositivos o reglas.

3 Haga clic en Finalizar y, después, en Escribir.

4 Seleccione los dispositivos que desee enriquecer y cree una regla de asociación de campos para losdispositivos. A continuación, haga clic en Aceptar.

Si ha seleccionado Usar valor estático, deberá introducir el valor de enriquecimiento.

Adición de un origen de enriquecimiento de datos de Hadoop HBaseEs posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los eventospor medio de la adición de Hadoop HBase como origen de enriquecimiento de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de datos.

2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga clic enla ficha Origen.

3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el puerto y elnombre de la tabla.



4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Porejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Rellene las fichas Calificación y Destino.

Adición de un origen de enriquecimiento de datos de Hadoop PigUse resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop Pig.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.

2 Haga clic en Enriquecimiento de datos y, después, en Agregar.

3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo Tipo,seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de Jobtracker yPuerto de Jobtracker.

La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se utilizan elhost y el puerto de Namenode de forma predeterminada.

4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente:

a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, /user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla HCatalog (porejemplo, sample_07).

b En Columnas, indique cómo enriquecer los datos de columna.

Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas paranúmero de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el siguientetexto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de datos de subárbol,utilice los nombres de las columnas de la tabla HCatalog.

c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase ladocumentación de Apache Pig.

d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos decolumnas. Se requiere información en los campos Origen y Columna. El resto de campos pueden dejarseen blanco. El uso de funciones de agregación requiere la especificación de grupos.

5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig.



6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna única.

7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.

Adición de enriquecimiento de datos de Active Directory para nombresde usuarioUse Microsoft Active Directory para rellenar los eventos de Windows con los nombres de pantalla de usuariocompletos.

Antes de empezarVerifique que dispone del privilegio Administración del sistema.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.


3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formatoNombre_Completo_De_ID_Usuario.

4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.

5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice con unafrecuencia mayor.

6 Haga clic en Siguiente o en la ficha Origen.

a En el campo Tipo, seleccione LDAP.

b Rellene la dirección IP, el nombre de usuario y la contraseña.

7 Haga clic en Siguiente o en la ficha Consulta.

a En el campo Atributo de búsqueda, introduzca sAMAccountName.

b En el campo Atributo de enriquecimiento, introduzca displayName.

c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de ActiveDirectory clasificados como personas.

d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del número deentradas reales.

8 Haga clic en Siguiente o en la ficha Destino.

a Haga clic en Agregar.

b Seleccione su origen de datos de Microsoft Windows.

c En Campo de búsqueda, seleccione el campo Usuario de origen.

Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.

d Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formatoAlias_Usuario o Nombre_Contacto.



9 Haga clic en Finalizar para guardar los cambios.

10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora pararecuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de activacióndiaria.

El Nombre completo se escribe en el campo Contact_Name.



4 Uso de paneles de McAfee ESM

Contenido Uso del panel McAfee ESM Vistas predefinidas (predeterminadas) Cuadro de mandos Apertura de vistas de panel Enlace de widgets de panel Filtrado de vistas de panel Adición de vistas de panel personalizadas Descripción de los componentes de vista Respuesta a las notificaciones Investigación de casos abiertos Uso de las vistas de McAfee ESM

Uso del panel McAfee ESMLos paneles son herramientas visuales que se pueden usar para representar datos de forma pueda ver lasposibles amenazas con rapidez.

Una vez que sepa cómo crear un panel de McAfee ESM, podrá crear vistas interactivas para investigar lasamenazas potenciales propias de su organización.

El panel de McAfee ESM puede contener varias vistas y fichas interactivas para pasar rápidamente de una vistaa otra. Puede utilizar las vistas predefinidas o crear sus propias vistas exclusivas con widgets y filtros.

4


Rellene el espacio de trabajo de paneles del ESM con vistas predefinidas o con sus propias vistaspersonalizadas.

Navegue entre las vistas con rapidez por medio de las fichas. Utilice las fichas para explorar las amenazaspotenciales mediante diversas vistas mientras conserva el contexto histórico que ha dado origen a lainvestigación en una ficha independiente.

Emplee la cinta de filtros para localizar lo que busca en los resultados de las consultas mediante lafuncionalidad en tiempo real. La función para completar automáticamente devuelve resultados a medidaque se crea la consulta de filtro.

Cree diversas vistas de panel que le permitan dinamizar, explorar e investigar, así como responder a lasamenazas potenciales.

Represente datos específicos y acceda a información detallada sobre ellos con rapidez mediante widgetsvisuales interactivos.

Investigue los casos abiertos sin abandonar el panel, lo cual ofrece un rápido acceso a los detallesbásicos sobre el caso.

Responda a las alarmas y las notificaciones del sistema activadas y no confirmadas.

Vistas predefinidas (predeterminadas)La lista Vistas predeterminadas ofrece acceso a las vistas de panel que se incluyen en McAfee ESM.

El menú Agregar vista del panel contiene los siguientes tipos de vistas predeterminadas:

• Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su posibleefecto sobre su sistema.

• Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.

• Las vistas de Dispositivo muestran el estado de los dispositivos seleccionados.

• Las Vistas de evento desglosan la información generada por eventos asociados con los dispositivosseleccionados.

• Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión).

4 Uso de paneles de McAfee ESMVistas predefinidas (predeterminadas)


Cuadro de mandosVéanse los resultados de auditoría de Policy Auditor en la vista cuadro de mandos de ESM.

El cuadro de mandos requiere McAfee ePO con Policy Auditor. Una vez que se cumple este requisito, puedeseleccionar los datos extraerlos al cuadro de mandos.

Las dos tablas en la vista de cuadro de mandos están vinculadas entre sí. De forma predeterminada, la tabla degrupos de activos está vinculada a la tabla de puntos de referencia. Puede cambiar el vínculo para que la tablade grupos de puntos de referencia esté vinculada a la tabla de grupos de activos.

Contenido Funcionamiento de la vista del cuadro de mandos Selección de los datos que mostrar en el cuadro de mandos Visualización de datos de Policy Auditor en el cuadro de mandos Configurar vista de cuadro de mandos Configuración de grupos de punto de referencia

Funcionamiento de la vista del cuadro de mandosLa vista del cuadro de mandos presenta los datos de Policy Auditor en la interfaz ESM.

Puede evaluar la vulnerabilidad del sistema en la ficha Cuadro de mandos de Asset Manager.

1 ePolicy Orchestrator está configurado para la auditoría de activos del sistema con Policy Auditor.

2 Policy Auditor introduce los resultados de auditoría en ePolicy Orchestrator.

3 ePolicy Orchestrator envía los resultados de auditoría a Event Receiver.

Uso de paneles de McAfee ESMCuadro de mandos 4


4 A continuación, Event Receiver pone disponibles los datos de auditoría en ESM.

5 La vista del cuadro de mandos presenta los datos de auditoría mediante una interfaz gráfica. Se pueden verlos datos como valores de texto o como barras de porcentaje.

La vista del cuadro de mandos muestra el porcentaje de reglas/puntos de referencia que un activo o grupo deactivos han pasado. También puede seleccionar un activo o un grupo de activos y ver qué reglas han pasado.

Dos cintas de estadísticas situadas sobre las tablas de datos muestran (1) las estadísticas de la calificaciónmedia del punto de referencia, (2) la cantidad de activos que representa la calificación y (3) la tendencia en losúltimos 6 meses. La línea de tendencia aparece únicamente si hay al menos dos puntos de datos, querepresentan unas dos semanas de datos.

Selección de los datos que mostrar en el cuadro de mandosPara ver los datos de auditoría de activos en el cuadro de mandos, debe seleccionar los datos que ESM extraede McAfee ePO.

Antes de empezarePolicy Orchestrator debe ejecutarse con Policy Auditor.

Al seleccionar los datos que mostrar en el cuadro de mandos, tenga en cuenta el volumen de los datosimplicados y su efecto en el rendimiento. Las reglas son granulares y usarlas dará como resultado lavisualización de grandes cantidades de datos. Los puntos de referencia son conjuntos de reglas y muestran unpunto de datos para varias reglas.

Procedimiento1 Abra Asset Manager y seleccione la ficha Cuadro de mandos.

Se muestran todos los dispositivos McAfee ePO conectados.

2 Para cada dispositivo, seleccione los datos que desea mostrar: ninguno, puntos de referencia, o puntos dereferencia y reglas.

Visualización de datos de Policy Auditor en el cuadro de mandosConsulte los resultados de auditoría de Policy Auditor en Asset Manager.

Antes de empezarePO debe estar instalado con Policy Auditor en ejecución.

Procedimiento1 En el menú principal, seleccione Cuadro de mandos.

Abre la vista Cuadro de mandos.

2 Para alternar entre las vistas de texto y gráfico, haga clic en la almohadilla o en el icono del gráfico debarras.

3Para alternar el sentido del vínculo, haga clic en el vínculo de enlace dinámico . De formapredeterminada, los datos de punto de referencia están vinculados a los activos.

El icono de vínculo dinámico cambia para mostrar el sentido del vínculo.

4 Uso de paneles de McAfee ESMCuadro de mandos


4 Para ver los datos de una regla, grupo o activo determinado, selecciónelo.

En la tabla de vínculos solo se muestran los datos de la regla, grupo o activo seleccionado.

5 Para acceder a información detallada de un activo o regla específico, haga clic en la flecha situada junto alnombre de grupo.

Configurar vista de cuadro de mandosSeleccione los puntos de referencia y los grupos de punto de referencia que se mostrarán en el cuadro demandos.

Procedimiento1 Abra el cuadro de mandos desde el menú principal.

2 Haga clic en el menú de usuario (tres puntos verticales) en el panel Grupos de puntos de referencia o Grupos deactivos.

3 Haga clic en Configuración.

4 Seleccione los grupos y los puntos de referencia que quiere que se muestren.

Configuración de grupos de punto de referenciaAdministra la cantidad de información que aparece en el cuadro de mandos mediante la agrupación de puntosde referencia relacionados. Expandir y contraer grupos proporciona contexto y ayuda a administrar la vista dedatos del cuadro de mandos.

Procedimiento1 En el menú principal, seleccione Cuadro de mandos.

2 Abra el menú de usuario (tres puntos verticales) en el panel Grupos de puntos de referencia.

3 Cree, edite y elimine grupos según sea necesario.

Apertura de vistas de panelEs posible abrir, importar o exportar más de una vista de panel simultáneamente. También puede copiar vistaspredefinidas (predeterminadas) o crear vistas personalizadas para adaptarse a las necesidades de suorganización.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de acceso conpermiso para administrar vistas.

Procedimiento1 En el panel, haga clic en Agregar vista y, después, en la flecha deslizante situada junto a una de las siguientes

opciones.

• Para abrir una vista existente, haga clic en Abrir vista.

• Para convertir una vista Flash en una vista de panel HTML, haga clic en Importar vistas Flash.

• Para crear una vista HTML, haga clic en Crear nueva vista. Agregue widgets y guarde su vista.

Uso de paneles de McAfee ESMApertura de vistas de panel 4


2 Guarde la vista.

Enlace de widgets de panelAl enlazar los widgets de panel, se vinculan los datos entre esos widgets. A continuación, cuando cambian losdatos en un widget principal, también cambian en el widget enlazado, con lo que se crea una vista interactiva.Por ejemplo, si enlaza un widget a una dirección IP de origen y después selecciona una dirección IP específicaen el widget principal, el widget enlazado filtra sus datos según esa dirección IP. Al cambiar la selección en elwidget principal, se actualizan los datos en el widget secundario.


Procedimiento1 Abra o cree una vista de panel con los widgets que desee enlazar.

Los widgets solo se pueden enlazar a un campo de datos.

2 Para editar la vista de panel, haga clic en Editar.

3 En el widget que desee enlazar, haga clic en . A continuación, seleccione Configuración.

4 En el panel Configuración de widget, active Enlace y seleccione los datos que desee para filtrar (o enlazar con) elwidget.

5 Haga clic en Guardar.

El icono aparecerá en los widgets enlazados. Al pasar el ratón sobre el icono, se mostrarán los datos a losque está enlazado el widget.

6 Haga clic en Guardar de nuevo para guardar los cambios en la vista de panel y salir del modo Editar.

Filtrado de vistas de panelFiltre la vista de panel para centrarse en detalles concretos de la vista.

Antes de empezarVerifique que pertenece a un grupo de acceso con permisos para administrar vistas o datos devista.

4 Uso de paneles de McAfee ESMEnlace de widgets de panel


Procedimiento1 Abra la vista de panel que desee filtrar.

2 Para filtrar la vista, realice una de estas acciones:

• Haga clic en la barra Filtro y agregue el campo y los valores relevantes.

Solo se puede utilizar el operador AND en la barra Filtro.

• Acepte el operador predeterminado "igual a" (=) en el filtro.

• Para cambiar el operador a "no es igual que" (!=), haga clic en el signo de igualdad (=).

• Para quitar un campo del filtro, haga clic en en dicho campo.

• Para crear filtros complejos con los operadores AND y OR, haga clic en Búsqueda avanzada.

• Para especificar un espacio de tiempo para la vista, haga clic en el icono de reloj de la cinta de opcionesde filtro y seleccione el espacio de tiempo. Si desea realizar la consulta de particiones archivadas, use lainterfaz Flash heredada para establecer un Tiempo personalizado.

• Para aplicar conjuntos de filtros predefinidos a la vista, haga clic en la flecha de la lista desplegableConjuntos de filtros en la esquina superior derecha del panel.

• Seleccione un conjunto de filtros predefinido de la lista.

• Para crear un conjunto de filtros, haga clic en Administrar conjuntos de filtros.

Para obtener detalles sobre cómo crear un conjunto de filtros, haga clic en en la ventanaAdministración de conjuntos de filtros.

3 Para filtrar la vista, haga clic en .

La vista se actualizará para mostrar solo los registros que coincidan con los valores introducidos.

Adición de vistas de panel personalizadasEs posible crear vistas de panel exclusivas mediante la adición y la organización de widgets que permitenmostrar información específica e interactuar con ella.


Uso de paneles de McAfee ESMAdición de vistas de panel personalizadas 4


Procedimiento1 En el panel, haga clic en Agregar ficha y seleccione Crear nueva vista.

2 Haga clic en Agregar widget y, a continuación, configure el widget.

a Asigne un título al widget.

b Entre las opciones disponibles, seleccione un origen de consulta para que se rellenen previamente loscampos de consulta, los filtros y los valores de clasificación. Puede utilizar los valores predeterminados ocambiarlos.

El origen de consulta seleccionado determinará las opciones de visualización que se pueden elegir para elwidget.

c Seleccione la opción de visualización para el widget. Las opciones incluyen tablas, gráficos de barras,gráficos circulares, gráficos de lista, indicadores y gráficos de anillos interactivos.

d Indique si desea enlazar el widget con los datos de otro widget.

3 Haga clic en Crear. Una vez que el widget aparece en el panel, es posible cambiar su tamaño y su posición.

4 Para cambiar el widget una vez que aparece en la vista de panel, haga clic en . Las opciones del submenú

varían en función del widget y de sus datos correspondientes. Entre las opciones podrían estar:

Configuración, Visualización, Detalles, Acciones, Información detallada, Filtrar por y Eliminar.


4 Uso de paneles de McAfee ESMAdición de vistas de panel personalizadas


Descripción de los componentes de vista Existen doce componentes distintos que se pueden agregar a una vista personalizada. Se pueden utilizar paraconfigurar la vista a fin de ver los datos con el formato más adecuado.

Componente Descripción

Dial de control Muestra los datos de un vistazo. Es dinámico y se puede vincular con otroscomponentes de la consola. Se actualiza a medida que el usuario interactúa con laconsola de ESM.

Cada dial incluye un indicador de referencia ( ). El degradado que rodea el bordeexterior del dial se torna de color rojo por encima del indicador de referencia. Si loprefiere, todo el dial puede cambiar de color para indicar un comportamientoanómalo: amarillo cuando se encuentre dentro del umbral de una referencia o rojocuando se supere ese umbral.

La opción Tasa permite ajustar la tasa de los datos visualizados. Por ejemplo, siobserva Día en curso y Eventos totales y cambia la tasa a una hora, verá el número deeventos por hora para el día en cuestión. Esta opción estará desactivada si la consultavisualizada ya muestra un promedio, como por ejemplo Promedio de gravedad oPromedio de bytes.

Gráfico de origen ydestino

Muestra la actividad general de direcciones IP de evento o flujo. La opción de eventopermite especificar direcciones IP y ver todos los ataques llevados a cabo en lasdirecciones especificadas, así como todos los ataques que esas direcciones IP hanlanzado sobre otras. La opción de flujo permite especificar direcciones IP y ver lasdirecciones IP que han conectado con ellas, así como las conexiones que realizaronesas direcciones IP.

Este gráfico incluye un campo abierto en la parte inferior del componente quepermite ver los eventos o flujos de origen y destino para una dirección IP concreta.Escriba la dirección en el campo o seleccione una previamente utilizada y haga clic en

el icono Actualizar .

Gráfico circular Muestra la información consultada mediante un gráfico circular. Resulta útil cuandohay pocas categorías que visualizar (por ejemplo, una consulta de acción oprotocolo).

Tabla Muestra la información mediante diversas columnas. Este componente es útil paramostrar datos de eventos y flujos con el mayor nivel de detalle.

Gráfico de barras Muestra la información consultada en un gráfico de barras, lo cual permite compararel tamaño de cada resultado en un intervalo de tiempo concreto.

Lista Muestra los datos de consulta seleccionados en forma de lista. Este componenteresulta útil cuando se desea ver una lista más detallada de elementos en un espacioreducido.

Distribución Muestra una distribución de eventos y flujos a lo largo de un periodo de tiempo. Esposible establecer intervalos para periodos de tiempo específicos a fin de dar forma alos datos.

Área de notas Un componente vacío que se emplea para notas de texto. Permite escribir notasrelacionadas con la vista actual.

Recuento Muestra el total de eventos, activos, vulnerabilidades o flujos consultados para unavista concreta.

Título Permite crear un título o encabezado para la vista. Se puede colocar en cualquierparte de la vista.

Uso de paneles de McAfee ESMDescripción de los componentes de vista 4


Componente Descripción

Mapa degeolocalización

Muestra la ubicación de origen y destino de las alertas y los flujos en un mapa degeolocalización. Las opciones de este componente permiten cambiar entre marcaruna ciudad, una región, un país y áreas del mundo, acercar o alejar y seleccionarubicaciones mediante las teclas Ctrl y Mayús.

Filtrar lista Muestra una lista de usuarios y grupos de Active Directory. Cuando se agrega elcomponente Filtrar lista, es posible enlazar otros componentes con él; para ello, hagaclic en la flecha hacia abajo de los campos de filtrado Usuario de origen o Usuario dedestino en el Asistente de consultas y seleccione Enlazar con Lista de Active Directory.Asimismo, es posible ver los datos de eventos y flujos asociados con Active Directorymediante el icono de menú.

Respuesta a las notificacionesEs posible responder a las alarmas activadas desde el panel. También puede ver las notificaciones del sistema.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conpermiso para administrar alarmas.

Procedimiento1 Para ver las alarmas activadas y las notificaciones del sistema en el panel, haga clic en .

2 Responda a las alarmas activadas de una de estas formas:

• Para confirmar las alarmas activadas, seleccione la alarma apropiada y haga clic en .

El sistema eliminará las alarmas confirmadas del panel Notificaciones. Podrá seguir viendo las alarmas enla vista Alarmas activadas.

• Para eliminar las alarmas, seleccione la alarma apropiada y haga clic en .

• Filtre las alarmas mediante la barra de filtrado. Después, para actualizar la vista, haga clic en .

• Para asignar las alarmas, haga clic en . A continuación, seleccione la alarma apropiada y haga clic enUsuario asignado para elegir una persona concreta a fin de que responda a la alarma.

• Si desea crear un caso para la alarma, haga clic en . Después, seleccione la alarma adecuada y hagaclic en Crear caso.

• Para editar la configuración de la alarma activada, haga clic en la alarma apropiada. Haga clic en paracambiar la configuración.

• Para ver los detalles acerca de las alarmas activadas, haga clic en . A continuación, realice una de lasacciones siguientes:

• Para ver el evento que activó la alarma, haga clic en la ficha Evento activador. Para ver la descripción,haga doble clic en el evento.

• Para ver la condición que activó la alarma, haga clic en la ficha Condición.

• Para ver las acciones que se produjeron como resultado de la alarma activada, haga clic en la fichaAcción.

4 Uso de paneles de McAfee ESMRespuesta a las notificaciones


Investigación de casos abiertosDesde el panel es posible rastrear el trabajo relacionado con los casos abiertos.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de acceso conpermiso para administrar casos.

Procedimiento1 Para ver los casos abiertos desde el panel, haga clic en y seleccione Panel de investigación.

Aparecerá un resumen de los casos abiertos en la parte izquierda del panel.

2 Utilice la flecha de la lista desplegable para expandir el caso que desee investigar. Siga uno de estosprocedimientos:

• Para cambiar los detalles del caso (gravedad, usuario asignado, valores o notas) desde el panel, haga clicen Editar. Realice los cambios y haga clic en Guardar.

• Para ver los detalles del caso, haga clic en Ver en Administración de casos.

3 Cierre el Panel de investigación.

Uso de las vistas de McAfee ESM

Contenido Administración de vistas de McAfee ESM Visualización de detalles de sesión Filtrado de vistas Vistas de flujo Vista Búsqueda de ELM mejorada Componentes de vista Uso del Asistente de consultas

Administración de vistas de McAfee ESMLa administración de vistas de McAfee ESM proporciona una forma rápida de copiar, importar o exportar másde una vista al mismo tiempo. Es posible seleccionar las vistas que incluir en la lista de vistas y asignar permisosa usuarios o grupos específicos para el acceso a vistas concretas.

Procedimiento1 En la consola de McAfee ESM, haga clic en el icono Administrar vistas .

2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar.

Uso de paneles de McAfee ESMInvestigación de casos abiertos 4


Opción Definición

Lista de vistas Seleccione las vistas que mostrar en la lista de vistas.Si se marca la carpeta, se seleccionan todas sus subcarpetas y vistas. Si la casilla deverificación de la carpeta está negra, se han seleccionado algunas de sus subcarpetasy vistas.

Agregar carpeta Para organizar vistas, cree carpetas personalizadas. Puede arrastrar y soltar vistas encarpetas personalizadas.

Cambiar nombre Permite renombrar la carpeta o la vista seleccionadas.

No es posible cambiar el nombre de las vistas de solo lectura.

Eliminar Elimina las vistas o carpetas personalizadas seleccionadas.

No es posible eliminar las vistas de solo lectura.

Copiar Copia una vista y la agrega a la lista de vistas. Puede arrastrar y soltar vistas copiadasen carpetas personalizadas.

Compartir Seleccione los usuarios o grupos que puedan tener acceso a las vistas seleccionadasy modificarlas.

Importar Importe archivos de la vista en McAfee ESM.

Exportar Exporte vistas personalizadas para compartirlas con otro McAfee ESM o conserve elarchivo como copia de seguridad.

No puede exportar vistas de solo lectura.

Convertir esta vista en mipredeterminada

Especifique la vista predeterminada para el panel de la vista.

Visualización de detalles de sesiónVea los detalles de un evento con un ID de sesión y guárdelos en un archivo CSV mediante el Visor de sesión.

Para tener un ID de sesión, un evento debe residir en una sesión. Una sesión es el resultado de una conexiónentre un origen y un destino. Los eventos internos del dispositivo o de McAfee ESM no cuentan con ID desesión.

Procedimiento1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.

2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a continuación,seleccione Información detallada de evento | Eventos.

3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de sesión situado junto al campo ID de sesión.

Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión.

Filtrado de vistasEn el panel de filtros, agregue y elimine campos de filtrado, guarde conjuntos de filtros, cambie el conjuntopredeterminado, administre todos los filtros e inicie el administrador de normalización de cadenas. Cualquierfiltro aplicado a una vista se aplica a la siguiente vista que se abra.

La primera vez que se inicia sesión en McAfee ESM, el panel de filtros personalizados incluye los campos defiltrado Usuario de origen, Usuario de destino, IP de origen e IP de destino.

4 Uso de paneles de McAfee ESMUso de las vistas de McAfee ESM


Aparece un icono de un embudo naranja en la esquina superior derecha del panel de vista para indicar que hayfiltros aplicados. Haga clic en el icono de color naranja para borrar los filtros y volver a ejecutar la consulta.

Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales, filtros locales,cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman parte de una lista devigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas en el valor, será necesarioentrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como "Salas,""Barbas""Juan".

Puede utilizar filtros contains y regex.

Filtrado de vistasLos filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtros yactualiza la vista, los datos de la vista reflejarán los filtros agregados.

Procedimiento1 En la consola de McAfee ESM, seleccione la vista que desea filtrar.

2 En el panel Filtro, filtre la vista de una de las formas siguientes:

• Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vista deforma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escriba esta dirección IP enel campo IP de origen.

• Especifique un filtro contains o regex.

• Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listas devigilancia por las que filtrar.

• En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en el panel Filtro. Siel campo está en blanco, se rellenará automáticamente con los datos seleccionados.

En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80 representaun intervalo de gravedad de entre 60 y 80.


Para... Haga esto...

Ver datos que coinciden con másde un filtro

Introduzca los valores en cada campo.

Ver datos que coinciden conalgunos valores de filtrado yexcluyen otros

1 Introduzca los valores de filtrado que desee incluir y excluir.

2 Haga clic en el icono NOT situado junto a los campos que deseeexcluir.

Ver datos que coinciden con filtrosde expresión regular o de tipo OR

1 Introduzca los valores de filtrado en los campos de expresiónregular y OR.

2 Haga clic en el icono OR junto a los campos que tengan los valoresOR.

La vista incluirá los datos que coincidan con los valores de los camposno seleccionados como OR y con cualquiera de los valores de loscampos marcados como OR.

Para que funcione este filtro, hay que seleccionar un mínimo de doscampos como OR.

Uso de paneles de McAfee ESMUso de las vistas de McAfee ESM 4



Hacer que en los valores defiltrado no se distinga entremayúscula y minúscula

Haga clic en el icono Sin distinción mayúsculas/minúsculas junto alcampo de filtrado adecuado.

Reemplazar las cadenasnormalizadas por sus alias

Haga clic en el icono de normalización de cadenas junto al campode filtrado adecuado.

4 Haga clic en el icono Ejecutar consulta .

McAfee ESM actualiza la vista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panelde vista que indica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtrosse borran y la vista muestra todos los datos.

Selección de ID normalizadosCuando cree vistas o agregue filtros a una vista, puede filtrar los datos mediante ID normalizados.

Procedimiento1 En la consola de McAfee ESM, realice una de estas acciones:

• Para crear una vista, haga clic en Filtros en la segunda página del Asistente de consultas.

• Para agregar filtros a una vista, seleccione la vista a la que desee agregarlos. El panel Filtros se encuentraen la parte derecha de la pantalla.

2 Localice el campo ID normalizado y haga clic en el icono Filtros .

3 Seleccione los ID y haga clic en Aceptar.

Los números de ID seleccionados se agregarán al campo ID normalizado.

Visualización de la hora del eventoVea la hora exacta a la que se insertaron los eventos en la base de datos del receptor.

Antes de empezarVerifique que dispone de los permisos siguientes:

• Ver datos para obtener eventos y ver la hora del evento.

• Administración de vistas para crear una vista.

• Administración de eventos para cambiar los eventos.

Procedimiento1 En la consola de McAfee ESM, agregue una vista de tabla de eventos que incluya el campo Hora del dispositivo.

a En la barra de herramientas del panel de visualización, haga clic en el icono Crear vista nueva .

b Haga clic y arrastre el componente Tabla y, a continuación, haga clic en Siguiente.

c Haga clic en Campos.

d Haga clic en Hora de dispositivo en la lista de la izquierda y muévalo a la lista de la derecha.

e En la página Campos, haga clic en Aceptar y, después, en Finalizar.



f En la Barra de herramientas de edición de vistas, haga clic en Guardar como, escriba el nombre de la vista y hagaclic en Aceptar.

g Cierre la Barra de herramientas de edición de vistas.

La vista se agregará a la lista desplegable de vistas.

2 Visualice la Hora del dispositivo de una de las formas siguientes.

Si envía un evento a Remedy, se perderá la hora del dispositivo correspondiente al evento.

• Visualice la columna Hora de dispositivo en la tabla de eventos de la vista que ha agregado.

• Haga clic en el icono Ver detalles de datos en la parte inferior de la tabla.

• Haga clic en la ficha Detalles avanzados y compruebe el campo Hora del dispositivo.

Filtrado por ID de conformidadUnified Compliance Framework (UCF) es una organización que asigna las características específicas de cadanormativa a ID de control armonizados. A medida que cambian las normativas, estos ID se actualizan y seinsertan en McAfee ESM.

• Se puede filtrar por el ID de conformidad para seleccionar la conformidad necesaria o subcomponentesespecíficos, o por el ID de evento de Windows.


Adición de filtrosUCF

1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID deconformidad.

2 Seleccione los valores de conformidad que desee usar como filtros y haga clic

enAceptar | Ejecutar consulta .

Agregar filtros deID de evento deWindows

1 Haga clic en el icono de filtro situado junto al ID de firma.

2 En Variables de filtrado, seleccione la ficha Windows.

3 Escriba los ID de evento de Windows (separados por comas) en el campo de texto oseleccione los valores que desee usar como filtro en la lista.

Vistas de flujoUn flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el análisis deflujos, se registran datos acerca de cada flujo (o conexión).

Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicioy de fin (que indica el tiempo entre el inicio y la finalización de la conexión).

Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que eventos.Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no están asociadoscon acciones de evento tales como alerta, supresión y rechazo.

Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen ydestino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes transmitidos por elorigen del flujo. Los bytes de destino y los paquetes de destino indican el número de bytes y paquetestransmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo entrante es un flujo que se originafuera de la red HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET.

A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo así, podráver los flujos en la vista Análisis de flujos.



Vista Búsqueda de ELM mejoradaLa vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el sistema.Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en tiempo real delprogreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros uno o varios ELM.

Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM paraproporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual permitelimitar la consulta para minimizar el número de archivos en los que buscar.

Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados:

• Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con unadistribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de espaciosde tiempo.

• Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos segúnlos orígenes de datos de los dispositivos seleccionados en el árbol de navegación del sistema.

• Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo de dispositivosegún los dispositivos seleccionados en el árbol de navegación del sistema.

Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que se encuentranresultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen de datos y Resultados detipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados. Haga clic en Aplicar filtrospara limitar la búsqueda una vez que los resultados hayan empezado a mostrarse. Esto permite acceder ainformación detallada sobre los resultados de la búsqueda, además de limitar la cantidad de datos en los quehay que buscar. Una vez finalizada la búsqueda, estos gráficos muestran los resultados reales.

Realización de una búsqueda de ELM mejoradaCabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM.

Procedimiento1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable.

2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscar en lalista desplegable situada junto al campo de texto.

3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto.

4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable.

5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar.

6 Si fuera necesario, seleccione una o varias de estas opciones:

• Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas y minúsculas.

• Expresión regular: el término del campo de búsqueda se considera como expresión regular.

• NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido en elcampo de búsqueda.



7 Haga clic en Buscar.

Los resultados aparecerán en la sección Resultados de la búsqueda de la vista.

8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice.

Opción Definición

Guardar búsqueda Guardar los resultados de esta búsqueda aunque se abandone lavista. Las búsquedas guardadas se pueden ver en la páginaPropiedades de ELM | Datos.

Descargar archivo de resultados debúsqueda

Descargar los resultados en la ubicación designada.

Copiar elementos seleccionados al

portapapeles

Copiar los elementos seleccionados al portapapeles para poderpegarlos en un documento.

Ver detalles de datos Mostrar los detalles de cualquier registro seleccionado en la tablaResultados de la búsqueda.

Componentes de vistaEs posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidades de laforma que le resulte más útil.

Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y seconfiguran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente de consultas,el cual permite definir los detalles sobre los datos que se mostrarán en el componente.

Resultados de la búsquedaEn la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos del eventoen el espacio de tiempo seleccionado.

Procedimiento1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis de eventos.

2Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar.

3 Seleccione el número de minutos antes y después de la hora del evento donde desea que el sistema busqueuna coincidencia.

4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda y escriba elvalor.

Los resultados aparecerán en la vista Resultado de la búsqueda.

Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menú Análisis deeventos.

Visualización de los detalles de la dirección IP de eventosSi cuenta con una licencia de McAfee

®

Global Threat Intelligence™

(McAfee GTI) de McAfee, dispone de acceso ala nueva ficha Detalles de amenaza cuando ejecute una búsqueda de Detalles de dirección IP. Cuando se selecciona



esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo o datos degeolocalización.

Antes de empezarAdquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI).

Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas de McAfeeo con el Soporte de McAfee.

Procedimiento1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento |

Análisis de eventos.

2Haga clic en una dirección IP, después en el icono de menú de cualquier componente que tenga unadirección IP y, a continuación, en Detalles de dirección IP.

La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada. Puedecopiar los datos al portapapeles del sistema.

La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. No obstante, lapágina Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece esta información.

Envío de un mensaje de correo electrónico a RemedySi configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar al sistema laexistencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe un número de caso deRemedy que se agrega al registro de evento.

Procedimiento1 En una vista de eventos, resalte el evento que requiera solución.

2 Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy.

3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa.

4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistema acercadel evento.

5 Haga clic en Enviar.

Búsquedas WHOIS o ASNEn un componente de tabla es posible realizar una búsqueda de WHOIS para localizar información sobre unadirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consulta de ASN de ungráfico de barras y cualquier registro de flujo en una tabla con datos de ASN, recupera un registro WHOISmediante el identificador ASN.

Procedimiento1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente de tabla o

una barra de consulta de ASN de un componente de gráfico.

2Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN.



3 Para buscar otra dirección IP o identificador:

• En la página de la ficha WHOIS, seleccione una dirección IP en la lista y escriba el nombre de host.

• En la página Búsqueda de ASN, escriba los números o realice una selección en la lista.

Adición de un ID de caso de Remedy a un registro de eventoCuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID de caso. Esposible agregar este número al registro de eventos como referencia para el futuro.

Procedimiento1

Resalte el evento en la vista Análisis de eventos y haga clic en el menú .

2 Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar.

Exportación de un componenteEs posible exportar los datos incluidos en un componente de vista de ESM. Los componentes de gráfico sepueden exportar a texto o formato PDF, mientras que los componentes de tabla se pueden exportar a una listade valores separados por comas (CSV) o HTML.

Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datosexportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de una página, laconsulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haber diferencias respectode lo que se ve en el componente.

Procedimiento1

En una vista, haga clic en el menú correspondiente al componente que desee exportar y haga clic enExportar.

2 Seleccione uno de los formatos siguientes.

• Texto: exportar los datos en formato de texto.

• PDF: exportar los datos a modo de imagen.

• Imagen a PDF: exportar solo la imagen.

• CSV: exportar una lista de valores delimitados por comas.

• HTML: exportar los datos en forma de tabla.

3 En la página Exportar, especifique los datos que desee exportar.

• Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo de páginas apartir de la página 1.

• Si selecciona Imagen a PDF, se genera la imagen.

• Si selecciona CSV o HTML, puede exportar los elementos seleccionados, la página de datos actual o unnúmero máximo de páginas a partir de la página 1.




Uso del Asistente de consultasTodos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cadacomponente.

A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cada componentedel Asistente de consultas mediante la selección del tipo de consulta, la consulta, los campos que incluir y losfiltros que usar. Todas las consultas del sistema, tanto predefinidas como personalizadas, aparecerán en elasistente para que pueda seleccionar los datos que desee que genere el componente. También cabe laposibilidad de editar o eliminar consultas, así como de copiar una consulta existente a fin de usarla comoplantilla para configurar una consulta nueva.

Administración de consultasEl ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora de agregaro editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones de configuración, asícomo de agregar o quitar consultas personalizadas.

Procedimiento1 Acceda al Asistente de consultas de una de las formas siguientes.


Agregar una vista 1 En la barra de herramientas de vistas, haga clic en el icono Crear nueva vista .

2 Arrastre y coloque un componente de la Barra de herramientas de edición de vistas en elpanel de vista.

Aparecerá el Asistente de consultas.

Editar una vistaexistente

1 Seleccione la vista que desee editar.

2 Haga clic en el icono Editar vista actual , situado en la barra de herramientas devistas.

3 Haga clic en el componente que desee editar.

4 Haga clic en Editar consulta en el panel Propiedades.

Se abrirá el Asistente de consultas por la segunda página.

Establecer eldiseño de uninforme nuevo

1 En Propiedades del sistema, haga clic en Informes.


3 En la sección 5 de la página Agregar informe, haga clic en Agregar.

4 Arrastre y suelte un componente en la sección de diseño del informe.

Aparecerá el Asistente de consultas.

Editar el diseñode un informeexistente

1 En Propiedades del sistema, haga clic en Informes.

2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar.

3 En la sección 5 de la página Editar informe, seleccione un diseño existente y haga clic enEditar.

4 Haga clic en el componente en la sección de diseño del informe y haga clic en Editarconsulta en la sección Propiedades.

Se abrirá el Asistente de consultas por la segunda página.

2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones:




Agregar una consulta 1 Seleccione la consulta que desee usar como plantilla y haga clic en Copiar.

2 Escriba el nombre de la nueva consulta y haga clic en Aceptar.

3 En la lista de consultas, haga clic en la recién agregada y, después, en Siguiente.

4 En la segunda página del asistente, cambie la configuración mediante losbotones.

Editar una consultapersonalizada

1 Seleccione la consulta personalizada que desee editar y haga clic en Editar.

2 En la segunda página del asistente, cambie la configuración mediante losbotones.

Quitar una consultapersonalizada

Seleccione la consulta personalizada que desee eliminar y, a continuación, hagaclic en Quitar.


Comparación de valoresLos gráficos de distribución tienen una opción que permite superponer una variable adicional sobre el gráficoactual.

De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, por ejemplo, entreel total de eventos y la gravedad media. Esta función proporciona valiosas comparaciones de datos a lo largodel tiempo de un vistazo. También resulta útil para ahorrar espacio en la pantalla a la hora de crear vistasextensas, gracias a la combinación de los resultados en un único gráfico de distribución.

La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona una consultade evento, solamente es posible realizar la comparación con los campos de la tabla de eventos, pero no con latabla de flujos o de activos y vulnerabilidades.

Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de la formahabitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobre los datos almismo tiempo. El componente de distribución muestra los datos para ambos conjuntos de datos en el mismográfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico (esquina inferior izquierda delcomponente), se siguen mostrando ambos conjuntos de datos.

Comparación de valores de gráficosEs posible comparar los datos de un gráfico de distribución con la variable que se seleccione.

Procedimiento1 Seleccione el icono Crear vista nueva o el icono Editar vista actual .

2Haga clic en el icono Distribución y, después, arrástrelo y suéltelo en la vista para abrir el Asistente deconsultas.

3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente.

4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada.

5 Haga clic en Aceptar y, después, en Finalizar.



6 Mueva el componente a la ubicación correcta en la vista y, después:

• Haga clic en Guardar si va a agregar el componente a una vista existente.

• Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vista nueva.

Configuración de la distribución apilada para vistas e informesEs posible configurar el componente de distribución en una vista o informe para poder ver la distribución de loseventos relacionados con un campo específico.

Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe. Cuando seaccede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo y definir el tipo y losdetalles del gráfico.

No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta.

Procedimiento1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada) o en un

informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta.

El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio (porejemplo, Promedio de gravedad por alerta o Duración media por flujo).

2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones.

3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas.

La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el tipo de

gráfico, mediante el icono Opciones de gráfico .

Cambio de la vista predeterminadaLa vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando se iniciasesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada por cualquiera delas vistas predefinidas o personalizadas del ESM.

Procedimiento1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas.

2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y haga clic enAceptar.

Normalización de cadenasRecurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar con valores dealias, así como para importar o exportar un archivo .csv de valores de normalización de cadenas.

Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización de cadenas situadojunto al campo apropiado del panel Filtro. En el caso de la cadena de nombre de usuario Juan Doblas, se defineun archivo de normalización de cadena donde la cadena principal es Juan Doblas y sus alias son, por ejemplo,DoblasJuan, JDoblas, [email protected] y JuanD. A continuación, se puede introducir Juan Doblasen el campo de filtro User_Nickname, seleccionar el icono de filtro de normalización situado junto al campo yactualizar la consulta. En la vista resultante se muestran todos los eventos asociados con Juan Doblas y susalias, lo cual permite comprobar la existencia de incoherencias de inicio de sesión en las direcciones IPcoincidan pero los nombres no. Esta función también puede ayudarle a cumplir las normativas que requiereninformar de la actividad de usuarios con privilegios.



Administración de archivos de normalización de cadenasAntes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM.

Procedimiento1 En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas .

2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.

Creación de archivos de normalización de cadenas que importarSi crea un archivo .csv de alias, es posible importarlo en la página Normalización de cadenas para poder utilizarlocomo filtro.

Procedimiento1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formato siguiente:

comando, cadena principal, alias

Los comandos posibles son agregar, modificar y eliminar.

2 Guárdelo como archivo .CSV y, después, importe este archivo.



5 Supervisión de amenazas con McAfee ESM

Contenido Administración de Cyber Threat Funcionamiento de las alarmas en McAfee ESM Funcionamiento de los casos Funcionamiento de los paquetes de contenido

Administración de Cyber ThreatMcAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con rapidez ala actividad de IOC relacionada en su entorno.

La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de vigilancia,alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por ejemplo, puedeconfigurar una fuente que agregue automáticamente direcciones IP sospechosas a listas de vigilancia parasupervisar el tráfico futuro. Dicha fuente puede generar y enviar informes que indican la actividad pasada. UseVistas de flujo de trabajo de evento | vistas de Indicadores de Cyber Threats para acceder rápidamente a informacióndetallada sobre actividades y eventos específicos de su entorno.

Contenido Configuración de la administración de Cyber Threat Configuración de una fuente de Cyber Threat para el dominio Visualización de resultados de fuentes de Cyber Threat Tipos de IOC admitidos Errores en la carga manual de un archivo IOC STIX XML

Configuración de la administración de Cyber ThreatConfigure las fuentes para recuperar archivos XML con formato STIX correspondientes a indicadores decompromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar listas devigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC relacionada en suentorno.


• Administración de Cyber Threat: permite configurar una fuente de Cyber Threat.

• Usuario de Cyber Threat: permite ver los datos generados por la fuente.

5


Procedimiento1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.

2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar.

3 En la ficha Principal, introduzca el nombre de la fuente.

4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en Conectarpara probar la conexión.

Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat InformationExchange (TAXII).

5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de extracción).Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada hora, cada semana ycada mes. Especifique la hora de activación diaria.

6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una lista devigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o campo admitidos.

Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.

7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datoscoincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.

a Elija si desea analizar los eventos, los flujos o ambos.

b Indique la antigüedad (en días) para analizar los eventos y los flujos.

c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de datos.

d En el caso de las alarmas, seleccione un usuario asignado y una gravedad.

8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente.


Se le informará cuando el proceso finalice correctamente.

Configuración de una fuente de Cyber Threat para el dominioA fin de activar una fuente de dominio, es necesario disponer de dos listas de vigilancia para contener los datosde dirección IP y dominio.


• Administración de Cyber Threat: permite configurar una fuente de Cyber Threat.

• Usuario de Cyber Threat: permite ver los datos generados por la fuente.

Procedimiento1 En el árbol de navegación del sistema ESM, seleccione Propiedades del sistema | Fuentes de Cyber Threat | Agregar

y cree una fuente.

2 En la ficha Lista de vigilancia, haga clic en Crear nueva lista de vigilancia y agregue dos listas de vigilancia:

• Nombre: IPCyberThreat, Tipo: Dirección IP

• Nombre: DominioCyberThreat, Tipo: Web_Domain

5 Supervisión de amenazas con McAfee ESMAdministración de Cyber Threat


3 En el campo Tipo de indicador, seleccione IPv4 y, después, seleccione IPCyberThreat en el campo Lista devigilancia.

4 En el siguiente campo Tipo de indicador, seleccione Nombre de dominio completo y, después, seleccioneDominioCyberThreat en el campo Lista de vigilancia.

5 Complete la configuración de la fuente de Cyber Threat y haga clic en Finalizar.

Visualización de resultados de fuentes de Cyber ThreatCabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos identificados por lasfuentes de Cyber Threat de su organización. Es posible acceder con rapidez a información detallada sobre lasamenazas, las descripciones de los archivos y los eventos correspondientes a cada origen de indicadores.

Antes de empezarVerifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de lasfuentes de Cyber Threat de su organización.

Procedimiento1 Desde el panel, haga clic en y seleccione Indicadores de Cyber Threat.

2 En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento | Indicadores deCyber Threat.

3 En la lista de espacios de tiempo, seleccione el período de tiempo para la vista.

4 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.

5 Lleve a cabo cualquier acción de vista estándar, como por ejemplo:

• Crear una lista de vigilancia o anexar datos a una existente.

• Crear una alarma.

• Ejecutar un comando remoto.

• Crear un caso.

• Buscar o repetir la última búsqueda.

• Exportar el indicador a un archivo CSV o HTML.

6 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos deorigen y Flujos de origen.

Tipos de IOC admitidosCuando se agrega una fuente de Cyber Threat de carga manual, McAfee ESM envía el archivo Structured ThreatInformation Expression (STIX) al motor de indicadores de compromiso (IOC) para su procesamiento. Si elarchivo no contiene un IOC normalizado para McAfee ESM, recibirá un mensaje de error.

Tabla 5-1 Tipos de indicadores normalizados para McAfee ESM

Tipo de indicador Tipo de lista de vigilancia

Dirección de correo electrónico Para, De, CCO, CC, ID_Correo, ID_Destinatario

Nombre de archivo, Ruta de archivo Ruta_Archivo, Nombre de archivo, Nombre de archivo_Destino,Directorio_Destino, Directorio

(Flujos) IPv4, IPv6 Dirección IP, IP de origen, IP de destino

(Flujos) Dirección MAC Dirección MAC, MAC de origen, MAC de destino

Supervisión de amenazas con McAfee ESMAdministración de Cyber Threat 5


Tabla 5-1 Tipos de indicadores normalizados para McAfee ESM (continuación)

Tipo de indicador Tipo de lista de vigilancia

Nombre de dominio completo, Nombrede host, Nombre de dominio

Host, Nombre de host_Destino, Nombre de host_Externo, Dominio,Dominio_Web

IPv4, IPv6 Dirección IP, IP de origen, IP de destino, IP_Atacante,IP_Grid_Master, IP_Dispositivo, IP_Víctima

Dirección MAC Dirección MAC, MAC de origen, MAC de destino

Hash MD5 Hash_Archivo, Hash_Archivo_Principal

Hash SHA1 SHA1

Asunto Asunto

URL URL

Nombre de usuario Usuario de origen, Usuario de destino, Alias_Usuario

Clave de Registro de Windows Clave_Registro, Clave.Registro (subtipo del Registro)

Valor de Registro de Windows Valor_Registro, Valor.Registro (subtipo del Registro)

Errores en la carga manual de un archivo IOC STIX XMLCuando se agrega una fuente de Cyber Threat de carga manual, McAfee ESM envía el archivo Structured ThreatInformation Expression (STIX) al motor de indicadores de compromiso (IOC) para su procesamiento.

Si se produce un problema con la carga, recibirá uno de estos errores.

Tabla 5-2 Errores de carga manual de Cyber Threat

Error Descripción Solución de problemas

ER328: FormatoSTIX no válido.

El formato de archivono es correcto.

• Asegúrese de que el archivo cargado sea un archivo STIX. Elmotor es compatible con la versión 1.1 de STIX.

• Lea la documentación de STIX para verificar que el esquemasea válido.

• Open Standards for Information Society (OASIS):organización que se encarga de los estándares STIX(https://www.oasis-open.org/).

• STIX Project: contiene los diversos modelos de datos,esquemas y documentos xsd de STIX (https://stixproject.github.io/).

ER329: No se hanencontradoindicadores IOCadmitidos.

El archivo STIX cargadono contieneindicadoresnormalizados paraESM.

Si se requiere procesar un indicador específico, póngase encontacto con el Soporte de McAfee para que puedanormalizarse y usarse en ESM.

Funcionamiento de las alarmas en McAfee ESM

Contenido Preparación para la creación de alarmas Creación de alarmas Supervisión y respuesta para alarmas Ajuste de alarmas

5 Supervisión de amenazas con McAfee ESMFuncionamiento de las alarmas en McAfee ESM


https://www.oasis-open.org/

https://stixproject.github.io/

https://stixproject.github.io/

Preparación para la creación de alarmasAntes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESM contenga lossiguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios de mensajes, conexión conel servidor de correo, archivos de audio de alarma, cola de informes de alarma y ficha de alarmas visible en elpanel.

Antes de empezarPara ver las alarmas activadas en el panel, véase Configuración de usuario en la página 178.

Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para las alarmas.

Procedimientos• Configuración de mensajes de alarma en la página 231

Configure ESM para que envíe mensajes relacionados con alarmas activadas mediante correoelectrónico, mensajes de texto (SMS), Simple Network Management Protocol (SNMP) o syslog.

• Administración de archivos de audio para las alarmas en la página 235Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras delas alarmas.

Configuración de mensajes de alarmaConfigure ESM para que envíe mensajes relacionados con alarmas activadas mediante correo electrónico,mensajes de texto (SMS), Simple Network Management Protocol (SNMP) o syslog.

Antes de empezarVerifique que dispone de privilegios de administrador o pertenece a un grupo de acceso conprivilegios de administración de alarmas.

Procedimientos• Creación de plantillas de mensajes de alarma en la página 231

Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short MessageServices (mensajes de texto), Simple Network Management Protocol (SNMP) o syslog.Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios demensajes específicos.

• Configuración de alarmas de correlación para la inclusión de eventos de origen en la página 233Para incluir la información sobre los eventos de origen en los resultados de alarma, configure unaalarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento decorrelación como coincidencia.

• Administración de los destinatarios de alarmas en la página 234Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichosmensajes de alarma mediante correo electrónico, mensajes de texto (SMS), Simple NetworkManagement Protocol (SNMP) o syslog.

Creación de plantillas de mensajes de alarmaEs posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services (mensajesde texto), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar lasplantillas con acciones de alarma y destinatarios de mensajes específicos.


Supervisión de amenazas con McAfee ESMFuncionamiento de las alarmas en McAfee ESM 5




3 Haga clic en Alarmas.

4 Haga clic en la ficha Configuración y, a continuación, en Plantillas.

• Para crear plantillas personalizadas, haga clic en Agregar.

• Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar.

No se pueden editar las plantillas predefinidas.

• Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar.

No se pueden eliminar las plantillas predefinidas.

• Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiada con otronombre.

• Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela y haga clicen Convertir en predeterminado.


6 En la página Agregar plantilla, configure la plantilla.


Tipo Indique si esta plantilla es para un mensaje de correo electrónico o de texto.

Se envían mensajes de texto (limitados a 140 caracteres) como correo electrónico a losteléfonos, y entonces el proveedor los vuelve a convertir en mensajes de texto.

Nombre Escriba el nombre de esta plantilla.

Descripción Escriba una descripción de lo que incluye la plantilla.

Convertir enpredeterminado

Permite utilizar la plantilla actual como predeterminada al enviar mensajes.




Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto del mensaje.Haga clic en el icono Insertar campo y seleccione la información que desee incluir en lalínea de asunto del mensaje.

Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.

En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje a menosde 950 bytes. ESM no puede enviar mensajes de syslog que superen los 950 bytes.

• Elimine cualquiera de los campos incluidos de forma predeterminada si no deseaque aparezcan en el mensaje.

• Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar un campode datos. Haga clic en el icono Insertar campo, situado sobre el campo Asunto. Acontinuación, seleccione el tipo de información que desee que muestre este campo.

• Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterar losregistros. Inserte los campos que desee incluir por cada registro entre losmarcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá esta información enel mensaje para un máximo de diez registros.

• Configuración de alarmas de correlación para la inclusión de eventos de origen en lapágina 233 Para incluir los eventos de origen en las alarmas que utilizan un eventode correlación como coincidencia ( ), haga clic en el icono Insertar campo y seleccioneBloque de eventos de origen.

Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo dealarma, el ESM incluye los datos del campo de evento en el mensaje de correoelectrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con el origende datos, las cuales se ejecutan en el receptor en lugar de en el ESM. Seleccione alarmasde Coincidencia de evento interno, que se ejecutan en el ESM y fuerzan la ejecución de unaconsulta cada vez que caduca la frecuencia de la alarma.

Configuración de alarmas de correlación para la inclusión de eventos de origenPara incluir la información sobre los eventos de origen en los resultados de alarma, configure una alarma detipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlación como coincidencia.





4 Haga clic en la ficha Configuración y, después, en Plantillas.

5 En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada.

6 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el icono

Insertar campo y seleccione Bloque de eventos de origen.

7 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después, seleccione lainformación que desee incluir cuando se active la alarma de correlación.



En el ejemplo siguiente, se muestra el aspecto de una plantilla de mensaje de alarma cuando se insertancampos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:

Alarma: [$Alarm Name]Usuario asignado: [$Alarm Assignee]Fecha de activación: [$Trigger Date] Resumen: [$Alarm Summary] [$REPEAT_START] SigIDde correlación: [$Signature ID] Hora de última correlación: [$Last Time][$SOURCE_EVENTS_START] Detalles de evento de origen: Última vez: [$Last Time] SigID:[$Signature ID] Mensaje de regla: [$Rule Message] Gravedad: [$Average Severity]Usuario de origen: [$%UserIDSrc] IP de origen: [$Source IP] Puerto de origen: [$SourcePort] Usuario de destino: [$%UserIDDst] IP de destino: [$Destination IP] Puerto dedestino: [$Destination Port] Host: [$%HostID] Comando: [$%CommandID] Aplicación: [$%AppID] Paquete: [$Packet Data] [$SOURCE_EVENTS_END] [$REPEAT_END]

Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos.

Administración de los destinatarios de alarmasIdentifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichos mensajes dealarma mediante correo electrónico, mensajes de texto (SMS), Simple Network Management Protocol (SNMP) osyslog.



• Compruebe que existan los perfiles que pretende usar.




4 Haga clic en la ficha Configuración y, a continuación, en Destinatarios.

• Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de losdestinatarios individuales.

• Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.

• Haga clic en SMS para ver o actualizar los destinatarios de mensajes de texto y sus direcciones.

• Haga clic en SNMP para ver o actualizar la siguiente información de SNMP:


Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable. Paraagregar un perfil, haga clic en Perfil.

Tipo de capturaconcreto

Seleccione el tipo de captura específico. El tipo de captura general siempre seestablece en 6 (Específico de empresa).

OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la captura queenviar. Incluya todo desde el primer 1 hasta el número de empresa, incluidos losposibles subárboles de la empresa.




Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable coninformación extra, incluido el número de línea del informe procesado, una cadenaque identifica el origen de la captura, el nombre de la notificación que ha generadola captura y el ID del ESM que envía la captura.Incluir solo datos de informe: los enlaces de variable extra no se incluirán en la captura.

Formato Cada captura SNMP generada a partir de un informe contiene una línea de datos delinforme.• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal cual

en un único enlace de variable. El sistema construye los OID de enlace de datosmediante la concatenación del ID de empresa, el tipo de captura concreta y unnúmero que aumenta automáticamente a partir del 1.

• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informe yenvía cada campo en un enlace de datos distinto.

Lista deidentificadores OIDde enlace

Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datospersonalizados.• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID de

enlace.

• Si no especifica suficientes OID de variable para todos los campos de datos delinforme, el ESM iniciará el incremento a partir del último OID especificado en lalista.

5 Haga clic en Syslog para ver o actualizar la siguiente información de syslog:


IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario.

Función y Gravedad Seleccione la función y la gravedad del mensaje.

Administración de archivos de audio para las alarmasCabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de las alarmas.





4 Seleccione la ficha Configuración y haga clic en Audio.

5 Descargue, cargue, elimine o reproduzca archivos de audio.

ESM incluye tres archivos de sonido preinstalados. Puede cargar archivos de audio personalizados.



Creación de alarmasLas alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de un númeroexcesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo de distracción. Lo mejor escrear alarmas que escalen los eventos críticos para su organización.

McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiar alarmasexistentes y cambiarlas o crear alarmas específicas para su organización.

Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.

Procedimientos• Activación o desactivación de la supervisión de alarmas en la página 236

Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. Lasupervisión de alarmas de ESM está activada de forma predeterminada.

• Cómo copiar una alarma en la página 237Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y seguarda con un nombre distinto.

• Creación de alarmas en la página 237Cree una alarma para que se active cuando se cumplan las condiciones definidas.

Activación o desactivación de la supervisión de alarmasActive o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. La supervisión dealarmas de ESM está activada de forma predeterminada.


Si desactiva la supervisión de alarmas para el sistema, ESM no genera alarmas.




4 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la ficha Configuracióny, después, en Desactivar o Activar.

5 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica si lasalarmas están activadas o desactivadas.

• Para activar una alarma específica, resáltela y seleccione Activado.

• Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará de generaresta alarma.




Cómo copiar una alarmaEs posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda conun nombre distinto.





4 Seleccione una alarma activada y haga clic en Copiar.

En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.

Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.

5 Cambie el nombre y haga clic en Aceptar.

6 Para cambiar la configuración de una alarma, seleccione la alarma copiada y haga clic en Editar.

Creación de alarmasCree una alarma para que se active cuando se cumplan las condiciones definidas.




3 Haga clic en Alarmas y, después, en Agregar.

4 Haga clic en la ficha Resumen para definir la configuración general de alarma.

• Asigne un nombre a la alarma.

• En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Esta listaincluye todos los usuarios y grupos con el privilegio Administración de alarmas.

• En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65 es mediay 1–32 es baja).

• Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar la alarma.

5 En la ficha Condición, identifique las condiciones que activan la alarma.



Condición Descripción

Tasa decomprobación

Seleccione la frecuencia con la que el sistema debe comprobar esta condición.

Desviación Especifique un umbral de porcentaje para la comprobación por encima de la referencia yun porcentaje distinto por debajo de la referencia.• Consulta: seleccione el tipo de datos de la consulta.

• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.

• Espacio de tiempo: indique si desea que se consulte el último periodo de tiemposeleccionado en el campo de número o el anterior.

• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y por debajode la referencia para que el ESM active la alarma.

Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antes deque ESM genere la alarma.

• Icono Filtros: seleccione los valores a fin de filtrar los datos.

• Espacio de tiempo: seleccione en qué intervalo se debe producir el número de eventosseleccionado para que el ESM active la alarma.

• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma que laalarma no incluya el brusco aumento al final provocado por la agregación. Por ejemplo,si el ESM extrae eventos cada cinco minutos, el último minuto de los eventosrecuperados contiene los eventos agregados. Haga coincidir la diferencia del espaciode tiempo con esa cantidad para que el último minuto no se incluya en la medición delos datos. De lo contrario, el ESM incluirá los valores de los datos agregados en elrecuento de eventos y provocarán un falso positivo.

Coincidencia decampo

1 Arrastre y coloque los iconos AND u OR para configurar la lógica de la condición dealarma.

2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después,rellene la página Agregar campo de filtro.

3 Limite el número de notificaciones recibidas mediante la configuración de la Frecuenciamáxima de activación de condición. Cada desencadenador contiene el primer evento deorigen que coincide con la condición de activación, pero no los eventos que seproducen durante el periodo de activación de la condición. Los eventos nuevos quecoinciden con la condición de activación no activan la alarma de nuevo hasta quetranscurre el periodo correspondiente a la frecuencia de activación máxima. Porejemplo, si establece la frecuencia en diez minutos y se activa una alarma cinco vecesen un periodo de diez minutos, ESM envía un único aviso con cinco alarmas.

Si establece el intervalo en cero, cada evento que coincida con una condición activaráuna alarma. En el caso de las alarmas de alta frecuencia, un intervalo de cero puedeproducir muchas alarmas.

Estado delmonitor de estado

Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, si selecciona soloCrítico, no se le notificará si se produce un cambio de estado del monitor de estado con elnivel Advertencia.



Condición Descripción

Coincidencia deevento interno

• Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma se activecuando el valor no coincida con la configuración.

• Usar lista de vigilancia: seleccione esta opción si una lista de vigilancia contiene los valoresde esta alarma.

Los valores con comas deben encontrarse en una lista de vigilancia o delimitados porcomillas.

• Campo: seleccione el tipo de datos que supervisará esta alarma.

Para las alarmas que se activan cuando se genera un evento del monitor de estado.

• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de 1000caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP de origen realesque activen esta alarma.

Frecuenciamáxima deactivación decondición

Seleccione la cantidad de tiempo que debe transcurrir entre condiciones para evitar unaluvión de notificaciones.

Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máxima permitidapara los eventos analizados antes de que se active la alarma.

Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.

6 En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma.

7 En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma.

Acción Descripción

Registrar evento Crear un evento en el ESM.

Confirmar alarmaautomáticamente

Confirmar la alarma automáticamente tras su activación. Como resultado, la alarma noaparece en el panel Alarmas, pero el sistema la agrega a la vista Alarmas activadas.

Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola. Paraincluir una notificación de audio, haga clic en Configurar --> Reproducir sonido y seleccioneun archivo de audio.

Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurar paraidentificar el propietario del caso y para seleccionar los campos que incluir en elresumen del caso.

Si planea escalar las alarmas, no cree casos.

Actualizar lista devigilancia

Cambiar las listas de vigilancia mediante la adición o eliminación de valores en funciónde la información contenida en un máximo de diez eventos que activan alarmas. Hagaclic en Configurar y seleccione qué campo del evento activador se debe adjuntar o quitaren la lista de vigilancia seleccionada. Cuando esta configuración modifica una lista devigilancia, la ficha Acciones de la vista Alarma activada muestra el cambio.

Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.




Enviar mensaje Envía un mensaje de correo electrónico o de texto a los destinatarios seleccionados.• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.

• Haga clic en Configurar para seleccionar la plantilla (para mensajes de correoelectrónico, texto, SNMP o syslog), la zona horaria y el formato de fecha que se debeutilizar en el mensaje.

Si se emplean los siguientes caracteres en el nombre de una alarma, podríanproducirse problemas al enviar mensajes de texto: coma (,), comillas ("), paréntesis( ), barra diagonal o barra diagonal invertida (/ \), punto y coma (;), signo deinterrogación (?), arroba (@), corchetes ([ ]), signos de mayor y menor que (< >), ysigno de igual (=).

Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar y seleccione uninforme en la página Configuración de informe o haga clic en Agregar para diseñar uninforme nuevo.

Si pretende enviar por correo electrónico un informe a modo de datos adjuntos,consulte con su administrador de correo para determinar el tamaño máximo de losdatos adjuntos. Los datos adjuntos de correo electrónico de gran tamaño puedenimpedir el envío de un informe.

Ejecutar comandoremoto

Ejecutar un comando remoto en cualquier dispositivo que acepte conexiones SSH,excepto los dispositivos de McAfee del ESM. Haga clic en Configurar para seleccionar elperfil y el tipo de comando, la zona horaria y el formato de fecha, y también el host, elpuerto, la contraseña del nombre de usuario y la cadena de comando para la conexiónSSH.

Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos

específicos. Haga clic en el icono Insertar variable y seleccione las variables.

Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurar paraestablecer la información necesaria a fin de comunicarse con Remedy: datos De y A,prefijo, palabra clave e ID de usuario (EUID). Cuando se envían eventos a Remedy, elESM agrega la opción Enviar evento a Remedy a la ficha Acciones de la vista Alarma activada.Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.

Asignar etiqueta conePO

Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP que activan estaalarma. Haga clic en Configurar y seleccione la información siguiente.• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.

• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetasdisponibles en el dispositivo seleccionado).

• Seleccionar el campo: campo en el que basar el etiquetado.

• Activar cliente: aplicar las etiquetas de inmediato.





Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se active unaalarma. Haga clic en Configurar y seleccione la información siguiente.• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El tipo

Dirección IP incluye en la lista negra tanto la dirección IP de origen como la de destino.

• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en la listanegra. La opción Global agrega el dispositivo a la Lista negra global.

• Duración: seleccione cuánto tiempo se deben incluir en la lista negra las direcciones IP.


Resumen de alarmapersonalizada

Personalizar los campos incluidos en el resumen de una alarma de tipo Coincidencia decampo o Coincidencia de evento interno.

8 En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirme en un periodo de tiempoespecífico.

Escalación Descripción

Escalar después de Indique el tiempo tras el cual desea que se escale la alarma.

Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.

Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada.

Registrar evento Indique si desea registrar el escalado como un evento.

Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducir sonido yseleccione un archivo si desea que la notificación visual se acompañe de unsonido.

Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregardestinatario, seleccione el tipo de mensaje y, después, seleccione el destinatario.

Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionar elinforme.

Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepte conexionesSSH. Haga clic en Configurar y proporcione el host, el puerto, el nombre de usuario,la contraseña y la cadena de comando.

Supervisión y respuesta para alarmasEs posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles de alarmas, filtros einformes.

Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmas activadasy responder a ellas.

• Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total de alarmasclasificadas por gravedad.

Símbolo Gravedad Intervalo

Alta 66–100

Media 33–65

Baja 1–32



• Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmas confirmadas seconservan en la vista Alarmas activadas.

• Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmas activadas.

Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual se cerrará tras 30segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra, confirma o elimina, o bien sehace clic en el icono de audio para detener la alerta.

Procedimientos

• Visualización y administración de alarmas activadas en la página 242Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

• Administración de la cola de informes de alarma en la página 243Si una acción de alarma genera informes, es posible ver la cola de informes generados y cancelaruno o varios de ellos.

Visualización y administración de alarmas activadasEs posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

Antes de empezar

• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso conpermiso para administrar alarmas.

• Verifique con su administrador si su consola está configurada para mostrar el panel de registroAlarmas.

Procedimiento

1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:

• En el panel, haga clic en .

• Para ver el panel Alarmas en la consola, haga clic en y seleccione Alarmas.

• Cuando se activa una alarma, se abre una alerta emergente.



Confirmar unaalarma

• Para confirmar una alarma, haga clic en la casilla de verificación de la primeracolumna de la alarma activada que desee confirmar.

• Para confirmar varias, resalte los elementos y haga clic en .

El sistema elimina las alarmas confirmadas del panel Alarmas, pero se conservan enla vista Alarmas activadas.

Eliminar una alarma • Seleccione la alarma activada que desee eliminar y haga clic en .

Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y haga clic

en .

Cambiar el usuarioasignado de lasalarmas

1 Para ver los detalles de la alarma, haga clic en .

2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo usuarioasignado.




Crear un caso paralas alarmas


2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones necesarias.

Ver detalles sobreuna alarma


2 Seleccione la alarma y realice una de las acciones siguientes:

• Para ver el evento que activó la alarma seleccionada, haga clic en la ficha Eventoactivador. Para ver una descripción, haga doble clic en el evento.

Si un único evento no cumple las condiciones de alarma, es posible que noaparezca la ficha Evento activador.

• Haga clic en la ficha Condición para ver la condición que activó el evento.

• Haga clic en la ficha Acción para ver las acciones resultantes de la alarma y lasetiquetas de ePolicy Orchestrator asignadas al evento.

Editar laconfiguración de unaalarma activada

1Haga clic en la alarma activada y, después, en . Seleccione Editar alarma.

2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.

Administración de la cola de informes de alarmaSi una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar uno o variosde ellos.





4 Haga clic en la ficha Configuración.

5 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. ESM ejecuta un máximo de cincoinformes de forma simultánea.

• Vea los informes generados por alarmas.

• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informesrestantes se moverán hacia arriba en la cola.

Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera de ejecución en elESM, lo que permite cancelar cualquiera de ellos.

6 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informes de lalista.




Ajuste de alarmasPerfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estosprocedimientos describen cómo crear tipos concretos de alarmas.

Procedimientos• Creación de alarmas UCAPL en la página 244

Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities ApprovedProducts List, lista de productos aprobados con capacidades unificadas).

• Adición de alarmas de eventos del monitor de estado en la página 246Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la generaciónde un informe de Resumen de eventos de monitor de estado.

• Adición de alarmas de coincidencia de campos en la página 255Configure alarmas para recibir notificaciones cuando coincidan varios campos de evento, y eldispositivo reciba y analice el evento.

• Resumen personalizado para alarmas activadas y casos en la página 256Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipoCoincidencia de campo y Coincidencia de evento interno.

• Adición de alarmas a reglas de directivas en la página 257Configure reglas de directivas con alarmas que le notifiquen cuando las reglas generen eventos.

• Creación de capturas SNMP a modo de acciones de alarma en la página 257Es posible enviar capturas SNMP a modo de acciones de alarma.

• Adición de alarmas de notificación sobre fallos de alimentación en la página 258Las alarmas pueden notificarle si se produce un fallo de alimentación en ESM.

• Adición de alarmas de diferencia de evento en la página 258Los orígenes de datos no sincronizados pueden generar eventos con problemas de sincronización.Configure alarmas de diferencia de evento para notificarle acerca de posibles problemas desincronización de los eventos.

Creación de alarmas UCAPLCree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved Products List, listade productos aprobados con capacidades unificadas).



• Revise los pasos para Creación de alarmas en la página 237.

Procedimiento• Configure los tipos de alarma que correspondan:



Tipo de alarma Descripción

Umbral ajustable deerrores de inicio desesión alcanzado

Se activa una alarma cuando el número de errores de inicio de sesión de un mismousuario alcanza un umbral que se puede ajustar.

1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma.

2 Introduzca el valor 306-36.

Umbral deinactividad alcanzado

Activar una alarma cuando se bloquee una cuenta de usuario porque se haalcanzado el umbral de inactividad.



Número de sesionessimultáneaspermitidas alcanzado

Activa una alarma si un usuario intenta iniciar sesión en el sistema después dealcanzar el número máximo de sesiones simultáneas.



Error en lacomprobación deintegridad de archivodel sistema

Activar una alarma cuando falle la comprobación de integridad de un archivo delsistema.



Certificados a puntode caducar

Activar una alarma cuando haya certificados Common Access Card (CAC) o deservidor web a punto de caducar.


2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.

La alarma se activará 60 días antes de la fecha de caducidad del certificado y,después, semanalmente. No es posible cambiar el número de días.

Envío de capturaSNMP cuando elestado del sistemano sea aprobado

Configurar una captura SNMP de modo que la alarma envíe una captura al NMScuando detecte que el sistema ha dejado de funcionar en un estado aprobado oseguro.

1 Cree una alarma que coincida con cualquier condición y, después, acceda a laficha Acciones y seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clic enAceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y, acontinuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic enAceptar.

6 Configure el resto de opciones de alarma.



Tipo de alarma Descripción

Envío de mensaje desyslog cuando elestado del sistemano es aprobado

Configurar un mensaje de syslog de modo que la alarma envíe un mensaje desyslog al NMS cuando detecte que el sistema ha dejado de funcionar en un estadoaprobado o seguro.

1 Cree una alarma que coincida con cualquier condición, acceda a la ficha Accionesy seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic enAceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y, acontinuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic enAceptar.

6 Configure el resto de opciones de alarma.

El registro deseguridad no registralos eventosnecesarios

Configure una captura SNMP de modo que la alarma envíe una notificación a uncentro de operaciones de red (NOC) apropiado en un plazo de 30 segundos si unregistro de seguridad no está registrando los eventos necesarios.

1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedadesdel dispositivo | Configuración del dispositivo | SNMP.

2 Seleccione la captura de error del registro de seguridad, configure uno o variosperfiles para el envío de capturas y haga clic en Aplicar.

ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensaje Error alescribir en el registro de seguridad.

Inicio o fin defunciones deauditoría

Configurar una captura SNMP de modo que la alarma envíe una notificacióncuando las funciones de auditoría (como las de base de datos, cpservice oIPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP oConfiguración SNMP y seleccione Capturas de base de datos activa/inactiva. Configure uno ovarios perfiles para el envío de las capturas y haga clic en Aplicar.

Existencia de unasesión por cadafunciónadministrativa

Activar una alarma cuando exista una sesión administrativa por cada una de lasfunciones administrativas definidas.


2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39 paraAdministrador de criptografía y 306–40 para Usuario avanzado. También esposible configurar alarmas independientes.

Adición de alarmas de eventos del monitor de estadoCree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación de uninforme de Resumen de eventos de monitor de estado.



• Revise los ID de firma del monitor de estado en la página 247 disponibles.

• Revise los pasos para Creación de alarmas en la página 237.



Procedimiento1 Para configurar una alarma antes de que se genere un evento del monitor de estado:

a Configure una Condición de alarma con el tipo Coincidencia de evento interno.

b En la línea Campo, seleccione ID de firma.

c En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado.

d Rellene el resto de las opciones de configuración de la alarma.

2 Para configurar una alarma si existe un evento del monitor de estado:

a En el árbol de navegación del sistema, haga clic en . A continuación, seleccione unavista que muestre el evento del monitor de estado (Análisis de eventos o Resumen predeterminado).

bHaga clic en el evento y, a continuación, en .

c Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma.

d Rellene el resto de las opciones de configuración de la alarma.

ID de firma del monitor de estadoPuede utilizar estas reglas a fin de crear una alarma que envíe una notificación cuando se genere un evento deregla del monitor de estado. En esta lista se describen las reglas del monitor de estado junto con sus ID defirma, tipo, dispositivo y gravedad.

Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad

Se ha realizado oeliminado una conexiónde interfaz de red física

306-50080 Cambio de la configuraciónde interfaz de red medianteuna sesión SSH.

Monitor desoftware

ESM Media

Se ha producido unerror de RAID

306-50054 Detección de errores deRAID.

Monitor dehardware

Todos Alta

Cuenta desactivadadebido a la inactividad

306-35 La cuenta de usuario se hadesactivado debido a lainactividad.

Monitor desoftware

ESM Media

Cuenta desactivadadebido al máximo defallos de inicio de sesión

306-36 La cuenta de usuario se hadesactivado porque se haalcanzado el máximo defallos de inicio de sesión.

Monitor desoftware

ESM Alta

Agregar/Editar comandoremoto

306-60 Adición o eliminación de uncomando remoto de alarma.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del recopiladordel analizador de syslogavanzado

306-50029 El analizador de ASP se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Proceso de destiladorde ADM

306-50066 El motor de extracción detexto PDF/DOC de ADM seha detenido o iniciado.

Monitor desoftware

ADM Media

Discrepancia conconfiguración aprobada

146-7 Cambio de dispositivo dedescubrimiento de redaprobado.

Monitor desoftware

ESM Baja

Cambio deconfiguración dearchivado

306-3 Cambio de la configuraciónde archivado de ESM.

Monitor desoftware

ESM Baja




Alerta de cambio deestado del proceso dearchivado

306-50051 El proceso de archivado delreceptor se ha detenido oiniciado.

Monitor desoftware

ADM/REC/DBM

Media

Activo vulnerable aevento

146-10,306-10

Evento de vulnerabilidadcreado.

Monitor desoftware

ESM Baja

Inicio de sesión deusuario administradorde auditoría

306-38 Evento UCAPL, inicio desesión de administrador deauditoría.

Monitor desoftware

ESM Baja

Cambio deconfiguración de copiasde seguridad

306-1 Cambio de la configuraciónde copias de seguridad deESM.

Monitor desoftware

ESM Baja

Copia de seguridadrealizada

306-2 Copia de seguridad realizadaen el sistema.

Monitor desoftware

ESM Baja

Alerta del analizador deBlue Martini

306-50071 El analizador de Blue Martinise ha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de estado de NICde omisión

306-50001 En el NIC se ha activado odesactivado el estado deomisión.

Monitor desoftware

IPA/ADM Media

El certificado de laautoridad decertificación hacaducado

306-50082 El certificado de la autoridadde certificación de ESM hacaducado.

Monitor desoftware

ESM Alta

El certificado de laautoridad decertificación caducarápronto

306-50081 El certificado de la autoridadde certificación de ESMcaducará pronto.

Monitor desoftware

ESM Media

Cambio de caso 306-70 El caso ha cambiado. Monitor desoftware

ESM Baja

Estado de casoagregado/modificado/eliminado

306-73 El estado del caso hacambiado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de canal decomunicación

306-50013 El canal de control se hadetenido o iniciado.

Monitor desoftware

Todos Media

Error de captura deconfiguración (error dedispositivo)

146-4 Error del dispositivo dedescubrimiento de red.

Monitor desoftware

ESM Baja

Error de captura deconfiguración(dispositivo inaccesible)

146-3 Dispositivo dedescubrimiento de redinaccesible.

Monitor desoftware

ESM Baja

Configuración capturada 146-5 La configuración dedescubrimiento de red se hacomprobado correctamente.

Monitor desoftware

ESM Baja

Error de directiva deconfiguración

146-8 No se usa en el sistema. Monitor desoftware

ESM Baja

Directiva deconfiguración correcta


ESM Baja

Cambio deconfiguración deasignación de datos

306-7 La configuración deasignación de datos de ESMha cambiado.

Monitor desoftware

ESM Alta




Alerta de espacio libreen el disco en particiónde datos

306-50005 El espacio libre de cadapartición se está agotando(por ejemplo, hada_hd tieneun 10 % de espacio libre).

Monitor desoftware

Todos Media

Cambio deconfiguración deconservación de datos

306-6 La configuración deconservación de datos deESM ha cambiado.

Monitor desoftware

ESM Alta

Alerta de estado deservicios de detecciónde bases de datos

306-50036 El servicio de detecciónautomática de DBM se hadetenido o iniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de DPI

306-50008 El motor de inspecciónprofunda de paquetes delADM se ha detenido oiniciado.

Monitor desoftware

Todos Media

Eliminar comandoremoto

306-61 Comando remoto de alarmaeliminado.

Monitor desoftware

ESM Baja

Eventos eliminados 306-74 El usuario ha eliminadoeventos de ESM.

Monitor desoftware

ESM Baja

Flujos eliminados 306-75 El usuario ha eliminadoflujos de ESM.

Monitor desoftware

ESM Baja

Adición de dispositivo 306-18 Se ha agregado un nuevodispositivo al sistema.

Monitor desoftware

ESM Baja

Eliminación dedispositivo

306-19 Un dispositivo existente seha eliminado del sistema.

Monitor desoftware

ESM Baja

Dispositivoposiblemente inactivo

146-2 Evento de descubrimientode red que indica que esposible que un dispositivono funcione.

Monitor desoftware

ESM Baja

Dispositivo inaccesible 146-1 Un dispositivo dedescubrimiento de redagregado a ESM no estáaccesible.

Monitor desoftware

ESM Baja

Alerta de error deunidad de disco

306-50018 Comprueba y verifica laintegridad de todos losdiscos duros (internos o deDAS).

Monitor dehardware

Todos Alta

Alerta de cambio deestado del proceso dearchivado de ELM

306-50045 El motor de compresión delELM se ha detenido oiniciado.

Monitor desoftware

ADM/REC/DBM

Media

ELM EDS FTP 306-50074 El programa SFTP del ELM seha detenido o iniciado.

Monitor desoftware

ELM Media

Proceso de archivo deELM

306-50065 El motor de reinserción delELM se ha detenido oiniciado.Si un registro falla por algúnmotivo, se intentará denuevo la inserción. Si elproceso de reinserción falla,se activa esta regla.

Monitor desoftware

ELM Medio

Alerta de cambio deestado del punto demontaje de ELM

306-50053 El almacenamiento remoto(CIFS, NFS, ISCSI, SAN) se hadetenido o iniciado.

Monitor desoftware

ELM Media




Alerta de cambio deestado del motor deconsultas de ELM

306-50046 El proceso de trabajos delELM (trabajos del ELM, talescomo consultas, inserciones,etc.) se ha detenido oiniciado.

Monitor desoftware

ELM Media

Almacenamientoredundante en ELM

306-50063 La duplicación del ELM se hadetenido o iniciado.

Monitor desoftware

ELM Media

Error de la base dedatos del sistema ELM

306-50044 La base de datos del ELM seha detenido o iniciado.

Monitor desoftware

ELM Alta

Alerta de cambio deestado de recopiladorde correo electrónico

306-50040 El recopilador MARS deCisco se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Etiquetas de ePOaplicadas

306-28 Se han aplicado etiquetas deMcAfee ePO.

Monitor desoftware

ESM Baja

Error al establecercomunicación con ELM

306-50047 La comunicación con el ELMha fallado.

Monitor desoftware

ADM/REC/DBM

Alta

Error en comunicaciónSSH

306-50077 Problemas del dispositivo,tales como diferencias deversión o un cambio declave.

Monitor desoftware

Todos Alta

Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor desoftware

ESM Media

Apagado de ESM 306-33 ESM se ha apagado. Monitor desoftware

ESM Media

Alerta del recopilador deeStreamer

306-50070 El recopilador de eStreamerse ha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde eStreamer

306-50041 El recopilador de eStreamerse ha detenido o iniciado.

Monitor desoftware

Receptor Media

Ejecutar comandoremoto

306-62 Comando remoto de alarmaejecutado.

Monitor desoftware

ESM Baja

Error de inicio de sesiónporque se ha alcanzadoel máximo de sesionessimultáneas

306-37 El usuario no pudo iniciarsesión porque se alcanzó elmáximo de sesionessimultáneas.

Monitor desoftware

ESM Alta

Error al aplicar formatoal dispositivo SAN

306-50057 Se produjo un error alaplicar formato al SAN enELM; el usuario debe volvera intentarlo.

Monitor dehardware

ESM Alta

Error de inicio de sesiónde usuario

306-31 El usuario no ha podidoiniciar sesión.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recopiladorde archivos

306-50049 El programa de recopilaciónde montaje se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Archivo eliminado 306-50 Cualquier archivo que sepueda agregar o eliminar.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del proceso defiltrado

306-50050 El programa de filtrado deldispositivo se ha detenido oiniciado (reglas de filtrado).

Monitor desoftware

Receptor Media

Alerta de cambio deestado de agregador dealertas de firewall

306-50009 El agregador del firewall delADM se ha detenido oiniciado.

Monitor desoftware

ADM Media




Error de obtencióndatos de evaluación devulnerabilidades

306-52 ESM no ha podido obtenerdatos de evaluación devulnerabilidades.

Monitor desoftware

ESM Media

Obtención datos deevaluación devulnerabilidadescorrecta

306-51 ESM ha obtenido datos deevaluación devulnerabilidades.

Monitor desoftware

ESM Baja

Alerta interna demonitor de estado

306-50027 Un proceso del monitor deestado se ha detenido oiniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de recopiladorde HTTP

306-50039 El recopilador de HTTP se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Cambio deconfiguración deindización

306-8 La configuración de indizadode ESM ha cambiado.

Monitor desoftware

ESM Media

Clave SSH no válida 306-50075 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferencias deversión o un cambio declave.

Monitor desoftware

Todos Alta

Alerta de cambio deestado de recopiladorde IPFIX

306-50055 El recopilador de IPFIX (flujo)se ha detenido o iniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuario administradorde claves y certificados

306-39 Evento UCAPL, inicio desesión de administrador decriptografía.

Monitor desoftware

ESM Baja

Alerta de espacio libreen el disco enparticiones de registro

306-50004 El espacio de la partición deregistro (/var) se estáagotando.

Monitor desoftware

Todos Media

Alerta de cambio deestado de servidor debase de datos McAfeeEDB

306-50010 La base de datos se hadetenido o iniciado.

Monitor desoftware

Todos Media

Alerta del recopilador deMcAfee ePO

306-50069 El recopilador de McAfeeePO se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado del formato delos eventos de McAfee

306-50031 El recopilador de formatosde eventos de McAfee se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Error de comunicacióndel dispositivo de lasolución SIEM deMcAfee

306-26 ESM no se puede comunicarcon otro dispositivo.

Monitor desoftware

ESM Alta

Alerta de MicrosoftForefront ThreatManagement Gateway

306-50068 El recopilador de ForefrontThreat ManagementGateway se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recuperadorde MS-SQL

306-50035 El recopilador de MicrosoftSQL se ha detenido oiniciado (cualquier origen dedatos de Microsoft SQL).

Monitor desoftware

Receptor Media




Alerta de registro devarios eventos

306-50062 El recopilador de jEMAIL seha detenido o iniciado.

Monitor desoftware

Receptor Media

Análisis de MVM iniciado 306-27 Se ha iniciado un análisis deMVM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de recopiladorde NetFlow

306-50024 El recopilador de NetFlow(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Nueva cuenta deusuario

306-13 Se ha agregado un nuevousuario al sistema.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de recopiladorde NFS/CIFS

306-50048 El montaje remoto para NFSo CIFS se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde NitroFlow

306-50026 NitroFlow (flujos deldispositivo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

No se ha encontradouna clave SSH

306-50076 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferencias deversión o un cambio declave.

Monitor desoftware

Todos Alta

Agregar/Editar listanegra de NSM

306-29 Una entrada de la lista negrade NSM se ha agregado oeditado.

Monitor desoftware

ESM Baja

Eliminar lista negra deNSM

306-30 Una entrada de la lista negrade NSM se ha eliminado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de receptor deOPSEC

306-50034 El recopilador de OPSEC(Check Point) se ha detenidoo iniciado.

Monitor desoftware

Receptor Media

Alerta del recopilador deOracle IdentityManagement

306-50072 El recopilador de OracleIdentity Management se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta desobresuscripción

306-50012 El ADM ha entrado o salidodel modo desobresuscripción.

Monitor desoftware

ADM Media

Alerta del analizador/recopilador decomplementos

306-50073 El analizador/recopilador decomplementos se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Adición de directiva 306-15 Se ha agregado una directivaal sistema.

Monitor desoftware

ESM Baja

Eliminación de directiva 306-17 Se ha eliminado unadirectiva del sistema.

Monitor desoftware

ESM Baja

Cambio de directiva 306-16 Se ha cambiado unadirectiva en el sistema.

Monitor desoftware

ESM Baja

Discrepancia conconfiguración previa

146-6 Ha cambiado laconfiguración del dispositivode descubrimiento de red.

Monitor desoftware

ESM Baja

Disponibilidad alta delreceptor

306-50058 Cualquier proceso dedisponibilidad alta se hadetenido o iniciado(Corosync, script de controlde disponibilidad alta).

Monitor desoftware

Receptor Media




Configuración OPSEC dedisponibilidad alta delreceptor

306-50059 No se utiliza. Monitor desoftware

Receptor Baja

Alerta de cambio deestado de punto demontaje NFS remoto

306-50020 El montaje de NFS del ELMse ha detenido o iniciado.

Monitor desoftware

ELM Media

Alerta de espacio libreen el disco en punto demontaje/recursocompartido remoto

306-50021 Se está agotando el espaciolibre en el punto de montajeremoto.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recursocompartido de SMB/CIFS remoto

306-50019 El punto de montaje remotoSMB/CIFS se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de correlación deriesgos

306-50061 El motor de correlación deriesgos se ha detenido oiniciado.

Monitor desoftware

ACE Media

Alerta de espacio libreen el disco enparticiones raíz

307-50002 Se está agotando el espaciolibre en las particiones raíz.

Monitor desoftware

Todos Media

Adición de regla 306-20 Se ha agregado una regla alsistema, por ejemplo, deASP, filtrado o correlación.

Monitor desoftware

ESM Baja

Eliminación de regla 306-22 Regla eliminada del sistema. Monitor desoftware

ESM Baja

Cambio de regla 306-21 Se ha cambiado una regla enel sistema.

Monitor desoftware

ESM Baja

Error de actualizaciónde regla

306-9 Se ha producido un error alactualizar una regla de ESM.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recuperadorde SDEE

306-50033 El recopilador de SDEE se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde sFlow

306-50025 El recopilador de sFlow(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SNMP

306-50023 El recopilador de SNMP seha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SQL

306-50038 El recopilador de SQL(anteriormente NFX) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde Symantec AV

306-50056 El recopilador de SymantecAV se ha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado del recopiladorde syslog

306-50037 El recopilador de syslog seha detenido o iniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuario administradordel sistema

306-40 El administrador del sistemaha iniciado sesión.

Monitor desoftware

ESM Baja

Error de comprobaciónde integridad delsistema

306-50085 Se ha marcado un programao proceso externo no ISO enejecución en el sistema.

Monitor desoftware

Todos Alta




Alerta de cambio deestado de registradordel sistema

306-50014 El proceso de registro delsistema se ha detenido oiniciado.

Monitor desoftware

Todos Media

Cierre de tarea(consulta)

306-54 Se ha cerrado una tarea delAdministrador de tareas.

Monitor desoftware

ESM Baja

Alerta de espacio libreen el disco enparticiones temporales

306-50003 La partición temporal (/tmp)se está quedando sinespacio en el disco.

Monitor desoftware

Todos Media

Alerta de cambio deestado del analizador deregistros de texto

306-50052 El analizador de texto se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Cambio de cuenta deusuario

306-14 Ha cambiado una cuenta deusuario.

Monitor desoftware

ESM Baja

Error de inicio de sesiónde dispositivo deusuario

306-50079 Un usuario SSH no hapodido iniciar sesión.

Monitor desoftware

ESM Baja

Inicio de sesión dedispositivo de usuario


ESM Baja

Cierre de sesión dedispositivo de usuario

306-50078 Un usuario SSH ha cerradola sesión.

Monitor desoftware

ESM Baja

Inicio de sesión deusuario

306-11 Un usuario ha iniciadosesión en el sistema.

Monitor desoftware

ESM Baja

Cierre de sesión deusuario

306-12 Un usuario ha cerrado lasesión en el sistema.

Monitor desoftware

ESM Baja

Alerta de estado delmotor de datos deevaluación devulnerabilidades

306-50043 El motor de evaluación devulnerabilidades (vaded.pl)se ha detenido o iniciado.

Monitor desoftware

Receptor Media

Adición de variable 306-23 Se ha agregado una variablede directiva.

Monitor desoftware

ESM Baja

Eliminación de variable 306-25 Se ha eliminado una variablede directiva.

Monitor desoftware

ESM Baja

Cambio de variable 306-24 Ha cambiado una variablede directiva.

Monitor desoftware

ESM Baja

El certificado delservidor web hacaducado

306-50084 El certificado del servidorweb de ESM ha caducado.

Monitor desoftware

ESM Alta

El certificado delservidor web caducarápronto

306-50083 El certificado del servidorweb de ESM caducarápronto.

Monitor desoftware

ESM Media

Alerta del recopilador deWebsense

306-50067 El recopilador de Websensese ha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado del recopiladorde WMI Event Log

306-50030 El recopilador de WMI se hadetenido o iniciado.

Monitor desoftware

Receptor Media



Adición de alarmas de coincidencia de camposConfigure alarmas para recibir notificaciones cuando coincidan varios campos de evento, y el dispositivo recibay analice el evento.



• Revise cómo utilizar los elementos lógicos.




4 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a continuación, hagaclic en la ficha Condición.

5 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma.

a Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma.

b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la páginaAgregar campo de filtro.

c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debetranscurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador contiene elprimer evento de origen que coincide con la condición de activación, pero no los eventos que seproducen durante el periodo de activación de la condición. Los eventos nuevos que coinciden con lacondición de activación no activan la alarma de nuevo hasta que transcurre el periodo correspondiente ala frecuencia de activación máxima.

Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma. En el casode las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.

6 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este tipo dealarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local, combinacionesde Event Receiver/ELM, ACE y Application Data Monitor (ADM).

7 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración.


La alarma se escribirá en el dispositivo.

Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al dispositivo en elárbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas.



Elementos lógicosCuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla decorrelación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.

Elemento Descripción

AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo esteelemento lógico debe ser verdadero para que la condición sea verdadera. Use esta opción sidesea que se cumplan todas las condiciones bajo este elemento lógico antes de que se active unaregla.

OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las condicionesagrupadas bajo este elemento tiene que ser verdadera para que la condición sea verdadera. Useeste elemento si desea que se active la regla cuando se cumpla una de las condiciones.

SET En el caso de los componentes o las reglas de correlación, SET permite definir condiciones yseleccionar el número de condiciones que deben ser verdaderas para que se active la regla. Porejemplo, si se deben cumplir dos de las tres condiciones del conjunto para que se active la regla,la configuración será "2 de 3".

Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:

• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).

• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementossecundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.

Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz, también seeliminan todos los elementos secundarios.

• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y todossus elementos secundarios de la jerarquía.

Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones para laregla. En el caso de las reglas de correlación, también se pueden agregar parámetros para controlar elcomportamiento de la regla o el componente cuando se ejecuten.

Resumen personalizado para alarmas activadas y casosSeleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo Coincidencia decampo y Coincidencia de evento interno.




3 Haga clic en Alarmas y, a continuación, en Agregar o Editar.

4 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno.

5 Haga clic en la ficha Acciones, seleccione Crear caso y haga clic en Configurar. A continuación, seleccione loscampos que se deben incluir en el resumen del caso.



6 Haga clic en Personalizar resumen de alarma activada y, a continuación, en , y seleccione los campos que incluiren el resumen de la alarma activada.

7 Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.

Adición de alarmas a reglas de directivasConfigure reglas de directivas con alarmas que le notifiquen cuando las reglas generen eventos.



2 En la barra de herramientas del árbol de navegación del sistema, haga clic en el icono del Editor de directivas

.

3 Seleccione el tipo de regla en el panel Tipos de regla.

4 Seleccione una o varias reglas en el área de visualización de reglas.

5 Haga clic en y cree una alarma.

Creación de capturas SNMP a modo de acciones de alarmaEs posible enviar capturas SNMP a modo de acciones de alarma.



• Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP).

Procedimiento1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.

a Desde el panel, haga clic en y seleccione Configuración.

b En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

c Haga clic en Administración de perfiles y, a continuación, en Agregar.

d Seleccione Captura SNMP como Tipo de perfil.

e Rellene los campos restantes y haga clic en Aplicar.

2 Configure SNMP en el ESM.

a En Propiedades del sistema | Configuración de SNMP, haga clic en la ficha Capturas SNMP.

b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregadoen el Paso 1.

c Haga clic en Aplicar.



3 Defina una alarma con Captura SNMP como acción.

a En Propiedades del sistema | Alarmas, haga clic en Agregar.

b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos, y seleccione Coincidencia deevento interno como tipo de condición. A continuación, haga clic en la ficha Acciones.

c Seleccione Enviar mensaje y haga clic en | Configurar para seleccionar o crear una plantilla para los mensajesSNMP.

d Seleccione Plantilla de SNMP básica en el campo SNMP o haga clic en Plantillas. A continuación, seleccione unaplantilla existente o haga clic en Agregar para definir una plantilla nueva.

e Vuelva a la página Configuración de alarma y continúe con la configuración.

Adición de alarmas de notificación sobre fallos de alimentaciónLas alarmas pueden notificarle si se produce un fallo de alimentación en ESM.



• Configuración de una captura SNMP para la notificación de fallos de alimentación en la página168




4 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clic en laficha Condición.

5 En el campo Tipo, seleccione Coincidencia de evento interno.

6 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).

7 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar.

Se activará una alarma cuando falle una fuente de alimentación.

Adición de alarmas de diferencia de eventoLos orígenes de datos no sincronizados pueden generar eventos con problemas de sincronización. Configurealarmas de diferencia de evento para notificarle acerca de posibles problemas de sincronización de los eventos.

Antes de empezarPueden ocurrir problemas de sincronización de los eventos por varios motivos:

• Se han establecido zonas horarias incorrectas en McAfee ESM o en los orígenes de datos.

• McAfee ESM ha estado funcionando mucho tiempo y la sincronización se ha desajustado.



• McAfee ESM no está conectado a Internet.

• Los eventos no están sincronizados al llegar al receptor.

Verifique que dispone de privilegios de administrador o pertenece a un grupo de acceso conprivilegios de administración de alarmas.

Cuando un origen de datos no sincronizado genera un evento, aparece una marca roja junto al receptor en elárbol de navegación del sistema.

Procedimiento



3 Configure alarmas para cuando los orígenes de datos no sincronizados generen eventos:

a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en la fichaCondición.

b Seleccione Diferencia de eventos en el campo Tipo.

c Seleccione con qué frecuencia McAfee ESM comprueba la existencia de orígenes de datos nosincronizados.

d Seleccione la diferencia horaria que debe existir para que se active la alarma.

e Rellene la información en el resto de fichas.

4 Vea, edite o exporte los orígenes de datos no sincronizados:

a En el árbol de navegación del sistema, haga clic en el receptor y, a continuación, en el icono Propiedades.

b Haga clic en Administración del receptor | Diferencia de tiempo.

Funcionamiento de los casosUse casos para rastrear el trabajo e investigar posibles amenazas.

En una vista de panel, cree casos en función de los eventos que desea investigar. Puede agregar informacióncontextual y eventos a las notas de caso y rastrear el trabajo de investigación. Una vez resuelto, cierre el caso ycree alarmas en función de la información descubierta por este caso.

Contenido Adición de casos Cambio de casos Visualización de casos Envío de casos por correo electrónico Generación de informes de administración de casos

Adición de casosRastree las acciones aplicadas en respuesta a los eventos.

Antes de empezarAsegúrese de que dispone de privilegios de administrador o que pertenece a un grupo de accesocon privilegios para administrar casos.

Supervisión de amenazas con McAfee ESMFuncionamiento de los casos 5


Procedimiento1 Cree un nuevo caso mediante Administración de casos o un menú contextual.

• En el panel, haga clic en , seleccione Administración de casos y haga clic en el icono Agregar caso .

•En el panel, seleccione un evento, haga clic en el icono de menú y, a continuación, en Acciones | Crear unnuevo caso.


2 Rellene la información solicitada y, después, haga clic en Aceptar.

Cambio de casosPuede cambiar los detalles de casos o cerrar casos. Los cambios se registran en las notas de casos. Los casoscerrados dejarán de aparecer en el panel Casos, pero sí aparecerán en la lista Administración de casos con elestado Cerrado.

Antes de empezarAsegúrese de que dispone de los siguientes privilegios de casos:

• Administrador de administración de casos para cambiar los casos en el sistema.

• Usuario administrador de casos para cambiar únicamente los casos que tenga asignados.

Procedimiento1 Desde el panel, haga clic en y seleccione Administración de casos.

2 Acceda a Detalles del caso de una de las formas siguientes:

• Para seleccionar un caso que tenga asignado, selecciónelo en el panel Casos y haga clic en el icono Editarcaso .

• Para seleccionar un caso que no tenga asignado, haga clic en el icono Abrir administración de casos y elcaso correspondiente. A continuación, haga clic en el icono Editar caso .

3 Puede cambiar casos de este modo:

• Haga clic en el icono Asignar eventos a un caso o Remedy y seleccione Agregar eventos a un caso.

•Haga clic en el icono Menú , resalte Acciones y haga clic en Agregar eventos a un caso.

• Para establecer el estado predeterminado de un caso, haga clic en Agregar o Editar, seleccionePredeterminado y elija el estado predeterminado.

• Seleccione los casos que desea mostrar en el panel Casos del panel principal.

4 Haga clic en Aceptar para guardar los cambios.

Visualización de casosPuede administrar todos los casos, tanto abiertos como cerrados.

Antes de empezarVerifique que dispone de privilegios de administrador o que pertenece a un grupo de acceso conprivilegio para administrar casos.

5 Supervisión de amenazas con McAfee ESMFuncionamiento de los casos


Procedimiento1 En el panel, haga clic en y seleccione Panel de investigación.


2 Use la flecha desplegable para expandir el caso que desee ver y haga clic en Ver en Administración de casos.

Se abrirá la vista Detalles de casos con todos los casos del sistema.

3 Revise los datos.

Opción Definición

Resumen Resume el caso (hasta 255 caracteres).

ID de caso Un número único generado por el sistema (no puede cambiarse) que se asigna alcaso una vez agregado.

Usuario asignado Muestra los usuarios o grupos a los que este caso está asignado. Muestra todos losusuarios y grupos de usuarios que tienen derechos de administración de casos.

tomar Permite reasignarse el caso a sí mismo.

Gravedad Muestra la gravedad del caso:

1-20 = Verde

21-40 = Azul

41-60 = Amarillo

61-80 = Marrón

81-100 = Rojo

Organización (Opcional) Muestra la organización a la que se ha asignado el caso. Para agregar unaorganización, haga clic en Organización y, a continuación, en Agregar.

Estado Muestra el estado actual del caso. Los estados predefinidos incluyen los valoresAbierto (valor predeterminado) y Cerrado. Puede agregar estados.

Fecha de creación Muestra la fecha de creación del caso.

Última actualización Muestra la fecha de modificación del caso.

Notas Rastrea las acciones realizadas, incluido el tipo de acción o cambio efectuado, la fechay la hora, y el nombre del usuario.En el caso de los cambios, se registran los valores antiguos y los nuevos. Por ejemplo:

---- Gravedad cambiada el 22-04-2009 a las 09:39antes: Bajaahora: Alta

Las siguientes acciones se registran automáticamente:• Apertura del caso • Cambio de gravedad

• Cierre del caso • Cambio de organización

• Cambios en el resumen • Cambios en eventos

• Reasignación del caso

Historia Muestra los usuarios que han accedido al caso.

Supervisión de amenazas con McAfee ESMFuncionamiento de los casos 5


Opción Definición

Tabla Mensaje Muestra los eventos asociados con el caso. Para ver los detalles de un evento, hagaclic en él en la tabla y, después, en Mostrar detalles.

Enviar caso por correoelectrónico

Permite enviar el caso por correo electrónico a la dirección especificada.

Envío de casos por correo electrónicoConfigure el sistema para que envíe un mensaje de correo electrónico automáticamente al usuario asignado alcaso cada vez que se agrega o reasigna un caso. También puede enviar una notificación de caso por correoelectrónico manualmente, e incluir notas sobre el caso y detalles del evento.

Antes de empezar• Compruebe que dispone de privilegios de Administrador de administración de casos.

• Configuración de la dirección de correo electrónico para McAfee ESM


Enviar por correoelectrónico un casoautomáticamente

1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos .

2 Haga clic en el icono Configuración de administración de casos .

3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clic enCerrar.

Las direcciones de correo electrónico de los usuarios deben encontrarse en el ESM(véase Configuración de usuarios).

Enviar un caso existentepor correo electrónicomanualmente

1 En el panel Casos, seleccione el caso que desee enviar por correo electrónico yhaga clic en el icono Editar caso .

2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene los camposDesde y Hasta.

3 Indique si desea incluir las notas y adjuntar un archivo CSV con los detalles deevento.

4 Escriba las notas que desee incluir en el mensaje de correo electrónico y haga clicen Enviar.

Generación de informes de administración de casosMcAfee ESM proporciona 6 informes de gestión de casos estándar.



3 Haga clic en Informes | Agregar.

4 Rellene las secciones 1, 2 y 3.

5 En la sección 4, seleccione Consulta en CSV.

5 Supervisión de amenazas con McAfee ESMFuncionamiento de los casos


6 En la sección 5, seleccione el informe de administración de casos que desee ejecutar:

• Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienenasignada, su estado, los usuarios a los que están asignados, las organizaciones a las que están asignados(si procede), la fecha y la hora de adición de los casos, la fecha y la hora de actualización de los casos (siprocede) y los resúmenes de los casos.

• Detalles de administración de casos: incluye toda la información del informe Resumen de administración de casos,los números de ID de los eventos vinculados a los casos y la información contenida en las secciones denotas de los casos.

• Tiempo de resolución de casos: muestra el tiempo transcurrido entre cambios de estado (por ejemplo, ladiferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, se muestran loscasos con el estado Cerrado por número de ID de caso. También se indican la gravedad, organización, Fechade creación, última actualización, resumen y diferencia de tiempo.

• Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo.

• Casos por organización: incluye el número de casos por organización.

• Casos por estado: incluye el número de casos por tipo de estado.

7 Rellene la sección 6 y haga clic en Guardar.

Los informes seleccionados aparecen en la lista Informes.

Funcionamiento de los paquetes de contenidoCuando se produzca una situación de amenaza específica, responda inmediatamente importando e instalandopaquetes de contenido con reglas de correlación, alarmas, vistas, informes, variables y listas de vigilanciabasados en casos de uso para hacer frente a malware o actividades de amenaza específicos. Ahorre tiempoutilizando paquetes de contenido en lugar de desarrollar herramientas internas.

Busque en el catálogo de McAfee Connect.

Contenido Importación de paquetes de contenido Instalación de paquetes de contenido Cambio de paquetes de contenido

Importación de paquetes de contenidoLos paquetes de contenido normalmente se descargan como parte de las actualizaciones automáticas dereglas. Si su ESM no descarga automáticamente reglas y paquetes de contenido, utilice este proceso manual.


• Administración del sistema

• Administración de usuarios

Procedimiento1 Vaya a McAfee Connect.

2 Examine los paquetes de contenido disponibles y descargue el que desee.

3 Instale el paquete de contenido en el ESM.

Supervisión de amenazas con McAfee ESMFuncionamiento de los paquetes de contenido 5


https://www.mcafee.com/us/products/mcafee-connect/catalog.aspx

https://www.mcafee.com/us/products/mcafee-connect/catalog.aspx

Instalación de paquetes de contenidoSeleccione un paquete de contenido y despliéguelo.



3 Haga clic en Paquetes de contenido.

4 Haga clic en Examinar.

Se abre la ventana Examinar paquetes de contenido.

5 Desplácese por la lista y seleccione el paquete de contenido que desee.

Haga clic en un nombre o descripción para mostrar los detalles de ese paquete de contenido. Haga clic en lacasilla de verificación para seleccionar el paquete de contenido para la instalación.

6 Haga clic en Instalar.

7 Complete todos los pasos posteriores a la instalación que aparecen en los detalles del paquete decontenido.

Cambio de paquetes de contenidoActualice o desinstale un paquete de contenido.

Si ha personalizado elementos del paquete de contenido, la actualización podría sobrescribir los elementospersonalizados.



3 Haga clic en Paquetes de contenido.

Aparecerá la lista de paquetes de contenido instalados.

4 Busque actualizaciones disponibles en la lista.

Si hay alguna versión más reciente del paquete de contenido, el estado será Actualización disponible.

5 Para actualizar un paquete de contacto, selecciónelo y haga clic en Actualizar.

6 Para desinstalar un paquete de contenido, selecciónelo y haga clic en Actualizar.

5 Supervisión de amenazas con McAfee ESMFuncionamiento de los paquetes de contenido


6 Uso de listas de vigilancia de McAfee ESM

Contenido Funcionamiento de las listas de vigilancia de McAfee ESM Listas de vigilancia de McAfee GTI Adición de listas de vigilancia Creación de listas de vigilancia de reglas Adición de reglas a listas de vigilancia Creación de listas de vigilancia de amenazas IOC Adición de listas de vigilancia de Hadoop HBase Creación de listas de vigilancia de McAfee Active Response Uso compartido de listas de vigilancia, informes y vistas

Funcionamiento de las listas de vigilancia de McAfee ESMUna lista de vigilancia es un conjunto de información específica que se puede usar como filtro o como condiciónde alarma.

Puede ser global o compartida con un usuario o grupo concretos, y puede ser estática o dinámica. Una lista devigilancia estática consta de valores específicos que se introducen o se importan. Una lista de vigilancia dinámicaconsta de valores que resultan de una expresión regular o de los criterios de búsqueda de cadenas que sedefinen.

Una lista de vigilancia puede incluir un máximo de 1 000 000 de valores, pero McAfee ESM solo se puedemostrar 25 000 valores. Si hay más valores, McAfee ESM le informa de que hay demasiados valores paramostrar. Para agregar más de 25 000 valores a una lista de vigilancia, exporte la lista actual a un archivo local,agregue los nuevos valores e importe la nueva lista.

Es posible configurar los valores de una lista de vigilancia estática de forma que caduquen. Cada valor tiene unamarca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice. Los valores seactualizan si se activa una alarma y los agrega a la lista de vigilancia. Para actualizar los valores configuradospara caducar, inclúyalos en la lista mediante la opción Anexar a lista de vigilancia del menú de un componente devista.

Es posible configurar los valores de una lista de vigilancia dinámica de forma que se actualicen periódicamente.Se realiza una consulta en el origen mediante los datos proporcionados y los valores se actualizan en elmomento especificado.

Listas de vigilancia de McAfee GTILas listas de vigilancia de McAfee

®


(McAfee GTI) contienen más de 130 millones dedirecciones IP sospechosas y maliciosas recopiladas por McAfee junto con su gravedad. Use estas listas de

6


vigilancia para activar alarmas, filtrar datos en informes y vistas (como un filtro en la correlación de reglas) ycomo origen de calificación para un administrador de correlación de riesgos en McAfee ACE.

Para rellenar los datos de Direcciones IP maliciosas de GTI y Direcciones IP sospechosas de GTI en listas de vigilancia,deberá adquirir una licencia de McAfee

®


(McAfee GTI). A continuación, la descarga dereglas agrega las listas de McAfee GTI en su sistema.

Descargar las listas requiere una conexión a Internet (no pueden descargarse sin conexión). Este proceso puedetardar varias horas debido al tamaño de la base de datos.

Las listas de McAfee GTI no pueden verse ni editarse, pero indican si la lista está activa (contiene valores) oinactiva (no contiene valores).

Adición de listas de vigilanciaUtilice listas de vigilancia a modo de filtros o condiciones de alarma.

Antes de empezarPara rellenar los datos de Direcciones IP maliciosas de GTI y Direcciones IP sospechosas de GTI en una listade vigilancia, deberá adquirir una licencia de McAfee

®


(McAfee GTI).

Procedimiento1 Acceda a la página Listas de vigilancia de una de estas formas:

• Desde el panel, haga clic en y seleccione Listas de vigilancia.

• En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas de vigilancia.

• En una alarma Coincidencia de evento interno, haga clic en la ficha Acciones, seleccione Actualizar lista devigilancia y haga clic en Configurar.

2 Haga clic en Agregar o Agregar nueva lista de vigilancia.


Principal Nombre Escriba un nombre para la lista de vigilancia.

Estática oDinámica

Las listas de vigilancia estáticas constan de los valores que se especifiquen. Laslistas de vigilancia dinámicas constan de valores que proceden de los criterios debúsqueda de cadenas o expresiones regulares que se definan.

Los valorescaducan

Estática: seleccione esta opción para aplicar una marca de tiempo a cada valorde la lista de vigilancia de forma que caduque cuando se especifique. Cuando sealcance la duración especificada, caducará a menos que se actualice. Los valoresse actualizan si se activa una alarma y los agrega a la lista de vigilancia. A fin deactualizar los valores configurados para caducar, inclúyalos en la lista mediantela opción Anexar a lista de vigilancia del menú presente en los componentes devista.

Duración Estática: seleccione el tiempo durante el que desee mantener los valores. Elintervalo abarca entre una hora y 365 días. Cuando transcurra ese tiempo, elvalor se eliminará de la lista de vigilancia a menos que se actualice.

Activar lasactualizacionesautomáticas

Dinámica: seleccione esta opción si desea que esta lista se actualice de formaautomática en el momento especificado.

Actualización Indique la frecuencia de actualización de la búsqueda. La lista de valoresexistentes se sustituye cada vez que se ejecuta la búsqueda.

6 Uso de listas de vigilancia de McAfee ESMAdición de listas de vigilancia



Origen Seleccione el tipo de origen de búsqueda. Los campos restantes de esta página variarán enfunción del tipo seleccionado.

Cadenas de ESM Se busca en la tabla StringMap, que contiene cadenas halladas en eventos.Introduzca la expresión regular o los criterios de búsqueda de cadenas en elcampo Buscar. En las búsquedas se distingue entre mayúsculas y minúsculas deforma predeterminada. A fin de llevar a cabo una búsqueda en la que no setenga en cuenta el uso de mayúsculas y minúsculas, delimite la cadena debúsqueda o la expresión regular mediante barras diagonales seguidas de i,como, por ejemplo, /Exploit/i.

Nombres dereglas de ESM

Se busca en los mensajes de reglas de la tabla Regla, que contiene unadescripción breve de la regla. Introduzca la expresión regular o los criterios debúsqueda de cadenas en el campo Buscar. En las búsquedas se distingue entremayúsculas y minúsculas de forma predeterminada. A fin de llevar a cabo unabúsqueda en la que no se tenga en cuenta el uso de mayúsculas y minúsculas,delimite la cadena de búsqueda o la expresión regular mediante barrasdiagonales seguidas de i, como, por ejemplo, /Exploit/i.

HTTP/HTTPS Rellene estos campos:

• Autenticación: seleccione Básica si el sitio web requiere un nombre de usuario yuna contraseña para iniciar sesión. La configuración predeterminada esNinguna.

• Ignorar certificados no válidos: si el sitio web en el que intenta realizar labúsqueda está en una dirección URL HTTPS, seleccione esta opción paraignorar los certificados SSL no válidos.

• Método: si el sitio web donde desea buscar requiere un argumento ocontenido, seleccione POST. La configuración predeterminada es GET.

ActiveResponse

Rellene estos campos:• Recopilador: seleccione el recopilador que desee usar para extraer datos.

• Valor: seleccione la columna de datos recuperados que desee incluir en la listade vigilancia.

• O o Y: indique si desea que se apliquen todos los filtros a los datos (Y) ocualquiera de los filtros (O). Esto solo es aplicable cuando existen dos o másfiltros.

• Filtros: los filtros que desee aplicar a la búsqueda.

• Agregar filtro: permite agregar otra línea de filtro. Es posible tener un máximode cinco filtros.

Análisis Datos sinprocesar

Cuando se selecciona HTTP/HTTPS como tipo de origen, permite ver lasprimeras 200 líneas del código de origen correspondiente al campo URL de laficha Origen. Se trata solo de una vista previa del sitio web, pero es suficiente afin de escribir una expresión regular para la coincidencia. Una actualizaciónplanificada o ejecutada mediante Ejecutar ahora de la lista de vigilancia incluyetodas las coincidencias correspondientes a la búsqueda mediante la expresiónregular. Esta función es compatible con expresiones regulares de la sintaxis RE2,tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

Líneas deencabezado queomitir

Por lo general, un sitio de Internet tiene un código de encabezado en el que noes necesario buscar. Especifique cuántas líneas del principio del sitio deseaomitir para que la búsqueda no incluya los datos del encabezado.

Delimitador delínea nueva

Escriba lo que se utiliza en el sitio para separar los valores. Este campo tiene elvalor predeterminado \n, que indica que el delimitador es una línea nueva. Elotro delimitador más habitual es la coma.

Uso de listas de vigilancia de McAfee ESMAdición de listas de vigilancia 6



Ignorar expresión Escriba una expresión regular que elimine los valores no deseados de losresultados de la búsqueda realizada mediante una expresión regular.

Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una coincidencia y extraerlos valores del sitio. Utilice esta opción para crear una expresión que coincidacon una lista de direcciones IP maliciosas conocidas o sumas MD5 incluidas enun sitio.

Grupocoincidente

Si la expresión regular contiene varios grupos de coincidencia, seleccione ungrupo en esta lista desplegable.

Valores Tipo Seleccione un tipo que asigne los resultados de la búsqueda a un tipo decampo. Este tipo permite utilizar la lista de vigilancia en todo el sistema (porejemplo, en filtros y alarmas). Es posible cambiar esta configuración en una listade vigilancia existente. Si tiene menos de 25 000 valores, ESM comprueba quelos tipos anteriores y nuevos sean compatibles, y devuelve un error de no serasí. Si tiene más de 25 000 valores, es necesario validar la compatibilidad.

Si se trata de una lista de vigilancia dinámica y selecciona Cadena como origen, laaplicación no filtrará la búsqueda por el tipo seleccionado. En su lugar, labúsqueda devolverá todas las cadenas coincidentes.

Valores Si se trata de una lista de vigilancia estática, importe un archivo con formato devalores separados por saltos de línea o escriba manualmente los valores, unopor línea.

Tanto las listas de vigilancia estáticas como las dinámicas están limitadas a unmáximo de 1 000 000 valores.

Si se trata de una lista de vigilancia dinámica, la tabla de valores se rellenará convalores cada vez que se ejecute una búsqueda.

Si hay más de 25 000 valores en la lista de vigilancia, el campo Valores indicaráque hay más valores de los que se pueden mostrar.

El Nombre de usuario identifica quién puede acceder a la base de datos. En elcaso de LDAP, el nombre de usuario debe ser un nombre de dominio completosin espacios, como, por ejemplo:

uid=bob,ou=Usuarios,dc=ejemplo,dc=com

o

[email protected]

Borrar valores Haga clic en esta opción si desea eliminar todos los elementos de la lista Valores.

Importar Haga clic en esta opción para agregar los valores importados a la lista Valores. Siexisten más de 25 000 valores importados, aparecerá un mensaje que indicaque no se pueden mostrar todos los valores importados.

Exportar Permite exportar la lista de valores.

Ejecutar ahora Permite ejecutar la consulta inmediatamente. Los resultados aparecerán en elcuadro Valores.

3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia.

6 Uso de listas de vigilancia de McAfee ESMAdición de listas de vigilancia


Creación de listas de vigilancia de reglasUtilice listas de vigilancia para agrupar reglas que utilizar como filtros o condiciones de alarma que le notificancuando la regla se produce en un evento. Estas listas de vigilancia pueden ser globales o específicas de usuarioso grupos de ESM.

Procedimiento1 En el panel Tipos de reglas del Editor de directivas, seleccione el tipo de regla y, a continuación, seleccione las

reglas que desee incluir en esta lista de vigilancia.

2 Haga clic en Operaciones y seleccione la opción Crear nueva lista de vigilancia.

3 Escriba un nombre y asegúrese de que la opción Estática esté seleccionada.

4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuario asignado.

Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuario o grupodel sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas de control a sí mismo oa los grupos de los que sea miembro.

5 Para agregar más valores a la lista de vigilancia, realice una de las acciones siguientes:

• Para importar un archivo de valores separados por líneas, haga clic en Importar y seleccione el archivo.

• Para agregar valores individuales, escriba un valor por línea en el cuadro Valores.

El número máximo de valores es 1000.

6 Si desea recibir una alarma cuando un evento generado contenga cualquiera de los valores de la lista devigilancia, haga clic en Crear alarma.


Adición de reglas a listas de vigilanciaDespués de crear las listas de vigilancia, puede agregar valores de regla a estas listas mediante la opción Anexara lista de vigilancia.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización de reglas.

3 Haga clic en el menú Operaciones y seleccione Adjuntar a lista de control.

4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar.

Uso de listas de vigilancia de McAfee ESMCreación de listas de vigilancia de reglas 6


Creación de listas de vigilancia de amenazas IOCCree listas de vigilancia para extraer fuentes de indicadores de compromiso (IOC, Indicator of Compromise) y deamenazas de Internet. Puede obtener una vista previa de los datos a través de la solicitud HTTP y filtrar losdatos mediante expresiones regulares.



3 Haga clic en Listas de vigilancia y, después, en Agregar.

4 Rellene la ficha Principal y seleccione Dinámica.

5 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo.

6 Rellene la información solicitada en las fichas Origen, Análisis y Valores.

Las primeras 200 líneas del código fuente HTML rellenan el campo Datos sin procesar en la ficha Análisis. Setrata solo de una vista previa del sitio web, pero es suficiente para escribir una expresión regular para lacoincidencia. Una actualización planificada o ejecutada mediante Ejecutar ahora de la lista de vigilancia incluyetodas las coincidencias correspondientes a la búsqueda mediante la expresión regular. Esta función escompatible con expresiones regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con una dirección IP.

Adición de listas de vigilancia de Hadoop HBaseAgregue listas de vigilancia con Hadoop HBase como origen.




4 En la ficha Principal, seleccione Dinámica e introduzca la información solicitada.

5 En la ficha Origen, seleccione Hadoop HBase (REST) en el campo Tipos. A continuación, escriba el nombre dehost, el puerto y el nombre de la tabla.

6 Uso de listas de vigilancia de McAfee ESMCreación de listas de vigilancia de amenazas IOC


6 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Porejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

7 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora.

Creación de listas de vigilancia de McAfee Active ResponseConfigure listas de vigilancia dinámicas rellenadas con resultados de búsqueda de McAfee Active Response.

Antes de empezarAgregue un dispositivo McAfee ePO con McAfee Active Response a McAfee ESM.




4 Rellene la ficha Principal y seleccione Dinámica.

5 En la ficha Origen, seleccione McAfee Active Response en el campo Tipo y rellene la información solicitada.

6 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.

La lista de vigilancia se agregará y recopilará los datos especificados en búsquedas de McAfee Active Response.

El tipo McAfee Active Response no aparecerá si McAfee ESM no puede extraer los recopiladores de McAfee ActiveResponse mediante DXL.

Uso de listas de vigilancia de McAfee ESMCreación de listas de vigilancia de McAfee Active Response 6


Uso compartido de listas de vigilancia, informes y vistasAsigne los privilegios a los usuarios y grupos para ver o cambiar vistas, listas de vigilancia o informes.

Procedimiento1 Abra la página Permisos para ver listas de vigilancia, informes o vistas.

• Desde la página Propiedades del sistema, haga clic en Listas de vigilancia, seleccione una lista de vigilanciay haga clic en Compartir.

• Desde la página Propiedades del sistema, haga clic en Informes, seleccione un informe y haga clic enCompartir.

• Desde la consola, haga clic en el icono Administrar vistas, seleccione una vista y haga clic en Compartir.

2 Seleccione si desea heredar la configuración.

3 Si no se hereda la configuración, seleccione los grupos o usuarios que pueden ver o cambiar los elementosseleccionados.

Si selecciona Modificar, el sistema selecciona automáticamente Leer.

6 Uso de listas de vigilancia de McAfee ESMUso compartido de listas de vigilancia, informes y vistas


7 Uso de eventos de McAfee ESM

Contenido Funcionamiento de los eventos de McAfee ESM Descripción de los filtros contains y regex Tipos personalizados Búsquedas de McAfee® Active Response

Funcionamiento de los eventos de McAfee ESMMcAfee ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos yflujos, además de conservar esta información disponible para fines de consulta, análisis forense, validación dereglas y conformidad.

Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un flujo es lainformación registrada sobre una conexión realizada entre direcciones IP, una de las cuales al menos seencuentra en la red HOME_NET. Un registro es la información sobre un evento que se produce en un dispositivodel sistema. Los eventos y los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, unprotocolo y una hora de inicio y de fin. Sin embargo, existen varias diferencias entre los eventos y los flujos:

• Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes que loseventos.

• Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.

• Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.

• Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen ydestino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes transmitidos porel origen del flujo. Los bytes y paquetes de destino indican el número de bytes y paquetes transmitidos por eldestino del flujo.

• Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Unflujo saliente se origina fuera de la red HOME_NET.

Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se seleccionan en lalista de vistas. Los registros se pueden ver mediante el Registro del sistema o el Registro de dispositivo, a los que seaccede a través de la página Propiedades del sistema o de cada dispositivo.

Configuración de descargas de eventos, flujos y registrosPuede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo deforma que lo haga automáticamente.


7


• Administrador de directivas y Administración de dispositivos o

• Administrador de directivas y Reglas personalizadas

Las opciones varían en función del tipo de dispositivo:

• Los receptores y dispositivos ADM tienen eventos, flujos y registros.

• Los dispositivos ACE y DEM tienen eventos y registros.

• Los dispositivos DESM tienen eventos.

• Los dispositivos ELM y ELS tienen registros.



Propiedades .

7 Uso de eventos de McAfee ESMFuncionamiento de los eventos de McAfee ESM


3 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.

4 Configure las descargas y haga clic en Aplicar.

Opción Definición

Actualizar automáticamentereglas

Si el ESM descarga automáticamente las reglas del servidor de reglas,seleccione esta opción en caso de que desee que las reglas descargadas sedesplieguen en el dispositivo.

Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe laexistencia de eventos, flujos o registros de forma automática.

Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o registrosde inmediato. Para ver el estado de estos trabajos, consulte Obtener eventos yflujos.

Definir el intervalo de tiempode extracción de datos diario

Seleccione esta opción para planificar un intervalo de tiempo diario de formaque el ESM extraiga datos de cada dispositivo y envíe los datos al ESM desdecada dispositivo (véase Limitación del tiempo de recopilación de datos).

Tenga cuidado al configurar esta función, ya que la planificación de larecopilación de eventos, flujos y registros puede acarrear una fuga de datos.

Generar eventos devulnerabilidad

Seleccione esta opción para que los eventos que coincidan con los datos deorigen de evaluación de vulnerabilidades agregados al sistema (véaseIntegración de datos de evaluación de vulnerabilidades) se conviertan en eventosde vulnerabilidad y generen una alerta en el ESM local. Las propiedades dedirectiva del Editor de directivas son las mismas para todos estos eventos y no sepueden cambiar (por ejemplo, la gravedad siempre es 100).

Proceso de última descargade eventos o Proceso deúltima descarga de flujos

Permiten ver la última vez que se han recuperado eventos o flujos deldispositivo, si el proceso ha sido correcto o no y el número de eventos o flujosrecuperados.

Último registro de eventosdescargado, Último registrode cadena descargado oÚltimo registro de flujosdescargado

Permiten ver la fecha y la hora del último registro de evento, cadena o flujodescargado. Si cambia este valor, podrá establecer la fecha y la hora a partir delas cuales se recuperarán eventos, cadenas o flujos. Por ejemplo, si introduce13.11.16 a las 10:30:00 de la mañana en el campo Último registro de eventosdescargado, hace clic en Aplicar y, a continuación, en Obtener eventos, el ESMrecuperará todos los eventos del dispositivo desde ese momento hasta lafecha.

Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada uno delos dispositivos administrados por el ESM (véase Definición de la configuración deumbral de inactividad).

Geolocalización Configure el ESM para registrar datos de geolocalización y ASN de cadadispositivo (véase Definición de la configuración de geolocalización y ASN).

Limitación del tiempo de recopilación de datosPuede planificar un intervalo diario de horas para limitar cuándo McAfee ESM extrae datos de cada dispositivoy cuándo se envían los datos al ELM desde cada dispositivo.

Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho debanda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos a McAfee ESM yELM, de modo que debe determinar si tal retraso es aceptable en su entorno.

Uso de eventos de McAfee ESMFuncionamiento de los eventos de McAfee ESM 7


Procedimiento

Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registrospuede acarrear una fuga de datos.



Propiedades .

3 Seleccione una de las siguientes opciones:

• Eventos, flujos y registros

• Eventos y registros

• Registros

4 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de inicio yfinalización del intervalo de tiempo.

McAfee ESM recopila datos del dispositivo, que envía los datos al ELM para su registro durante el intervalohorario que haya definido. Cuando se configura un ELM de este modo, se define cuándo McAfee ESM recopiladatos del ELM y cuándo McAfee ESM envía datos al ELM para su registro.

Definición de la configuración de umbral de inactividadCuando defina un umbral de inactividad para un dispositivo, recibirá una notificación si no se generan eventosni flujos en el periodo especificado. Si se alcanza el umbral, aparece un indicador de estado amarillo junto alnodo del dispositivo en el árbol de navegación del sistema.

Procedimiento



3 Seleccione Información del sistema y haga clic en Eventos, flujos y registros.

4 Haga clic en Configuración de inactividad.

5 Resalte el dispositivo y haga clic en Editar.

6 Para cada dispositivo, defina el umbral de inactividad para recibir notificaciones cuando un dispositivo noreciba eventos ni flujos durante el periodo especificado.

Obtención de eventos y flujos

Procedimiento

1 En la barra de herramientas de vistas, abra el menú desplegable Actualizar y seleccione Obtener eventos y flujos.

2 En la tabla superior, seleccione los eventos o los flujos que desee recuperar, y haga clic en Iniciar.

El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra detalles sobre losdispositivos seleccionados en la tabla superior.

3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos, y haga clic enActualizar en la barra de herramientas de vistas.



Comprobación de eventos, flujos y registrosPuede configurar el ESM para comprobar eventos, flujos y registros de forma automática, o puedecomprobarlos manualmente. La tasa de comprobación depende del nivel de actividad del sistema y de lafrecuencia con que se desee recibir actualizaciones de estado. También se puede especificar qué dispositivoscomprobar para cada tipo de información y establecer la configuración de umbral de inactividad para losdispositivos administrados por el ESM.

Procedimiento



Propiedades .

3 Haga clic en Eventos, flujos y registros.

4 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.


Opción Definición

Intervalo de comprobaciónautomática

Seleccione esta opción si desea que el sistema compruebe eventos, flujos yregistros automáticamente. Defina la frecuencia de esta operación.

Comprobar ahora Permite buscar eventos, flujos y registros inmediatamente.

Mostrar dispositivos Seleccione la configuración de descarga automática de eventos, flujos y registrospara cada dispositivo.

Configuración de inactividad Si desea que se le notifique cuando un dispositivo no genere eventos o flujosdurante un periodo de tiempo, seleccione esta opción, resalte el dispositivo yhaga clic en Editar.

Definición de la configuración de geolocalización y ASNMcAfee ESM recopila datos de ASN y de geolocalización de origen y de destino para identificar la ubicaciónfísica de una amenaza. La geolocalización proporciona la ubicación geográfica de los equipos conectados aInternet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y queidentifica de forma exclusiva cada una de las redes de Internet.

Procedimiento



Propiedades .

3 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.

4 Seleccione esta opción para almacenar la geolocalización o los datos de ASN.

Agregación de eventos o flujosUn evento o un flujo pueden generarse miles de veces en potencia. En lugar de repasar miles de eventosidénticos, es posible verlos como si se tratara de un único evento o flujo con un recuento que indica el númerode veces que se ha producido.

El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en elESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas paralas cuales se haya activado la agregación en el Editor de directivas.



Direcciones IP de origen y destino

Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" enlugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:

• ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).

• ::0000:10.0.12.7 sería 10.0.12.7.

Eventos y flujos agregados

Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y lacantidad de agregación.

Por ejemplo, si el mismo evento se ha producido 30 veces en los primeros 10 minutos después del mediodía:

• Primera vez = 12:00 para la hora de la primera instancia del evento

• Última vez = 12:10 para la hora de la última instancia del evento

• Total = 30

Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo de formaconjunta. En el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglasindividuales.

La agregación recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros.Si se configura para la recuperación automática, el dispositivo solo comprimirá un registro hasta la primera vezque el ESM lo extraiga. Si se configura para la recuperación manual, un registro se comprime un máximo de 24horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresiónalcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo.

Cambio de la configuración de agregación de eventos o flujosLa agregación de eventos y de flujos está activada de manera predeterminada con el valor Media alta. Es posiblecambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en lapágina Agregación.

Antes de empezarEs necesario disponer de permisos de Administrador de directivas y Administración de dispositivos, oAdministrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.

La agregación de eventos solo está disponible para receptores y dispositivos ADM, mientras que la agregación deflujos solo está disponible para receptores.



Propiedades .

3 Haga clic en Agregación de eventos o Agregación de flujos.

4 Defina la configuración y haga clic en Aceptar.



Adición de excepciones a la configuración de agregación de eventosLa configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crearexpresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por unaregla.

Procedimiento1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción.

2Haga clic en el icono Menú y seleccione Modificar configuración de agregación.

3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3.

Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuandoseleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar lasselecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación deeventos definida para el dispositivo.

4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.

5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.

6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.

La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.

Visualización de las excepciones de agregación de eventosEs posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe laposibilidad de editar o eliminar una excepción.



Propiedades .

3 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.

4 Realice los cambios necesarios y haga clic en Cerrar.

Configuración del reenvío de eventosEl reenvío de eventos permite enviar eventos desde McAfee ESM a otro dispositivo o instalación mediante syslogo SNMP (si se ha activado). Defina el destino, incluya el paquete y oculte los datos de direcciones IP. Se puedenfiltrar los datos de evento antes de su reenvío.

El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de eventosrecuperados por McAfee ESM, puede afectar al rendimiento global de McAfee ESM.



3 Haga clic en Reenvío de eventos.



4 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar.

5 Si ha seleccionado agregar o editar un destino, defina su configuración.


Procedimientos• Configuración de destinos de reenvío de eventos en la página 280

Agregue destinos de reenvío de eventos a McAfee ESM para reenviar datos de eventos a unservidor syslog o SNMP.

• Configuración de filtros de reenvío de eventos en la página 282Configure filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP enMcAfee ESM.

• Reenvío de eventos con el formato de eventos estándar en la página 283El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetosJavaScript ( JSON) que permite representar datos de eventos genéricos. El formato de eventosestándar reenvía eventos desde un dispositivo McAfee ESM a un receptor de otro McAfee ESM, ydesde ESM a un tercero. También puede usarlo para enviar eventos desde un tercero a un receptorsi selecciona SEF como el formato de datos al crear el origen de datos.

Configuración de destinos de reenvío de eventosAgregue destinos de reenvío de eventos a McAfee ESM para reenviar datos de eventos a un servidor syslog oSNMP.







Opción Definición

Nombre Introduzca un nombre para este destino.

Activado Seleccione esta opción para activar el reenvío de eventos a este destino.

Usar perfil del sistema Seleccione esta opción para utilizar un perfil existente o haga clic en Usar perfil delsistema para agregar uno.

Formato Seleccione el formato en la lista desplegable. Véase Agentes de reenvío de eventos paraobtener una lista detallada de los agentes y la información contenidos en lospaquetes.

Dirección IP dedestino

Escriba la dirección IP de destino de syslog.

Puerto de destino Seleccione el puerto de destino en el que escucha syslog.

Protocolo Elija entre los protocolos de transporte UDP y TCP. UDP es el estándar de protocolo enel que se basa syslog. Los paquetes enviados a través de syslog por TCP tienen unformato idéntico al de sus equivalentes de UDP, incluidos la función, la gravedad y elmensaje. La única excepción es que se agrega un carácter de salto de línea (código decarácter 10 de ASCII) al final del mensaje.

Al contrario que en el caso de UDP, que es un protocolo sin conexión, se debeestablecer una conexión TCP entre McAfee ESM y el servidor que escucha los eventosreenviados. Si no se puede establecer una conexión o esta se interrumpe, McAfeeESM rastrea el último evento reenviado correctamente. A continuación, intentaestablecer la conexión de nuevo. Una vez restablecida la conexión, McAfee ESMreanuda el reenvío de eventos donde se detuvo.

Si selecciona UDP, no podrá seleccionar SSH o TLS en el campo Modo.

Función Seleccione la función de los paquetes de syslog.

Gravedad Seleccione la gravedad de los paquetes de syslog.

Formato de hora Seleccione el formato de hora para el encabezado del reenvío de eventos de syslog. Siselecciona Heredado, el formato será el mismo que era en las versiones anteriores a la9.3.0, que correspondía a GMT. Si selecciona Estándar, podrá seleccionar una zonahoraria.

Zona horaria Si ha seleccionado Estándar, seleccione la zona horaria que se usará al enviar registrosde reenvío de eventos.

Ocultar datos Seleccione esta opción si desea enmascarar los datos seleccionados incluidos en losdatos reenviados a este destino. Para seleccionar los datos, haga clic en Configurar.

Enviar paquete Si tiene la directiva configurada para copiar un paquete, seleccione esta opción encaso de que desee reenviar la información sobre el paquete. Esta información seincluye, si el paquete está disponible, al final del mensaje de syslog con codificaciónBase 64.

Filtros de evento Haga clic aquí para aplicar filtros a los datos de evento reenviados a syslog.

Modo Seleccione el modo de seguridad para el mensaje. Si selecciona SSH, rellene lainformación restante. Si elige utilizar syslog mediante TCP (protocolo), indique sidesea realizar la conexión TCP a través de SSH o TLS. Syslog es un protocolo nocifrado, de modo que usar SSH o TLS evita que otras personas puedan examinar susmensajes de reenvío de eventos. Si utiliza el modo FIPS, puede reenviar datos deregistro mediante TLS.

Puerto local deretransmisión

Escriba el puerto que se utilizará en el lado de McAfee ESM de la conexión SSH.

Puerto SSH remoto Escriba el puerto en el que escucha el servidor SSH al otro lado de la conexión SSH.



Opción Definición

Nombre de usuarioSSH

Escriba el nombre de usuario de SSH utilizado para establecer la conexión SSH.

Clave DSA SSH Escriba la clave de autenticación DSA pública empleada para la autenticación SSH. Loscontenidos de este campo se agregarán al archivo authorized_keys (o equivalente) enel equipo donde se ejecute el servidor SSH.

Agentes de reenvío de eventosEstos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se reenvían.

Agente Contenido

Syslog(registrosdeauditoría)

Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de categoría deregistro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0 y posteriores), nombrede grupo de dispositivos, nombre de dispositivo, mensaje de registro.

Syslog(formatode eventocomún)

Hora y fecha actuales, dirección IP de ESM, versión de CEF 0, proveedor = McAfee, producto =modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/buildstamp, IDde firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor, dirección convertida dedispositivo.

Syslog(formatode eventoestándar)

<#>YYYY-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id":1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig":{ "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200","dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00","dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z","src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan":"0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0,"a1_ran_string_CF1": "This is data for custom field 1", "packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

Configuración de filtros de reenvío de eventosConfigure filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP en McAfee ESM.

Antes de empezarPara configurar un filtro de dispositivos, compruebe que dispone de permiso para acceder a losdispositivos en el filtro.






4 Haga clic en Agregar y, después, en Filtros de evento.

5 Rellene los campos de filtrado y haga clic en Aceptar.

Opción Definición

Dispositivo Haga clic en el icono de filtrado , seleccione el dispositivo por el que filtrar y haga clicen Aceptar.

IP de destino Escriba una dirección IP de destino individual (161.122.15.13) o un intervalo dedirecciones IP (192.168.0.0/16) por las que filtrar.

Puerto de destino Escriba el puerto de filtrado. Solo se permite uno.

Protocolo Escriba el protocolo de filtrado. Solo se permite uno.

IP de origen Escriba la dirección IP de origen individual o un intervalo de direcciones IP por las quefiltrar.

Tipo de dispositivo Haga clic en el icono de filtrado, seleccione un máximo de 10 tipos de dispositivo y hagaclic en Aceptar.

ID normalizado Seleccione ID normalizados para el filtrado.

Gravedad Para filtrar por la gravedad de un evento, seleccione Mayor o igual que y un valor degravedad entre 0 y 100.

Reenvío de eventos con el formato de eventos estándarEl formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos JavaScript(JSON) que permite representar datos de eventos genéricos. El formato de eventos estándar reenvía eventosdesde un dispositivo McAfee ESM a un receptor de otro McAfee ESM, y desde ESM a un tercero. También puedeusarlo para enviar eventos desde un tercero a un receptor si selecciona SEF como el formato de datos al crearel origen de datos.

Cuando configure el reenvío de eventos con SEF desde un dispositivo McAfee ESM a otro ESM, siga estos pasos:

1 Desde el ESM que reenvíe los eventos, exporte los orígenes de datos, tipos personalizados y reglaspersonalizadas.

2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, tipos personalizados y reglaspersonalizadas exportados.

3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.

4 En el ESM que envía los eventos, agregue el destino de reenvío de eventos de este modo:

• Desde el panel, haga clic en y seleccione Configuración.

• En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

• Haga clic en Reenvío de eventos y, a continuación, en Agregar.

• En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el campoFormato, rellene el resto de los campos con la información correspondiente al ESM destino del reenvío yhaga clic en Aceptar.

Administración de informesLos informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un informepropio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.

Informes predefinidos

Los informes predefinidos se dividen en las siguientes categorías:



• Conformidad • McAfee Database Activity Monitoring (DAM)

• Ejecutivo • McAfee DEM

• McAfee ADM • McAfee Event Reporter

Estos informes generan datos basados en los eventos.

Informes definidos por el usuario

Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección de laorientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden incluircomponentes y configurarlos para que muestren los datos de la forma deseada.

Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un informe, existela opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno existente como plantilla yeditar sus funciones. También es posible eliminar un diseño de informe cuando ya no es necesario.

Establecimiento del mes de inicio para los informes trimestralesSi ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido yalmacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta fecha deinicio.

Procedimiento1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.

2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes.

3 Haga clic en Aplicar para guardar la configuración.

Adición de informesAgregue informes y ejecútelos de forma regular según los intervalos definidos, o bien ejecútelos alseleccionarlos manualmente. Es posible seleccionar un diseño de informe existente o crear uno nuevomediante el editor Diseño de informe.

Procedimiento1 Desde el panel, haga clic en y seleccione Informes.

2 Haga clic en Agregar y defina la configuración en la página Agregar informe.


El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo Condición.

Tabla 7-1 Definiciones de opciones

Opción Definición

Tabla Informes Ver los informes que hay actualmente configurados en el ESM.

Agregar Definir la configuración de un informe nuevo y agregarlo al ESM.

Editar Cambiar la configuración de un informe existente.

Quitar Eliminar un informe existente del ESM.

Ejecutar ahora Ejecutar el informe seleccionado en ese momento.

Compartir Comparta los informes seleccionados con los grupos o usuarios de su elección.

Importar Importar informes que se han exportado previamente.



Tabla 7-1 Definiciones de opciones (continuación)

Opción Definición

Exportar Exportar informes.

Activado Activar el informe seleccionado en la tabla.

Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, no segenerará ningún informe de la lista.

Condiciones Administrar los tipos de condiciones disponibles para los informes.

Destinatarios Administrar los destinatarios definidos en el ESM.

Ver Ver los informes que hay en cola a la espera de ejecución y cancelarlos si procede.

Archivos Administrar los archivos de informes generados.

Tabla 7-2 Definiciones de opciones

Opción Definición

Nombre del informe Escriba un nombre para el informe.

Descripción Escriba una descripción de la información que genera el informe.

Condición Seleccione esta opción si desea que el informe se ejecute desde la lista de opciones. Sidesea agregar una condición a la lista de opciones, haga clic en Editar condiciones.

Zona horaria Seleccione la zona horaria que se debe emplear para ejecutar las consultas.

Formato de fecha Seleccione el formato que se debe usar para la fecha.

Formato Seleccione el formato que desea que tenga el informe generado.• Si está diseñando un informe nuevo, las opciones son PDF o HTML.

• Si desea incluir una vista en el informe, seleccione Ver PDF.

• Si desea generar un archivo CSV con los resultados de la consulta, seleccione Consultaen CSV.

Mensaje de correoelectrónico enviado ausuarios y grupos

Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y, después,haga clic en Agregar destinatario para seleccionarlos. Si el formato del informe es Informe enHTML o Consulta en CSV, indique si desea que el informe se envíe como datos adjuntos enel mensaje de correo electrónico o directamente.

Archivo guardado enel ESM

Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra el prefijopredeterminado para el nombre del archivo, el cual se puede cambiar.Una vez generado el archivo, haga clic en Archivos en la página Informes para ver elinforme.

Archivo guardado enubicación remota

Permite guardar el informe en una ubicación remota. Seleccione la ubicación en la listadesplegable. Si no aparece, haga clic en administrar ubicaciones y agregue el perfil deubicación remota.



Tabla 7-2 Definiciones de opciones (continuación)

Opción Definición

Elija un diseñoexistente o cree unonuevo

Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o cree otronuevo. Es posible administrar los diseños.• Elija un diseño existente: localice el diseño en la lista y haga clic en él.

• Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseño nuevo.

• Editar: realice cambios en un diseño existente.

• Agregar carpeta: permite agregar una carpeta para organizar los diseños. A continuacióncabe la posibilidad de agregar un diseño nuevo a la carpeta, arrastrar y soltar undiseño existente en la carpeta o agregar una subcarpeta.

• Importar: a fin de importar un diseño, haga clic en esta opción y busque el archivo quedesee importar.

Si el diseño que va a importar incluye una imagen que se encuentra actualmente en elESM, se abrirá Importar diseños de informe para informarle del conflicto y ofrecerle lasopciones siguientes:

• Mantener local: mantiene la imagen en el ESM y elimina la imagen del diseño deinforme. Se empleará la imagen del ESM para el diseño.

• Reemplazar local: sustituye la imagen del ESM por la imagen del diseño de informe.Cualquier diseño que utilice la imagen eliminada del ESM pasará a usar la imagenimportada con el diseño.

• Cambiar nombre: cambia el nombre de la imagen del diseño de informeautomáticamente y el diseño se importa mediante la imagen con el nombre nuevo.

• Exportar: haga clic aquí para exportar diseños.

• Incluir resumen de filtro en informe: permite incluir un resumen de los filtros decomponentes globales e individuales definidos para este informe. Los filtrosempleados se indican en la parte inferior del informe. Esto resulta útil si desea conocerlos límites definidos para los datos del informe.

Elija una vista Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir en elinforme en la lista desplegable.

Elija una consultapredefinida

Si ha seleccionado Consulta en CSV, seleccione la consulta predefinida.

Introduzca los valoresa fin de filtrar

Seleccione los filtros que desee aplicar a todos los componentes de este informe (véasePágina Filtros de consulta). Puede utilizar los filtros contains y regex en estos campos(véase Descripción de los filtros contains y regex).

Adición de diseños de informeDefina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades.


2 Haga clic en Informes.

3 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.

4 En la sección 4, seleccione Informe en PDF o Informe en HTML.



5 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.

6 Configure el diseño a fin de mostrar los datos generados por el informe.

El diseño se guarda y se puede utilizar tal cual para otros informes o como una plantilla editable.

Adición de componentes de imagen a informesSeleccione una imagen para agregarla al cuerpo de un informe a modo de componente.

Antes de empezarAsegúrese de que el archivo de imagen ya se haya agregado al ESM o se encuentre en unaubicación accesible desde el ESM.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Informes | Agregar y rellene las

secciones de la 1 a la 4.

2 En la sección 5, haga clic en Agregar para establecer un nuevo diseño de informe o seleccione un diseñoexistente y haga clic en Editar.

3En la página Diseño de informe, arrastre y coloque el icono Imagen en la sección del cuerpo del diseño.

4 En la página Selector de imagen, haga clic en Agregar para cargar una imagen nueva y selecciónela, o bienseleccione una imagen en la lista.

5 Haga clic en Aceptar para agregar la imagen al diseño de informe.

Inclusión de imágenes en PDF e informesEs posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la imagen queaparece en la pantalla Inicio de sesión.

Antes de empezarAgregue la imagen a la página Configuración personalizada.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración

personalizada.

2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos.


Adición de condiciones de informeAgregue condiciones para que estén disponibles a la hora de configurar un informe.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.

2 Haga clic en Condiciones y rellene la información solicitada.




Visualización de los nombres de hosts en un informeEs posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de origen ydestino en los informes.

Procedimiento

1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .

2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones de la 1 ala 4.

3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circulary rellene el Asistente de consultas.

4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP comonombres de host.

Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades delsistema | Hosts).

Descripción de los filtros contains y regexLos filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados como noindizados. Estos filtros tienen requisitos de sintaxis.

Utilice los filtros contains y regex en un campo de texto o cadena. El icono de no distinción entre mayúsculas yminúsculas situado junto a los nombres de campos de filtro indica campos de texto. Otros campos quepermiten el filtro contains no tienen ese icono.

Sintaxis y ejemplos

La sintaxis básica de contains es contains(valor) y la de regex es regex(expresión_regular).

Para que los filtros no distingan entre mayúsculas y minúsculas, haga clic en el icono o incluya la notación deexpresión regular /i, como en este ejemplo: regex(/valor/i). La búsqueda devolverá cualquier valor quecontenga valor, independientemente del uso de mayúsculas y minúsculas.

Los iconos NOT y se aplican a los valores de contains y regex. Para mostrar los resultados de búsqueda sinun valor, escriba el valor y haga clic en el icono . Si desea mostrar los resultados que contienen un valor uotro, introduzca los valores y haga clic en .

Ejemplo 1 - Búsqueda simple

Campos indizados: contains(stra), regex(stra)Campos no indizados: straResultado: Devuelve cualquier cadena con stra (por ejemplo, administrador, gmestrad o straub).

Ejemplo 2 - Búsqueda OR

Campos indizados: contains(admin,NGCP), regex((admin|NGCP))Campos no indizados: admin,NGCPResultado: Devuelve cualquier cadena dentro del campo que contenga admin o NGCP. La

expresión regular OR requiere un conjunto adicional de paréntesis.

7 Uso de eventos de McAfee ESMDescripción de los filtros contains y regex


Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio

Símbolo de dólar:

Campos indizados: contains($), regex(\x24) o regex(\$)Campos no indizados: $Resultado: Ambas instrucciones devuelven cadenas en el campo que contengan $. Consulte

http://www.ascii.cl para ver la lista de valores HEX de los caracteres.

Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de PCRE es unmétodo de búsqueda mejor.

Símbolo de porcentaje:

Campos indizados: contains(%), regex(\x25) o regex(\%)Campos no indizados: %

Barra diagonal inversa:

Campos indizados: contains(\), regex(\x5c) o regex(\\)Campos no indizados: \

Barra diagonal inversa doble

Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\)Campos no indizados: \\

Si no se emplea el valor HEX o la barra en expresiones regulares, puede producirse un error de Expresión regularno válida (ER5-0015).

Ejemplo 4 - Búsqueda mediante el carácter comodín *

Campos indizados: contains (ad*)Campos no indizados: ad*Resultado: Devuelve cualquier cadena que empiece por ad como, por ejemplo, administrador y

adición.

Ejemplo 5 - Búsqueda mediante una expresión regular

Estos dominios corresponden a eventos DNS de Microsoft.

regex(nitroguard\x28[3-4]\x29[com|info}+)(3)www(10)nitroguard(3)com(0)(3)www(10)nitroguard(4)info(0)(3)www(10)nitroguard(3)gov(0)(3)www(10)nitroguard(3)edu(0)

Uso de eventos de McAfee ESMDescripción de los filtros contains y regex 7


http://www.ascii.cl

(3)www(10)nitroguard(7)oddball(0)Resultado: Esta expresión regular busca una cadena concreta. En este caso, se trata de nitroguard,

un dominio principal de tres o cuatro dígitos y com o info. Esta expresión regularcoincide con las primeras dos expresiones, pero no con las demás. Estos ejemplos seemplean para mostrar cómo utilizar expresiones regulares con esta función.

Advertencias

• Para evitar una mayor sobrecarga y no ralentizar la consulta, use regex con valores de más de trescaracteres.

• Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se puedeutilizar en reglas de correlación con tipos personalizados de nombre/valor.

• El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más lentoen las consultas.

Descripción del filtro Bloom

Para obtener información acerca de un filtro de Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.

Campos que admiten contains y regex

Access_Resource File_Operation_Succeeded Sitio de referencia

Aplicación Ruta de archivo Clave de registro

Application_Protocol File_Type Valor de registro

Área Filename Request_Type

Authoritative_Answer Estado de reenvío Response_Code

CCO De Return_Code

Proceso del llamador From_Address RTMP_Application

Catalog_Name FTP_Command Sensor_Name

Categoría Host Sensor_Type

Cc HTTP_Req_Cookie Sensor_UUID

Client_Version HTTP_Req_Host Estado de sesión

Comando HTTP_Req_Method ID de firma

Contact_Name HTTP_Req_Referer Signature_Name

Contact_Nickname HTTP_Req_URL SNMP_Error_Code

Cookie HTTP_User_Agent SNMP_Item

Creator_Name Incoming_ID SNMP_Item_Type

Database_ID Interfaz SNMP_Operation

Database_Name Dest. de interfaz SNMP_Version

ID de centro de datos Job_Name Usuario de origen

Nombre de centro de datos Job_Type Source_Context

DB2_Plan_Name Idioma ID de inicio de sesión de origen

Delivery_ID Local_User_Name Source_Network

Descripción Logical_Unit_Name Source_UserID

Usuario de destino Tipo de inicio de sesión Source_Zone

Directorio de destino LPAR_DB2_Subsystem Comando SQL

7 Uso de eventos de McAfee ESMDescripción de los filtros contains y regex


http://en.wikipedia.org/wiki/Bloom_filter

Destination_Filename Mail_ID SQL_Statement

Destination_Hostname Buzón de correo Step_Count

ID de inicio de sesión de destino Mainframe_Job_Name Step_Name

Destination_Network Malware_Insp_Action Asunto

Destination_UserID Malware_Insp_Result SWF_URL

Destination_Zone Servidor de administración Table_Name

Método de detección Message_ID Target_Class

Acción de dispositivo Message_Text Target_Context

Dirección Método Nombre de proceso de destino

Directorio NTP_Client_Mode TC_URL

DNS_Class NTP_Opcode Categoría de amenaza

DNS_Name NTP_Request Amenaza gestionada

DNS_Type NTP_Server_Mode Threat_Name

Dominio Objeto To

Event_Class Object_Type To_Address

External_Application Sistema operativo URL

External_DB2_Server Policy_Name Categoría de URL

External_Hostname Privileged_User User_Agent

ID de sesión externo Process_Name User_Nickname

Función Query_Response Versión

File_Operation Motivo ID de máquina virtual

Nombre de máquina virtual

Los siguientes tipos personalizados pueden utilizar contains y regex:

Vistas• Cadena

• Cadena aleatoria

• Nombre/valor

• Cadena con hash

Administración de casos• Notas

• Resumen

• Historial

Tipos personalizadosUse los campos Tipo personalizado para filtrar vistas e informes, y crear reglas personalizadas. Puede agregar,editar, eliminar, exportar e importar tipos personalizados.

Exportación o importación de tipos personalizados

Puede exportar tipos personalizados a una ubicación específica. Tenga cuidado al importar tipospersonalizados, ya que sustituyen a los tipos personalizados actuales en el sistema.

Uso de eventos de McAfee ESMTipos personalizados 7


Consultas personalizadas

Cuando configure consultas para una vista, puede utilizar tipos personalizados predefinidos para filtrar lasconsultas. Si no hay datos para un tipo personalizado concreto, la consulta no devuelve ningún resultado. Paraevitar esta situación, seleccione el campo de usuario (campos personalizados del 1 al 10 en la columna Campo deevento de la tabla) que devuelva los resultados necesarios en lugar del tipo personalizado.

Por ejemplo, para incluir datos del usuario de origen en los resultados de la consulta, seleccione Usuario de origencomo un campo de consulta. Este campo actúa como un filtro y, si la información no contiene datos de usuariode origen, la consulta no devuelve ningún resultado. Ahora bien, si selecciona el campo de usuario 7 (el campodel usuario de origen), ese campo aparece como una columna en la tabla de resultados y no filtra los datos. Siexisten datos del usuario de origen, aparecerán en esta columna. En caso de no existir datos para este campo,la columna correspondiente al campo de usuario 7 estará vacía, pero otras columnas mostrarán datos.

Tipo de datos personalizados

Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cada campo enun registro de varios campos.

Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipo personalizado permiteespecificar de qué tipo es cada uno de los campos (entero, decimal o booleano). Por ejemplo:

• Registro inicial: 100300.351

• Tres subtipos: Integer|decimal|boolean

• Subtipo personalizado: 100|300.35|1

Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra el número debytes y bits utilizado. Cuando los datos superan el espacio máximo, este campo indica mediante texto de colorrojo que el espacio se ha superado (por ejemplo: Uso del espacio: 9 de 8 bytes, 72 de 64 bits).

Tipos personalizados de nombre/valor

Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya un grupoespecificado de pares de nombre/valor. Puede filtrar las vistas y las consultas por estos pares con nombre, asícomo utilizarlos en alarmas de Coincidencia de evento interno.

Entre estas características se incluyen:

• Uso de expresiones regulares para filtrar campos de grupo de nombre/valor.

• Se pueden correlacionar pares para permitir su selección en el Editor de reglas de correlación.

• El analizador de syslog avanzado (ASP) recopila la parte de los valores del par.

• El tamaño máximo de los tipos personalizados de nombre/valor es de 512 caracteres, incluidos losnombres. Los valores superiores a 512 caracteres se cortan durante la recopilación. Limite el tamaño y elnúmero de los nombres.

• Los nombres deben constar de más de dos caracteres.

• Los tipos personalizados de nombre/valor pueden tener hasta 50 nombres.

• Cada nombre en el grupo de nombre/valor aparece en el filtro global como

<nombre del grupo> - <nombre>

Formato de expresión regular para tipos personalizados no indizados

Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoria y cadenacon hash:

7 Uso de eventos de McAfee ESMTipos personalizados


• Use la sintaxis contains(<expresión regular>), o escriba un valor en los campos de cadena aleatoriano indizada o cadena con hash y filtre los tipos personalizados.

• Use la sintaxis regex().

• Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado no indizado(Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y el asterisco o el punto y elasterisco actúan como una pleca (|) en un campo de cadena con hash, cadena aleatoria no indizada ocontains. Si escribe un carácter como un asterisco (*), se sustituye por un punto seguido por el asterisco (.*).

• Una expresión regular no válida o la ausencia de un paréntesis de apertura o cierre pueden provocarerrores por expresiones regulares incorrectas.

• Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado de lascadenas con hash y las cadenas aleatorias indizadas o no indizadas.

• El campo de ID de firma acepta contains(<en una parte o todo un mensaje de regla>) yregex(<en una parte de un mensaje de regla>).

• Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después.

Los filtros de búsqueda incluyen:

• Valores únicos

• Varios valores separados por comas que se convierten en una expresión regular

• Una sentencia contains con un * que actúa como .*

• Expresiones regulares avanzadas donde se emplea la sintaxis regex()

Creación de tipos personalizadosAgregue tipos personalizados para usarlos como filtros.


Si tiene privilegios de administrador, puede ver los tipos personalizados predefinidos en McAfeeESM (Propiedades del sistema | Tipos personalizados).



3 Haga clic en Tipos personalizados.


Uso de eventos de McAfee ESMTipos personalizados 7


Opción Definición

Nombre Escriba un nombre para este tipo personalizado.

Tipo de datos Seleccione un tipo de datos en la lista desplegable.• Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos.

• Tiempo - Precisión de nanosegundos almacena datos temporales con una precisión denanosegundos. Incluye un número de coma flotante con nueve valores de precisión querepresentan los nanosegundos.

• Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo defiltro en las consultas, las vistas y los filtros. No aparece en los componentes dedistribución y no está disponible en el enriquecimiento de datos, las listas de vigilanciani las alarmas.

Campo deeventos o Campode flujos

Seleccione la instancia del tipo personalizado para cada evento o flujo.

Indizar datos Para filtrar por este tipo personalizado, seleccione Indizar datos para agregar el tipopersonalizado a la lista de filtros disponibles para vistas, informes y reglas. El tipopersonalizado no aparece en los componentes de distribución y no está disponible en elenriquecimiento de datos, las listas de vigilancia ni las alarmas.Si no selecciona esta opción, solo podrá filtrar este tipo personalizado mediante unaexpresión regular.

Descripción Escriba una descripción para este tipo personalizado.

Especifique elnúmero desubtipos

Si ha seleccionado Largo personalizado o Abreviado personalizado en el campo Tipo de datos,puede agregar subtipos personalizados.

• Número de subtipos: seleccione el número de subtipos que desee agregar a la tabla.

• Columna Nombre: haga clic en cada uno de los subtipos y escriba un nombre.

• Columna Tipo de datos: haga clic en cada uno de los subtipos y seleccione el tipo de datospara cada subtipo.

Si selecciona Booleano, la validación garantiza que aparezcan en grupos de 8 subtipos.

• Columna Longitud: si ha seleccionado Entero o Entero no firmado en la columna Tipo de datos,seleccione la longitud de los datos en bytes. La longitud de un entero debe ser 1, 2, 4 u8.

• Administrar indización: si ha seleccionado Valor acumulativo en el campo Tipo de datos, hagaclic para activar índices de cada campo acumulativo.

Lista Nombre Si selecciona el tipo de datos Grupo de nombre/valor, agregue los nombres de los pares devalores en el campo de texto.


Búsquedas de McAfee® Active ResponseMcAfee Active Response ofrece visibilidad y datos continuos sobre sus endpoints para que pueda identificar lasinfracciones a medida que se producen. Ayuda a los profesionales de seguridad a consultar la postura deseguridad actual, mejorar la detección de amenazas y realizar análisis detallados e investigaciones forenses.

Si Active Response se instala como una extensión en un dispositivo McAfee ePO que se ha agregado al ESM, esposible realizar una búsqueda en Active Response desde el ESM. La búsqueda genera una lista de datos de losendpoints presentes que permite hacer lo siguiente:

7 Uso de eventos de McAfee ESMBúsquedas de McAfee® Active Response


• ver la lista de resultados de la búsqueda;

• crear una lista de vigilancia con los resultados de la búsqueda;

• anexar los datos de la búsqueda de Active Response a una lista de vigilancia existente;

• agregar un origen de enriquecimiento de datos con los datos de la búsqueda;

• exportar los datos de la búsqueda.

Las búsquedas se envían por DXL, de modo que esta opción debe estar activada en la página Conectar de laspropiedades de McAfee ePO.

Recuerde esto cuando utilice Active Response en el ESM:

• Los receptores de disponibilidad alta (HA) no son compatibles con DXL.

• Las fechas de una búsqueda tienen el formato 2018-11-05T23:10:14.263Z y no se convierten al formatode fecha de McAfee ESM.

• Cuando se anexan datos de Active Response a una lista de vigilancia, los datos no se validan, lo que implicaque se podrían agregar datos a una lista de vigilancia que no coincidan con su tipo.

Ejecución de búsquedas de McAfee Active ResponseUse McAfee Active Response para buscar datos de endpoint actuales que cumplan los criterios de búsqueda.

Antes de empezarAgregue el dispositivo McAfee ePO con McAfee Active Response a McAfee ESM.

Procedimiento1 Configure el dispositivo McAfee ePO para la búsqueda.

a En la consola de ESM, haga clic en Propiedades de McAfee ePO y seleccione Conexión.

b Seleccione Activar DXL y especifique un Puerto de activación del agente (el predeterminado es el 8081).

2 En la consola de ESM, seleccione una vista con un componente de Tabla, como, por ejemplo, Análisis deeventos.

Uso de eventos de McAfee ESMBúsquedas de McAfee® Active Response 7


3Haga clic en un evento y, a continuación, en el icono Menú .

4 Seleccione Acciones | Ejecutar búsqueda de Active Response y, a continuación, seleccione un tipo de búsquedapredefinida.


Información de archivo completa deun nombre, MD5 o SHA-1

Muestra los detalles de archivo correspondientes a la dirección IPde origen y destino, tales como el SO y el nombre.

Búsqueda de detalles de usuario Muestra los detalles sobre el usuario.

Información de proceso de direcciónIP de origen y hora

Muestra los detalles de proceso de la dirección IP de origen parala que se estableció la conexión.

Información de proceso de direcciónIP de destino y hora

Muestra los detalles de proceso de la dirección IP de destino parala que se estableció la conexión.

CurrentFlow para dirección IP Muestra a cualquiera que esté conectado a la misma dirección IPde origen o destino.

Los tipos de búsqueda aparecen atenuados si la tabla no contiene los campos apropiados para la búsqueda.

Visualización de los resultados de búsqueda de McAfee Active ResponseTras llevar a cabo una búsqueda de McAfee Active Response, hay acciones que puede realizar para administrarlos datos generados.

Procedimiento1 Ejecute una búsqueda de McAfee Active Response.

2Seleccione una fila en los resultados y haga clic en el icono Menú .

Opción Acción Definición

Tabla Muestra los resultados de la búsqueda de McAfee Active Response.

Icono Menú Crear nueva lista devigilancia desde

Crea una nueva lista de vigilancia estática de los valores de la columnaque seleccione. Puede seleccionar varias filas.

Anexar a lista devigilancia desde

Anexa los valores a una lista de vigilancia existente a partir de lacolumna seleccionada. Puede seleccionar varias filas.

No se lleva a cabo validación alguna en los datos seleccionados en estatabla.

Exportar Permite exportar los datos a un archivo .csv.

Búsqueda de ActiveResponse

Se lleva a cabo otra búsqueda de McAfee Active Response en la filaseleccionada en la tabla. Si se devuelven resultados, los datos nuevossustituyen los datos presentes.

Adición de orígenes de enriquecimiento de datos de McAfee ActiveResponsePuede agregar orígenes de enriquecimiento de datos a McAfee ESM, que se rellenan con resultados debúsqueda de McAfee Active Response.

Antes de empezarAgregue un dispositivo McAfee ePO con McAfee Active Response a McAfee ESM.






4 Rellene la información solicitada en la ficha Principal.

5 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.

6 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.

El origen se agregará y los datos especificados se enriquecerán con los datos de McAfee Active Response.

El tipo McAfee Active Response no aparecerá si McAfee ESM no puede extraer los recopiladores de McAfee ActiveResponse mediante DXL.

Uso de eventos de McAfee ESMBúsquedas de McAfee® Active Response 7


8 Uso de McAfee ESM Asset Manager

Contenido Funcionamiento de Asset Manager Administración de activos Definición de activos antiguos Administración de orígenes de activos Administración de orígenes de evaluación de vulnerabilidades Administración de zonas Administración de amenazas conocidas Evaluación de activos, amenazas y riesgo

Funcionamiento de Asset ManagerAsset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importar activos.

Un activo es cualquier dispositivo con una dirección IP agregada en McAfee ESM. Asset Manager le permiteadministrar los activos de la red.

Puede crear un grupo con uno o varios activos. Puede llevar a cabo las siguientes operaciones en el grupo alcompleto:

• Cambiar los atributos de todos los activos del grupo.

Este cambio no es persistente. Si se agrega un activo a un grupo modificado, el activo no heredaráautomáticamente la configuración anterior.

• Realizar operaciones de arrastrar y colocar.

• Cambiar el nombre de los grupos.

Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante el etiquetado.Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de las instalaciones. El activoconsta de una dirección IP y un conjunto de etiquetas. Las etiquetas describen el sistema operativo que ejecutael activo y un conjunto de servicios de los que es responsable el activo.

Las etiquetas de activos se definen de dos formas:

• Cuando el sistema recupera un activo.

• Cuando el usuario agrega o edita un activo.

Si el sistema define las etiquetas, se actualizan cada vez que se recupera el activo, en caso de haber cambiado.Si las define el usuario, el sistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayancambiado. Si agrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando serecupere el activo, haga clic en Restablecer. Es necesario llevar a cabo esta acción cada vez que se realicencambios en la configuración de las etiquetas.

8


La administración de la configuración forma parte de las normativas de conformidad estándar, tales como PCI,HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de los enrutadores yconmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función de administración deconfiguraciones permite hacer lo siguiente:

• Establecer la frecuencia con la que deben sondearse los dispositivos.

• Seleccionar los dispositivos descubiertos en los que comprobar la configuración.

• Identificar un archivo de configuración recuperado como predeterminado para el dispositivo.

• Ver los datos de configuración, descargar los datos a un archivo y comparar la información de configuraciónde ambos dispositivos.

Administración de activosUn activo es cualquier dispositivo de la red que disponga de una dirección IP. Puede crear activos, modificar susetiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. Losactivos descubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también sepueden manipular.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de acceso conpermiso para administrar dispositivos.

Procedimiento1 Desde el panel, haga clic en y seleccione Administrador de activos.

2 Seleccione la ficha Activo.

Se muestra una lista de activos.

3 Para ordenar la lista, haga clic en los encabezados de columna.

4Para ver los detalles de un activo, seleccione el activo y haga clic en el icono de activos .

5 Para asignar un activo a un grupo, arrástrelo y suéltelo desde el panel Activos a un grupo de activos.

6 Configure los activos.

Tabla 8-1 Opciones del menú principal

Opción Definición

Nuevo | Grupo Agregue un grupo de activos. Escriba un nombre para el grupo y seleccione sucriticidad.

Nuevo | Activo Agregue un activo.

Nuevo | Grupo de filtrado deactivos

Agregue un grupo de filtrado de activos. Esta opción solo está disponible si setrata del primer elemento que se agrega al árbol de activos, o si se resalta ungrupo existente.

8 Uso de McAfee ESM Asset ManagerAdministración de activos


Tabla 8-1 Opciones del menú principal (continuación)

Opción Definición

Archivo | Importar desdearchivo

Permite importar un archivo .csv a la ubicación seleccionada en la lista deactivos.El formato de los datos de activos en el archivo .csv debe ser el siguiente:

Hostname, IPAddress, Mask, ZoneName, UsrSeverity,UseCalcSeverity, TagCount, TagGroupName:TagNameAgregue TagGroupName:TagName por cada etiqueta que tenga (TagCount).Cada activo debe encontrarse en su propia línea.

Archivo | Exportar a archivo Exporte los archivos de activos seleccionados.

Editar | Modificar Cambie el activo o el grupo de activos seleccionados.

Editar | Usar en cálculo deriesgo o Ignorar en cálculo deriesgo

Establece si se utilizará el activo a la hora de calcular el riesgo general de laempresa. Usar en cálculo de riesgo es la opción predeterminada.

Editar | Eliminar Elimina el grupo o activo seleccionado. Si selecciona un grupo, se le preguntarási desea eliminar el grupo y los activos contenidos en él o únicamente el grupo.Si elige solo el grupo, los activos se reasignarán a la carpeta Sin asignar.

Herramientas | Crear servidor debase de datos de DEM

Seleccione un activo y agréguelo como servidor de base de datos a undispositivo DEM del sistema.

Herramientas | Crear origen dedatos de receptor

Seleccione un activo y agréguelo como origen de datos a un receptor delsistema.

Etiquetado Agregue etiquetas al activo seleccionado para definir sus atributos y que actúencomo filtros.

Tabla 8-2 Creación de un nuevo activo

Opción Definición

Dirección IP La dirección IP del activo.

Dirección MAC (Opcional) Escriba la dirección MAC del activo.

GUID (Opcional) El identificador único global de este activo.

Sistema operativo (Opcional) El sistema operativo del activo.

Zona La zona de este activo.

Si hay una zona asignada a un activo o grupo de activos, los usuarios sin permisopara esa zona no tendrán acceso a los activos.

Criticidad Seleccione la criticidad del activo para la empresa: 1 = criticidad más baja, 100 =criticidad más alta. La criticidad y la gravedad de una amenaza se emplean paracalcular la gravedad global del evento para la empresa.

Tabla de etiquetas Etiquetas para este activo.

Nueva categoría de etiqueta Agrega una categoría nueva a la lista de etiquetas. Escriba un nombre para lacategoría e indique si desea que se use esta categoría en el cálculo de gravedad delos eventos.

Nueva etiqueta Permite agregar una nueva etiqueta. Escriba un nombre para la etiqueta e indiquesi desea que se use esta etiqueta en el cálculo de gravedad de los eventos.

Editar etiqueta Abre la etiqueta seleccionada para editarla.

Quitar etiqueta Elimina la etiqueta seleccionada.

Uso de McAfee ESM Asset ManagerAdministración de activos 8


Tabla 8-3 Configuración avanzada del nuevo activo

Opción Definición

Usar la criticidad de esteactivo

Seleccione esta opción si desea que la criticidad asignada al activo se utilicesiempre para calcular la gravedad del evento.

Usar la criticidad globalcalculada

Seleccione esta opción si desea que siempre se use el valor de criticidad más altoal calcular la gravedad del evento.

Si selecciona esta opción y cambia la tasa en el campo Criticidad, se activarán losbotones Calcular y Grupos.

Calcular Calcula la gravedad total, que se agrega al campo Calcular.

Grupos Vea una lista de los grupos a los que pertenece este activo y la criticidad de cadagrupo.

Restablecer El sistema establece automáticamente las etiquetas del activo.

Tabla 8-4 Creación de un nuevo grupo de filtrado de activos

Opción Definición

Nombre El nombre para el grupo de filtrado de activos.

Dirección/máscara IP La dirección IP o máscara del grupo.

Zona Asigna el grupo a una zona. Si no aparece la zona que desea, haga clic en Zona yagréguela.

Criticidad Seleccione el nivel de criticidad de este grupo. Esto determina la criticidad quetiene el activo en su caso.

Lista de etiquetas Las etiquetas que se aplican como filtros a este grupo. Puede definir un grupo defiltrado en función de la existencia de una o varias etiquetas de activos. Lasetiquetas establecidas no definen el conjunto exclusivo de etiquetas que un activodebe tener. El activo puede tener otras etiquetas y seguir siendo miembro delgrupo de filtrado.

Nueva categoría de etiqueta Agrega una categoría a la lista de etiquetas. Escriba un nombre para la categoría eindique si desea que se use esta categoría en el cálculo de gravedad de los eventos.

Nueva etiqueta Agrega una etiqueta. Escriba un nombre para la etiqueta e indique si desea que seuse esta etiqueta en el cálculo de gravedad de los eventos.

Editar etiqueta Permite editar la etiqueta seleccionada.

Quitar etiqueta Elimina la etiqueta seleccionada.

Definición de activos antiguosEl grupo Activos antiguos de Asset Manager permite almacenar activos que no se han detectado en el periodo detiempo definido.

Procedimiento1

Haga clic en el icono de inicio rápido de Asset Manager .

2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos.

3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse a lacarpeta Activos antiguos y, después, haga clic en Aceptar.

8 Uso de McAfee ESM Asset ManagerDefinición de activos antiguos


Administración de orígenes de activosRecupere datos de Active Directory o, en caso de existir, de un servidor Altiris a través de Orígenes de activos. ActiveDirectory permite filtrar los datos de eventos seleccionando los usuarios o grupos recuperados en los camposde filtrado de consultas de vista Usuario de origen o Usuario de destino, lo cual mejora su capacidad para alcanzar laconformidad de los datos con requisitos como PCI. Altiris y Active Directory recuperan activos (por ejemplo,equipos con direcciones IP) y los agregan a la tabla de activos. Active Directory no suele almacenar informaciónsobre direcciones IP. El sistema emplea DNS para consultar la dirección una vez que obtiene el nombre deActive Directory. Si no puede encontrar la dirección del equipo, no se agrega a la tabla Activos. Por este motivo,el servidor DNS del sistema debe contener la información de DNS correspondiente a los equipos de ActiveDirectory. Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributonetworkAddress de los objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar derealizar una consulta DNS.

Antes de empezarCon el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager enla consola de administración de Altiris.

Procedimiento1

Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos.

El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes de activosactuales.

Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios.

2 Seleccione un dispositivo y, a continuación, seleccione alguna de las acciones disponibles.

Opción Definición

Activado Seleccione esta opción si desea activar la recuperación automática. Si no la selecciona,podrá recuperar los datos manualmente haciendo clic en Recuperar en la página Orígenesde activos. Si la selecciona, los datos se recuperarán según el intervalo especificado en elcampo Recuperar datos.

Tipo Seleccione esta opción si se trata de un origen de activos de Active Directory o Altiris.

Nombre Introduzca un nombre para el origen de activos.

Zona Si desea asignar un origen de datos a una zona, selecciónela.

Prioridad Seleccione la prioridad que desee que tenga este origen de activos si descubre unactivo al mismo tiempo que Evaluación de vulnerabilidades o Descubrimiento de red.

Dirección IP Escriba la dirección IP de este origen de activos.

Puerto Seleccione el puerto de este origen de activos.

Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para los datos.Active Directory emplea TLS, mientras que Altiris usa SSL.

Nombre de usuario Escriba el nombre de usuario necesario para acceder al origen de activos.

Contraseña Escriba la contraseña necesaria para acceder al origen de activos.

Base de búsqueda En el caso de Active Directory, escriba el nombre distintivo del objeto donde desee queempiece la búsqueda de activos (dc=mcafee,dc=com).

Información de proxy En el caso de Altiris, escriba la dirección IP, el puerto de escucha, el nombre del usuariode proxy y la contraseña del servidor proxy.

Recuperar datos Si desea que los datos se recuperen automáticamente, seleccione la frecuencia.

Conectar Haga clic para probar la conexión con el servidor de Altiris.

Uso de McAfee ESM Asset ManagerAdministración de orígenes de activos 8


Administración de orígenes de evaluación de vulnerabilidadesLos orígenes de evaluación de vulnerabilidades permiten la comunicación con proveedores de evaluación devulnerabilidades y la recuperación de sus datos.

Procedimiento1 Desde el panel, haga clic en y seleccione Asset Manager.

2 Seleccione la ficha Evaluación de vulnerabilidades.

3 Agregue, edite, elimine o recupere orígenes de evaluación de vulnerabilidades, y escríbalos en el dispositivo.

Opción Definición

ID de cliente Escriba el número de ID de cliente de Frontline. Este campo es necesario paraDigital Defense Frontline.

Nombre de la empresa En FusionVM, el nombre de la empresa que se debe analizar. Si este campo se dejaen blanco, se analizarán todas las empresas a las que pertenezca el usuario. Siintroduce más de una empresa, separe sus nombres con una coma.

Recuperación de datos (Qualys QualysGuard) Seleccione el método de recuperación de los datos deevaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Las otrasopciones son SCP, FTP, NFS, CIFS y Carga manual.

Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite detamaño de 2 GB.

Dominio Escriba el dominio del equipo Windows (opcional, a menos que el controlador dedominio o el servidor estén dentro de un dominio).

Directorio de archivo deanálisis exportado

El directorio donde se encuentran los archivos de análisis exportados.

Formato de archivo deanálisis exportado

El formato del archivo de análisis exportado (XML o NBE).

Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalación paraun appliance analizador Saint es /usr/local/sm/.

Dirección IP • eEye REM: la dirección IP del servidor eEye que envía información sobrecapturas.

• eEye Retina: la dirección IP del cliente que alberga los archivos de análisisexportados (.rtd).

• McAfee® Vulnerability Manager: la dirección IP del servidor donde se encuentrainstalado.

• Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP del clienteque alberga los archivos de análisis exportados.

• NGS: la dirección IP del sistema que almacena los informes de Squirrel.

• Rapid7, Lumension, nCircle y Saint: la dirección IP del servidor correspondiente.

Directorio de montaje Si selecciona NFS en el campo Método, se agregan los campos de Directorio de montaje.Indique el directorio de montaje establecido al configurar NFS.

Método El método empleado para recuperar los archivos de análisis exportados (montajede SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.

8 Uso de McAfee ESM Asset ManagerAdministración de orígenes de evaluación de vulnerabilidades


Opción Definición

Contraseña • McAfee® Vulnerability Manager: si emplea el modo de autenticación de Windowspara SQL Server, la contraseña del equipo Windows. De lo contrario, lacontraseña correspondiente a SQL Server.

• Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseña de SCP o FTP.

• NGS: la contraseña de los métodos SCP y FTP.

• Qualys y FusionVM: la contraseña para el nombre de usuario de Qualys FrontOffice o FusionVM.

• Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que usar al conectarcon el servidor web.

• Digital Defense Frontline: la contraseña de la interfaz web.

Puerto El puerto de escucha de Rapid7 Nexpose, Lumension, nCircle, McAfee® VulnerabilityManager o el servidor web de Saint. El valor predeterminado para Rapid7 Nexposees 3780, para Lumension es 205, para nCircle es 443, para McAfee® VulnerabilityManager es 1433 y para Saint es 22.

Nombre de proyecto/espacio de trabajo

Nombre de un proyecto o espacio de trabajo concretos. Deje el campo en blancopara incluir todos los proyectos o espacios de trabajo.

Dirección IP de proxy La dirección IP del proxy de HTTP.

Contraseña del proxy La contraseña correspondiente al nombre de usuario del proxy.

Puerto del proxy El puerto de escucha del proxy HTTP.

Nombre de usuario delproxy

Un nombre de usuario para el proxy.

URL del servidor Qualyso FusionVM

La URL del servidor Qualys o FusionVM al que enviar la consulta.

Ruta remota y nombre derecurso compartido

Método CIFS de Nessus, OpenVAS, eEye Retina, Metasploit Pro, LanGuard y NGS.

Puede usar barras diagonales o barras diagonales invertidas en la ruta (porejemplo, Archivos de programa\CIFS\va o /Archivos de programa/CIFS/va).

Programar recuperaciónde datos del receptor oProgramar recuperaciónde datos de DEM

Indique la frecuencia con la que desea que los datos de evaluación devulnerabilidades se recuperen del receptor o el DEM:• Cada día: hora a la que recuperar datos cada día.

• Cada semana: día de la semana y hora del día para recuperar los datos.

• Cada mes: día del mes y hora del día para recuperar los datos.

Si no desea que se recuperen los datos a una hora predefinida, seleccioneDesactivado.

eEye REM no admite la recuperación de datos desde el origen, por lo que los datosse deben recuperar desde el receptor o el DEM.

Programar recuperaciónde datos de evaluaciónde vulnerabilidades

Indique la frecuencia con la que desea que los datos de evaluación devulnerabilidades se recuperen del origen de evaluación de vulnerabilidades.

Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones,indique Todo.

Contraseña deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Escriba la contraseña para el protocolo de autenticación seleccionadoen el campo Protocolo de autenticación SNMP.

Uso de McAfee ESM Asset ManagerAdministración de orígenes de evaluación de vulnerabilidades 8


Opción Definición

Protocolo deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1 (SHA1 ySHA hacen referencia al mismo tipo de protocolo). Asegúrese de que laconfiguración de REM Events Server coincida con su selección.

Comunidad SNMP La comunidad SNMP establecida al configurar REM Events Server.

Contraseña de privacidadSNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo.Escriba la contraseña para el protocolo de privacidad DES o AES. En el modo FIPS,la única opción disponible es AES.

Protocolo de privacidadSNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo ypodrá seleccionar DES o AES. En el modo FIPS, la única opción disponible es AES.

Nivel de seguridad SNMP El nivel de seguridad que desee establecer para este origen.




Los campos de autenticación y privacidad correspondientes a SNMP se activaránen función del nivel de seguridad seleccionado. Asegúrese de que la configuraciónde REM Events Server coincida con su selección.

Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server.

Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP se activansegún la versión seleccionada.

ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso deemplear un perfil SNMPv3.

Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio de instalaciónde Saint.

Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera para unorigen o proporcionar un valor de tiempo de espera concreto. Esto resulta útil siexiste una gran cantidad de datos de evaluación de vulnerabilidades de unproveedor y la configuración de tiempo de espera predeterminada no permiterecuperar todos los datos o ninguno. Es posible aumentar el valor de tiempo deespera a fin de que exista más tiempo para la recuperación de datos de evaluaciónde vulnerabilidades. Si proporciona un valor, se utilizará para todas lascomunicaciones.

Token (Opcional) Token de autenticación que se puede establecer en la configuraciónglobal de Metasploit.

URL Escriba la URL del servidor de Digital Defense Frontline.

Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto delproxy, Nombre de usuario del proxy y Contraseña del proxy.

Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. Seleccione cuándousar el modo pasivo.

Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación de Saint ydesea utilizar este acceso.

Usar perfil del sistema(eEye REM)

Indique si desea utilizar un perfil previamente definido. Si selecciona esta opción,se desactivarán todos los campos de SNMP. Al seleccionar uno de los perfiles desistema existentes, los campos se rellenan con la información del perfil elegido.

8 Uso de McAfee ESM Asset ManagerAdministración de orígenes de evaluación de vulnerabilidades


Opción Definición

Nombre de usuario Escriba el nombre de usuario de McAfee® Vulnerability Manager. Si utiliza el modode autenticación de Windows para SQL Server, introduzca el nombre de usuario delequipo Windows. De lo contrario, se trata del nombre de usuario de SQL Server.

• Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuariocorrespondiente a SCP o FTP.

• NGS: el nombre de usuario para los métodos SCP y FTP.

• Qualys o FusionVM: el nombre de usuario de Front Office o FusionVM destinadoa la autenticación.

• Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuario que se debeusar al conectar con el servidor web.

• Digital Defense Frontline: el nombre de usuario de la interfaz web.

Nombre de origen deevaluación devulnerabilidades

Escriba el nombre de este origen.

Expresión comodín Una expresión comodín utilizada para describir el nombre de los archivos deanálisis exportados. La expresión comodín puede incluir un asterisco (*) o un signode interrogación (?) con la definición estándar de "carácter comodín" en un nombrede archivo.

Si tiene archivos tanto NBE como XML, deberá especificar si desea archivos NBE oXML en este campo (por ejemplo, *.NBE o *.XML). Si solo emplea un asterisco (*),se producirá un error.

Administración de zonasUse Zonas para organizar los dispositivos y los eventos que estos generan en grupos basados en la ubicacióngeográfica y la dirección IP.

Por ejemplo, si dispone de oficinas en Madrid y Barcelona y desea agrupar los eventos generados por ambasoficinas, agregue dos zonas. A continuación, asigne los dispositivos cuyos eventos desee agrupar a cada una delas zonas. Para agrupar los eventos de cada oficina según direcciones IP específicas, agregue subzonas a cadauna de las zonas.

Administración de las zonasLas zonas categorizan sus dispositivos y orígenes de datos por geolocalización o ASN. Agregue zonasindividualmente o importando un archivo exportado desde otro sistema. A continuación, asigne los dispositivoso los orígenes de datos a las zonas.


2 Seleccione la ficha Administración de zonas.

3 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte la configuraciónde zonas.

4 Despliegue los cambios y haga clic en Aceptar

Uso de McAfee ESM Asset ManagerAdministración de zonas 8


Adición de zonasAgregue zonas de forma individual mediante la función Agregar zona o importe un archivo exportado desde otrosistema.



3 Haga clic en Agregar zona.

4 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar.

Opción Definición

Nombre Escriba un nombre para esta zona.

Usar como asignación dezona predeterminada

Seleccione esta opción si desea que esta asignación de zona sea lapredeterminada para los eventos generados por los dispositivos asignados a estazona que no pertenezcan a ninguna de sus subzonas.

Geolocalización Si desea usar la geolocalización para definir los límites de esta zona, haga clic enel icono Filtro y, después, seleccione la ubicación que desee incluir en esta zona.

ASN Para definir los límites de esta zona mediante el ASN, que identifica de formaexclusiva cada red de Internet, introduzca los números en este campo.

Dispositivos asignados Seleccione los dispositivos que desee asignar a esta zona.

5 Para agregar subzonas a una zona, seleccione la zona pertinente y haga clic en Agregar subzona. Introduzcalos detalles de la subzona, como el nombre, la descripción, el intervalo de direcciones IP, y la geolocalizacióno la información de ASN.

Exportación de la configuración de zonasExporte la configuración de zona de un ESM e impórtela a otro ESM.



3 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar:

• Archivo de definición de exportación de zona: incluye la configuración de zonas y sus correspondientessubzonas

• Archivo de asignación de exportación de dispositivo a zona: incluye dispositivos y las zonas asignadas a estosdispositivos

4 Haga clic en Aceptar y seleccione el archivo que descargar.

Importación de la configuración de zonasImporte la configuración de zonas de un archivo tal cual está o edite los datos antes de importarlos.

Antes de empezarExporte un archivo de configuración de zonas de un ESM para poder importarlo a otro ESM.

8 Uso de McAfee ESM Asset ManagerAdministración de zonas


Procedimiento1 Abra el archivo de configuración de zonas que desee importar.

• Un archivo de definición de zonas de importación contiene ocho columnas: Comando, Nombre de zona,Nombre de principal, Geolocalización, ASN, Predeterminado, IP de inicio e IP final.

• Un archivo de asignación de importación de dispositivo a zona contiene tres columnas: Comando,Nombre de dispositivo y Nombre de zona.

2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cada líneacuando se importe.

• add (agregar): importar los datos de la línea tal cual están.

• edit (editar): importa los datos con los cambios aplicados (solo disponible para el archivo de definiciónde zonas).

Para cambiar un intervalo de subzonas, elimine el intervalo existente y agregue el intervalo con loscambios. No se puede editar el rango de subzonas directamente.

• remove (quitar): elimina la zona que coincide con esta línea del ESM.

3 Guarde los cambios y cierre el archivo.

4 Desde el panel, haga clic en y seleccione Asset Manager.


6 Haga clic en Importar y seleccione el tipo de archivo de importación.

• Archivo de definición de importación de zona: incluye la configuración de zonas y sus correspondientessubzonas

• Archivo de asignación de importación de dispositivo a zona: incluye dispositivos y las zonas asignadas a estosdispositivos

7 Haga clic en Aceptar, localice el archivo que importar y haga clic en Cargar.

El sistema indica los errores detectados en el archivo.

8 Si hay errores, corrija la información e inténtelo de nuevo.

9 Despliegue los cambios a fin de actualizar los dispositivos.

Administración de amenazas conocidasSeleccione qué amenazas conocidas se deben usar en los cálculos de riesgo. Cada amenaza tiene unacalificación de gravedad. Esta calificación y la calificación de criticidad de los activos se emplean para calcular lagravedad global de una amenaza para su sistema.


2 Seleccione la ficha Administración de amenazas.

Uso de McAfee ESM Asset ManagerAdministración de amenazas conocidas 8


3 Seleccione una amenaza conocida y realice alguna de las acciones siguientes:

• Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza.

• Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo, haga clic enDesactivar.

• Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, haga clic enActivar.

Evaluación de activos, amenazas y riesgoMcAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades del sistema generanuna lista de amenazas conocidas. McAfee ESM utiliza la gravedad de amenazas y la criticidad de cada activopara calcular el nivel de riesgo en su empresa.

Administrador de activos

Cuando se agrega un activo a Asset Manager, se asigna un nivel de criticidad para indicar hasta qué punto elactivo es crítico para la organización. Por ejemplo, si tiene un único equipo para administrar la configuración dela empresa y no cuenta con copia de seguridad, su criticidad es alta. Si tiene dos equipos para administrar laconfiguración, cada uno de ellos con una copia de seguridad, el nivel de criticidad es considerablemente menor.

Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menú Editar dela ficha Activo.

Administración de amenazas

La ficha Administración de amenazas de Asset Manager muestra una lista de amenazas conocidas, su gravedad, elproveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivar amenazas específicaspara que se empleen o no al calcular el riesgo. También puede ver los detalles de las amenazas en la lista. Entreestos detalles se incluyen recomendaciones para la gestión de la amenaza, así como las contramedidas que sepueden utilizar.

Vistas predefinidas

Las vistas predefinidas resumen y muestran datos sobre activos, amenazas y riesgos:

• Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles de amenaza,y los niveles de amenaza según el riesgo.

• Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo y productos deprotección disponibles.

• Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos.

Vistas personalizadas

Utilice el Asistente de consultas para configurar vistas personalizadas que muestren los datos que necesita.

• En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarial media yla calificación de riesgo empresarial total.

• En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, laprotección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y lasamenazas por proveedor.

• En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activos principalespor calificación de riesgo y las amenazas principales por calificación de riesgo.

8 Uso de McAfee ESM Asset ManagerEvaluación de activos, amenazas y riesgo


9 Uso de directivas y reglas de McAfee ESM

Contenido Funcionamiento de las directivas y reglas de McAfee ESM Administración de directivas Configuración de pistas de auditoría de base de datos Funcionamiento de la normalización Tipos de reglas de McAfee ESM Definición de sobresuscripción de paquetes Visualización del estado de actualización de directivas Administración de reglas Cambie la configuración de agregación Definición de acciones de omisión para reglas descargadas Ponderaciones de gravedad Visualización del historial de cambios de directiva Despliegue de cambios de directiva Activación de Copiar paquete para reglas

Funcionamiento de las directivas y reglas de McAfee ESMLas directivas le permiten detectar tráfico anómalo o malicioso, y variables que actúen como parámetros parareglas. Para guiar el comportamiento de dispositivos McAfee ESM, utilice el Editor de directivas para crear plantillasde directiva y personalizar directivas individuales.

Las plantillas de directiva y la configuración de directivas del dispositivo pueden heredar valores de suselementos principales. La herencia permite que la configuración de directivas del dispositivo presente infinidadde opciones de configuración, a la vez que se mantiene la simplicidad y facilidad de uso. Cada directiva creadaagrega una entrada al árbol de directivas.

En el modo FIPS, no actualice las reglas mediante el servidor de reglas. En su lugar, actualícelas manualmente.

Icono Descripción

Directiva

Dispositivo no sincronizado

Dispositivo preparado

Dispositivo actualizado

9


El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos o valorespredefinidos. La Directiva predeterminada hereda sus valores y ajustes de estas configuraciones mantenidas porMcAfee, y es la predecesora del resto de las directivas. De forma predeterminada, los ajustes del resto de lasdirectivas y dispositivos heredan los valores de la Directiva predeterminada.

Los Tipos de reglas que aparecen en el Editor de directivas varían en función del dispositivo seleccionado en elárbol de navegación del sistema. El sistema muestra la jerarquía de la directiva para el dispositivo seleccionado.Puede filtrar las reglas existentes para ver únicamente las que cumplan sus criterios. También puede etiquetarreglas para definir sus funciones.

Administración de directivasEs posible administrar las directivas del sistema mediante la realización de acciones en el Árbol de directivas.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de acceso conprivilegios para administrar directivas.

Procedimiento1 Desde el panel, haga clic en y seleccione Editor de directivas.

2 En la consola de McAfee ESM, haga clic en el icono del Editor de directivas y, a continuación, en el icono del

Árbol de directivas .

3 Use el Árbol de directivas para:

• Ver reglas asociadas a directivas

• Crear una jerarquía de directivas

Solo se pueden arrastrar y colocar dispositivos en directivas.

• Buscar directivas o dispositivos mediante etiquetas o filtros

• Renombrar, eliminar, copiar o sustituir directivas

La configuración de directiva copiada se aplica a las directivas sustituidas, pero el nombre seguirá siendoel mismo.

• Mover directivas a distintos dispositivos

• Importar directivas

Si se importan varias directivas, la primera sobrescribe la directiva seleccionada y el sistema inserta lasdirectivas subsiguientes como elementos secundarios del nodo actual, dejando intacta su relaciónjerárquica. Esta opción no cambia el nombre de la directiva seleccionada.

9 Uso de directivas y reglas de McAfee ESMAdministración de directivas


• Exportar directivas

• Debido a la posible dependencia de las reglas personalizadas de variables personalizadas,las reglas personalizadas no se pueden exportar sin exportar también las variablespersonalizadas.

• La jerarquía se aplana, lo cual quiere decir que el sistema comprime la configuración enun nivel de directiva, donde la configuración de directiva más inmediata tiene prioridadelemento a elemento. Por ejemplo, si selecciona un dispositivo, el sistema exporta ambasdirectivas por encima de la directiva seleccionada. Para exportar una directiva principal,debe seleccionar su elemento secundario. Asimismo, la configuración de directiva tieneprioridad sobre la configuración de la directiva principal cuando el archivo se comprime aun nivel de directiva.

Configuración de pistas de auditoría de base de datosConfigure una pista de auditoría para rastrear el acceso y los cambios realizados en la base de datos o en tablasasociadas a eventos específicos de la base de datos. El informe de conformidad de McAfee ESM muestra pistasde auditoría asociadas a cada evento.

Antes de empezarPara generar eventos de pista de auditoría, debe agregar lo siguiente:

• Reglas de acceso a datos

• Informe de pistas de auditoría de usuario con privilegios

.


2 En el panel Tipos de reglas, seleccione DEM | Acceso a datos.

3 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP.

4 Haga clic en Editar | Copiar y, después, en Editar | Pegar.

5 Cambie el nombre y las propiedades de la nueva regla.

a Resalte la regla y seleccione Editar | Modificar.

b Introduzca un nombre para la regla y escriba el nombre de usuario.

c Seleccione el tipo de acción No fiable y haga clic en Aceptar.

6 Haga clic en el icono Desplegar .

7 Configure el informe:

a En Propiedades del sistema, haga clic en Informes | Agregar.

b Rellene las secciones 1-3 y 6.

c En la sección 4, seleccione Informe en PDF o Informe en HTML.

Uso de directivas y reglas de McAfee ESMConfiguración de pistas de auditoría de base de datos 9


d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos).

e Haga clic en Guardar.

8 Para generar el informe, haga clic en Ejecutar ahora.

Funcionamiento de la normalizaciónLos nombres de reglas pueden variar en función del proveedor, lo que dificulta la recopilación de lainformación de eventos. McAfee ESM continuamente compila una lista de ID de reglas normalizados que lepermite organizar la información de eventos. Use los ID de evento normalizados para ver resultados deconsultas en gráficos circulares, gráficos de barras y listas, o filtrar las vistas del panel.

La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecen en lalista.

Use el ID normalizado para:

• Filtrar carpetas de primer nivel

Una máscara (/5 para una carpeta de primer nivel al final del ID) significa que McAfee ESM filtra los eventospor los ID secundarios de la subcarpeta seleccionada.

• Filtrar carpetas de segundo o de tercer nivel

Una máscara (/12 para una carpeta de segundo nivel y /18 para una carpeta de tercer nivel) significa queMcAfee ESM filtra los eventos por los ID secundarios de la subcarpeta seleccionada.

El cuarto nivel no dispone de máscara.

• Filtrar por un ID único

• Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús.

Tipos de reglas de McAfee ESM

Contenido Tipos de reglas de McAfee ESM Reglas de McAfee Application Data Monitor Reglas del analizador de syslog avanzado (ASP) Reglas de correlación Reglas de origen de datos Reglas de McAfee Database Event Monitor (DEM) Reglas de filtrado Administración de reglas de rastreo de transacciones Variables Reglas de eventos de Windows

9 Uso de directivas y reglas de McAfee ESMFuncionamiento de la normalización


Tipos de reglas de McAfee ESMMcAfee ESM incluye numerosos tipos de reglas para proteger su entorno.

• Reglas de McAfee Application Data Monitor (McAfee Application Data Monitor): detectan patrones de tráficomalicioso mediante la detección de anomalías en los protocolos de aplicación y transporte.

• El analizador de syslog avanzado (ASP) emplea reglas para identificar en qué parte del mensaje residendatos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario yacciones.

• Reglas de correlación: interpretan los patrones de datos correlacionados.

• Reglas de origen de datos: detectan problemas en la información de origen de datos enviada a losreceptores.

• Reglas de Database Event Monitor (DEM): supervisan eventos de la base de datos (por ejemplo, inicio/cierrede sesión, actividad de administrador de base de datos, actividad sospechosa y ataques de base de datos),lo cual suele ser necesarios para satisfacer los requisitos de conformidad.

• Reglas de ESM: generan informes de conformidad o auditoría relacionados con eventos de ESM.

• Reglas de filtrado: permiten especificar qué acción se debe realizar en los datos de McAfee Event Receiver.

• Reglas de rastreo de transacciones: rastrean las transacciones de la base de datos y concilianautomáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden. Tambiéninician y confirman sentencias para informar por transacciones en lugar de consultas.

• Reglas de eventos de Windows: generan eventos relacionados con Windows.

Los iconos indican que una regla hereda su uso.

Icono Descripción

Indica que la configuración predeterminada hereda el uso del elemento principal.

Indica la cadena de herencia interrumpida en este nivel. La herencia se desactiva en este momento.

Se emplea el uso actual de la regla cuando se interrumpe la cadena de herencia.

Indica la cadena de herencia interrumpida en este nivel. Los elementos por debajo de este punto noheredan nada que se encuentre en un nivel superior de la cadena.

Indica un valor personalizado. El valor se configura de forma distinta a la predeterminada.

Reglas de McAfee Application Data MonitorMcAfee

®

Application Data Monitor es una serie de appliances de red que utilizan el motor de ICE para lainspección profunda de paquetes (Deep Packet Inspection, DPI).

El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos de protocolo ycontenido que puede identificar y extraer contenido a partir del tráfico de red sin procesar en tiempo real. Escapaz de volver a ensamblar y descodificar por completo el contenido de nivel de aplicación, para lo cualtransforma los crípticos flujos de paquetes de red en contenido fácilmente legible, como si se leyera en unarchivo local.

El motor de ICE puede identificar protocolos y tipos de contenido automáticamente sin depender de númerosde puerto TCP ni extensiones de archivo fijos. El motor de ICE no se basa en firmas para realizar análisis ydescodificaciones. En su lugar, sus módulos implementan analizadores completos para cada tipo de contenidoo protocolo, lo que da como resultado una identificación y descodificación precisas del contenido, y permiteidentificar y extraer contenido incluso cuando se encuentra comprimido o codificado de otro modo. Por lotanto, no atraviesa la red como texto no cifrado.

Uso de directivas y reglas de McAfee ESMTipos de reglas de McAfee ESM 9


Gracias a esta identificación y descodificación altamente precisas, el motor de ICE proporciona una visión deltráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir un flujo de documentoPDF que pasó por la red dentro de un archivo .zip a modo de datos adjuntos codificados en BASE-64 hacia unadirección de correo electrónico SMTP procedente de un servidor proxy SOCKS.

Este reconocimiento de aplicaciones y documentos permite a McAfee Application Data Monitor proporcionarun contexto de seguridad inestimable. Puede detectar amenazas que no se detectan fácilmente mediante unsistema de detección o prevención de intrusiones tradicional, como las siguientes:

• Fuga de información y documentos de carácter confidencial o infracciones de la directiva de comunicación

• Tráfico de aplicación no autorizado (por ejemplo, quién utiliza Gnutella).

• Aplicaciones utilizadas de formas inesperadas (por ejemplo, HTTPS en un puerto no estándar).

• Documentos potencialmente maliciosos (por ejemplo, un documento que no coincide con su extensión).

• Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado).

McAfee Application Data Monitor también detecta patrones de tráfico malicioso mediante la detección deanomalías en los protocolos de transporte y aplicación (por ejemplo, una conexión RPC con un formatoincorrecto o que el puerto TCP es 0).

Aplicaciones y protocolos compatibles

McAfee Application Data Monitor puede supervisar aplicaciones y protocolos (como los que se muestran acontinuación) para descodificar y detectar anomalías.

• Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc.

• Correo electrónico: MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

• Mensajería instantánea: AOL, ICQ, Jabber, MSN, SIP y Yahoo

• Protocolos de transferencia de archivos: FTP, HTTP, SMB y SSL

• Protocolos de compresión y extracción: BASE64, GZIP, MIME, TAR, ZIP, etc.

• Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU

• Paquetes de instalación: paquetes de Linux, archivos CAB de InstallShield, archivos CAB de Microsoft

• Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital e iconos deWindows

• Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast, etc.

• Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, Digital Video (DV), MJPEG, etc.

• Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes, archivosejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollo de software

• Otros protocolos: impresora de red, acceso a shell, VoIP y P2P

9 Uso de directivas y reglas de McAfee ESMTipos de reglas de McAfee ESM


Conceptos clave

• Objeto: elemento individual de contenido. Un mensaje de correo electrónico es un objeto, pero también uncontenedor de objetos, ya que consta de un cuerpo del mensaje (o dos) y de datos adjuntos. Una páginaHTML es un objeto que puede contener otros objetos (por ejemplo, imágenes). Un archivo .zip y cada unode los archivos contenidos en él son objetos. McAfee Application Data Monitor desempaqueta elcontenedor y trata cada uno de los objetos en su interior como un objeto en sí mismo.

• Transacción: un contenedor para la transferencia de un objeto (contenido). Una transacción contiene comomínimo un objeto. No obstante, si ese objeto es un contenedor (por ejemplo, un archivo .zip), la transacciónpodría contener varios objetos.

• Flujo: la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones.

Administración de reglas personalizadasUtilice reglas predefinidas como plantillas para crear reglas personalizadas.

Procedimiento• En Editor de directivas, realice cualquiera de las siguientes acciones:

• Vea reglas personalizadas existentes:

1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.

2 Haga clic en la barra Avanzadas en la parte inferior del panel.

3 En el campo Origen, seleccione definido por el usuario.

4 Haga clic en Ejecutar consulta.

• Copie y pegue reglas.

• Cambie reglas personalizadas.

• Elimine reglas personalizadas.

Adición de reglas personalizadasUtilice expresiones regulares y lógicas para agregar reglas personalizadas de McAfee Application Data Monitor(McAfee Application Data Monitor), base de datos o correlación.


2 Haga clic en Nuevo y seleccione el tipo de regla que desee agregar.



3 Defina las reglas de base de datos:

Opción Definición

Nombre Escriba un nombre descriptivo para la regla.

Gravedad Seleccione una configuración de gravedad.

ID de normalización Cambie el ID normalizado predeterminado si lo desea.

Etiquetas Seleccione etiquetas que definan las categorías a las que pertenece laregla.

Tipo Seleccione el tipo de regla.

Acción predeterminada Seleccione la acción de alerta activada por esta regla.

Área Lógica de expresión Arrastre y suelte componentes y elementos lógicos en esta área paradefinir la lógica de la regla.

Elementos lógicos AND y OR Arrastre y suelte elementos lógicos en el área Lógica de expresión para definirla lógica de la regla.

Icono Componente de expresión Arrastre y suelte el icono para definir los detalles de los elementos lógicos.

Descripción Escriba la descripción de la regla, que aparecerá en el Editor de directivas.

4 Defina las reglas de correlación de datos:

Opción Definición

Nombre Escriba un nombre descriptivo para la regla.

Gravedad Seleccione una configuración de gravedad.

ID de normalización Cambie el ID normalizado predeterminado si lo desea.

Etiquetas Seleccione etiquetas que definan las categorías a las que pertenece la regla.

Agrupar por Cree una lista de campos para la agrupación de eventos cuando lleguen almotor de correlación.

Área Lógica de correlación Arrastre y suelte componentes y elementos lógicos en esta área para definirla lógica de la regla.

Parámetros Personalice las instancias de una regla y la reutilización de componentes.

Elementos lógicos AND, OR ySET

Arrastre y suelte los elementos lógicos en el área Lógica de correlación paradefinir la lógica de la regla.

Iconos Coincidir componente,Componente de desviación yReglas/componentes

Arrastre y suelte componentes para definir los detalles de los elementoslógicos.

Descripción Agregue una descripción de la regla, que aparecerá en el Editor de directivas.

5 Defina campos y valores con los que los eventos deban coincidir para activar una regla de correlación:

Opción Definición

Eventos,Flujos

Seleccione el tipo de datos a los que desee aplicar el filtrado. Es posibleseleccionar ambos tipos.

Agregar Permite agregar filtros para este componente.



Opción Definición

Opcionesavanzadas

Es necesariorespetar un ciertonúmero de Valoresdistintos...

Seleccione esta opción si es necesario que exista un número específico devalores en un campo concreto para que se active el componente.• Valores distintos: haga clic en el icono Valor predeterminado para

seleccionar el número de valores que debe existir.

• Campos supervisados: haga clic en el icono Valor predeterminado paraseleccionar el campo donde deben existir los valores.

Este componentesolo debe activarsesi...

Seleccione esta opción si desea que el componente solo se active si no seproducen coincidencias en el período de tiempo especificado en el campoPeríodo de tiempo en el nivel de puerta.

Omitir Agrupar por Seleccione esta opción para personalizar la agrupación de los eventos enuna regla de correlación. Si dispone de una regla que agrupa según uncampo específico, puede omitir uno de sus componentes para que lacoincidencia se produzca con un campo especificado en la páginaConfigurar omisiones de Agrupar por. Haga clic en Configurar para establecer elcampo de omisión.

6 Defina la configuración del componente de expresión:

Opción Definición

No Seleccione esta opción para excluir los valores seleccionados.

Plazo (McAfee Application Data Monitor y DEM) Seleccione la referencia métrica para estaexpresión.

Descripción (McAfee Application Data Monitor) Escriba una descripción del componente.

Diccionario (McAfee Application Data Monitor) Si desea que esta regla haga referencia a undiccionario de McAfee Application Data Monitor que se encuentre en el ESM,selecciónelo en la lista desplegable.

Operador Seleccione el operador relacional.McAfee Application Data Monitor

• Igual a = • Mayor o igual que >=

• No es igual a != • Menor o igual que <=

• Mayor que > • Menor que <

Base de datos de DEM

• EQ: igual a • NB: no entre

• BT: entre • NE: no igual a

• GE: mayor o igual que • NGT: no mayor que

• GT: mayor que • NLE: no menor que

• LE: menor o igual que • REGEXP: expresión regular

• LT: menor que

Valores decoincidencia

Indique si la regla se activará cuando alguno de los valores coincida con el patróndefinido o solamente cuando todos los valores coincidan con el patrón.



Opción Definición

Valor (ADM) Seleccione las variables por las que filtrar.• Si hay un icono de variables junto al campo, haga clic en él y seleccione las variables.

• En caso contrario, escriba el valor según las instrucciones del campo Entrada válida.

(DEM) Introduzca el valor por el que filtrar.

Entrada válida Permite ver sugerencias sobre los valores que se pueden introducir en el campo Valor.

Edición de elementos lógicosPuede cambiar la configuración predeterminada para los elementos lógicos AND, OR y SET.

Procedimiento1 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica de

correlación.

2 Haga clic en el icono Menú correspondiente al elemento que desee editar y seleccione Editar.

3 Cambie la configuración y haga clic en Aceptar.

Sintaxis de las reglas de McAfee® Application Data MonitorLas reglas de McAfee Application Data Monitor proporcionan un conjunto de literales (números, cadenas,expresiones regulares, direcciones IP, direcciones MAC y valores booleanos) similar a las expresiones de C.

Pueden compararse términos de cadena con literales de cadena y de expresión regular para comprobar sucontenido, pero también se pueden comparar con números para comprobar su longitud. Solo puedencompararse términos numéricos, de direcciones IP y de direcciones MAC con el mismo tipo de valor literal. Laúnica excepción es que todo puede tratarse como un booleano para comprobar su existencia. Algunostérminos pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de losarchivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.

Tabla 9-1 Operadores

Operador Descripción Ejemplo

&& AND lógico protocol = = http && type = = image/gif

|| OR lógico time.hour < 8 || time.hour > 18

^ ^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unario ! (protocol = = http | | protocol = = ftp)

= = Igual que type = = application/pdf

! = No igual que srcip ! = 192.168.0.0/16

> Mayor que objectsize > 100M

> = Mayor o igual que time.weekday > = 1

< Menor que objectsize < 10K

< = Menor o igual que time.hour < = 6



Tabla 9-2 Literales

Literal Ejemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadena "una cadena"

Expresión regular /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booleano true, false

Tabla 9-3 Compatibilidad entre tipos y operadores

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresión regular

Cadena >, > =, <, <= Comparar la longitud de la cadena

IPv4 = =, ! =

MAC = =, ! =

Booleano = =, ! = Comparar con verdadero/falso; también admite la comparación implícita converdadero, por ejemplo, lo siguiente comprueba si aparece el término“email.bcc”: email.bcc

Tabla 9-4 Gramática de expresiones regulares de McAfee Application Data Monitor

Operadores básicos

| Alternancia (o)

* Cero o más

+ Uno o más

? Cero o uno

( ) Agrupación (a | b)

{ } Intervalo repetitivo {x} o {,x} o {x,} o {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo de exclusión [^abc] [^0-9]

. Cualquier carácter

\ Carácter de escape


\d Dígito [0-9]

\D No dígito [^0-9]

\e Escape (0x1B)

\f Avance de página (0x0C)

\n Avance de línea (0x0A)




\r Retorno de carro (0x0D)

\s Espacio en blanco

\S No espacio en blanco

\t Tabulación (0x09)

\v Tabulación vertical (0x0B)

\w Palabra [A-Za-z0-9_]

\W No palabra

\x00 Representación hexadecimal

\0000 Representación octal

^ Inicio de línea

S Fin de línea

Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.

Clases de caracteres POSIX

[:alunum:] Dígitos y letras

[:alpha:] Todas las letras

[:ascii:] Caracteres ASCII

[:blank:] Espacio y tabulación

[:cntrl:] Caracteres de control

[:digit:] Dígitos

[:graph:] Caracteres visibles

[:lower:] Letras minúsculas

[:print:] Espacios y caracteres visibles

[:punct:] Puntuación y símbolos

[:space:] Todos los caracteres de espacio en blanco

[:upper:] Caracteres en mayúscula

[:word:] Caracteres de palabras

[:xdigit:] Dígito hexadecimal

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Tipos de términos de reglas de McAfee® Application Data Monitor en la página 120Referencias métricas de reglas de McAfee® Application Data Monitor en la página 122



Ejemplos de diccionarios de McAfee Application Data MonitorMcAfee Application Data Monitor (McAfee Application Data Monitor) puede buscar coincidencias entre elcontenido de objetos u otra métrica o propiedad y un diccionario de una única columna para indicar un valorverdadero o falso (existe en el diccionario o no existe en el diccionario).

Tabla 9-5 Ejemplos de diccionarios de una columna


Diccionario de cadenas conpalabras comunes en spam

“Cialis”

“cialis”

“Viagra”

“viagra”

“web para adultos”

“Web para adultos”

“¡actúe ahora, no se lo piense!”

Diccionario de expresionesregulares con palabras clave deautorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i

/fondos[â-z0-9]{1,3}transacción/i

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i

Diccionario de cadenas convalores de hash de ejecutablesmaliciosos conocidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Direcciones IP de activos críticos 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tabla 9-6 Ejemplos de diccionarios de dos columnas


Diccionario de cadenas conpalabras y categorías comunesen spam

“Cialis” “genérico”

“cialis” “genérico”

“Viagra” “genérico”

“viagra” “genérico”

“web para adultos” “adultos”

“Web para adultos” “adultos”

“¡actúe ahora, no se lo piense!” “fraude”

Diccionario de expresionesregulares con palabras clave ycategorías de autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i“credenciales”

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i “pii”

/fondos[â-z0-9]{1,3}transacción/i “sox”

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i "sox"

Diccionario de cadenas convalores de hash y categorías deejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9" "Troyano"

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”

"ff669082faf0b5b976cec8027833791c" "Troyano"

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Direcciones IP de grupos yactivos críticos

192.168.1.12 “Activos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Activos críticos”

Tipos de términos de reglas de McAfee® Application Data MonitorLas reglas de McAfee Application Data Monitor contienen términos que pueden ser direcciones IP, direccionesMAC, números, cadenas o un valor booleano.

Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un término de un tipoespecífico solo se puede comparar con un literal del mismo tipo o con una lista de literales de ese tipo (o unalista de listas del mismo tipo, etc.).

Excepciones:

• Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La reglasiguiente se activa si una contraseña tiene menos de ocho caracteres de longitud ("Password" es un términode cadena): Password < 8

• Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa si unacontraseña solo contiene letras minúsculas: Password == /^[a-z]+$/

• Todos los términos se pueden comprobar con respecto a literales booleanos para averiguar si estánpresentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una dirección CC("email.cc" es un término de cadena): email.cc == true




DireccionesIP

• Los literales de dirección IP se escriben con el formato estándar de cuatro númerosseparados por puntos y no se delimitan mediante comillas: 192.168.1.1

• Las direcciones IP pueden presentar una máscara expresada en notación CIDR estándar; nodeben existir espacios en blanco entre la dirección y la máscara: 192.168.1.0/24

• Las direcciones IP también se pueden escribir con el formato largo:192.168.1.0/255.255.255.0

DireccionesMAC

• Los literales de dirección MAC se escriben mediante la notación estándar y, al igual que lasdirecciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff

Números • Todos los números de las reglas de McAfee Application Data Monitor son enteros de 32 bits.Se pueden expresar en formato decimal: 1234

• Se pueden expresar en formato hexadecimal: 0xabcd

• Se pueden expresar en formato octal: 0777

• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o1 073 741 824 (G): 10M

Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"

• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una \"cadena\" quecontiene\x20secuencias de escape\n"

• Al comparar un término con una cadena, el término debe coincidir con la cadena alcompleto. Si un mensaje de correo electrónico tiene la dirección de origen"[email protected]", no se activará la siguiente regla: email.from == "@sitio.com"

• Para usar la coincidencia parcial con un término, use un literal de expresión regular en sulugar. Se deben utilizar literales de cadena siempre que sea posible, ya que resultan máseficientes.

Todos los términos de dirección de correo electrónico y URL se normalizan antes de lacoincidencia, por lo que no es necesario tener en cuenta aspectos como los comentariosincluidos en las direcciones de correo electrónico.

Booleanos • Los literales booleanos son verdadero (true) y falso (false).




Expresionesregulares

• Los literales de expresión regular emplean la misma notación que algunos lenguajes, comoJavaScript y Perl, por lo que la expresión regular se delimita mediante barras diagonales: /[a-z]+/

• Las expresiones regulares pueden ir seguidas de indicadores de modificación estándar,aunque "i" es el único que se reconoce actualmente (sin distinción entre mayúsculas yminúsculas): /[a-z]+/i

• Use la sintaxis extendida de POSIX para literales de expresiones regulares. En este momento,las extensiones Perl funcionan para todos los términos excepto el de contenido, pero estopodría cambiar en versiones futuras.

• Si se compara un término con una expresión regular, esta puede coincidir con cualquiersubcadena incluida en el término a menos que se apliquen operadores de anclaje dentro deella. La siguiente regla se activa si se detecta un mensaje de correo electrónico con ladirección "[email protected]": email.from == /@sitio.com/

Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y separadospor comas: [1, 2, 3, 4, 5]

• Las listas pueden contener cualquier tipo de literal, incluidas otras listas: [192.168.1.1,[10.0.0.0/8, 172.16.128.0/24]]

• Las listas solo deben contener un literal; no es correcto combinar cadenas y números,cadenas y expresiones regulares, o direcciones IP y direcciones MAC.

• Cuando se emplea una lista con cualquier operador relacional distinto de "no igual a" (!=), laexpresión es verdadera si el término coincide con cualquier literal de la lista. La siguienteregla se activa si la dirección IP de origen coincide con cualquiera de las direcciones IP de lalista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• Cuando se utiliza con el operador "no igual a" (!=), la expresión es verdadera si el término nocoincide con todos los literales de la lista. La siguiente regla se activa si la dirección IP deorigen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1, 192.168.1.2]

• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2

• Las listas también se pueden usar con otros operadores relacionales, aunque no tengamucho sentido. La siguiente regla se activa si el tamaño del objeto es superior a 100, o biensi es superior a 200: objectsize > [100, 200]

• Esto es equivalente a: objectsize > 100 || objectsize > 200

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Sintaxis de las reglas de McAfee® Application Data Monitor en la página 118Referencias métricas de reglas de McAfee® Application Data Monitor en la página 122

Referencias métricas de reglas de McAfee® Application Data MonitorUtilice las siguientes referencias métricas cuando agregue reglas de McAfee Application Data Monitor.

En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede indicar paracada una se muestra entre paréntesis tras la referencia métrica.

Propiedades comunes




Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).

Contenido de objeto (cadena) El contenido de un objeto (texto de un documento, mensaje de correoelectrónico o mensaje de chat, etc.). La coincidencia de contenido no estádisponible para los datos binarios. Sin embargo, los objetos binarios sepueden detectar mediante el tipo de objeto (objtype).

Tipo de objeto (número) Especifica el tipo de contenido según lo determine McAfee Application DataMonitor (documentos de Office, mensajes, vídeos, audio, imágenes,archivos o ejecutables).

Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K, M yG tras el número (10K, 10M, 10G).

Object Hash (cadena) El hash del contenido (actualmente, MD5).

Dirección IP de origen del objeto(número)

Dirección IP de origen del contenido. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Dirección IP de destino delobjeto (número)

La dirección IP de destino del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Object Source Port (número) El puerto TCP/UDP de origen del contenido.

Object Destination Port(número)

El puerto TCP/UDP de destino del contenido.

Dirección IP v6 de origen delobjeto (número)

Dirección IPv6 de origen del contenido.

Object Destination IPv6 Address(número)

Dirección IPv6 de destino del contenido.

Dirección MAC de origen delobjeto (nombre de MAC)

Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).

Dirección MAC de destino delobjeto (nombre de MAC)

Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).

Dirección IP de origen del flujo(IPv4)

La dirección IP de origen del flujo. La dirección IP se puede especificar como192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Dirección IP de destino del flujo(IPv4)

La dirección IP de destino del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Source Port (número) Puerto TCP/UDP de origen del flujo.

Flow Destination Port (número) Puerto TCP/UDP de destino del flujo.

Flow Source IPv6 Address(número)

Dirección IPv6 de origen del flujo.

Flow Destination IPv6 Address(número)

Dirección IPv6 de destino del flujo.

Dirección MAC de origen delflujo (nombre de MAC)

Dirección MAC de origen del flujo.

Dirección MAC de destino delflujo (nombre de MAC)

Dirección MAC de destino del flujo.

VLAN (número) ID de LAN virtual.

Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1 correspondeal lunes.

Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre 0 y23.




Declared Content Type (cadena) Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de objeto(objtype) es siempre el tipo real, mientras que el tipo de contenidodeclarado (content-type) no resulta fiable, ya que el servidor o la aplicaciónlo pueden falsificar.

Password (cadena) La contraseña utilizada por la aplicación para la autenticación.

URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.

File Name (cadena) Nombre del archivo transferido.

Display Name (cadena)

Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.

Anomalías comunes

• User logged off (literal booleano)

• Authorization error (literal booleano)

• Authorization successful (literal booleano)

• Authorization failed (literal booleano)

Véase también Funcionamiento de los diccionarios de McAfee Application Data Monitor en la página 113Sintaxis de las reglas de McAfee® Application Data Monitor en la página 118Tipos de términos de reglas de McAfee® Application Data Monitor en la página 120

Propiedades específicas de protocolosAdemás de proporcionar propiedades comunes a la mayoría de los protocolos, McAfee

®

Application DataMonitor también ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas deMcAfee Application Data Monitor.

Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:

* Solo detección** Sin descifrado, se capturan los certificados X.509 y los datos cifrados*** A través del módulo RFC822

Tabla 9-7 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**

Nombre de pantallaNombre de archivo

Nombre de host

URL

Nombre de pantalla

Nombre de archivo

Nombre de host

Sitio de referencia

URL

Todos los encabezados HTTP

Nombre de pantalla

Nombre de archivo

Nombre de host

Nombre de pantalla

Nombre de archivo

Nombre de host



Tabla 9-8 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO

CC

Nombre de pantalla

De

Nombre de host

Asunto

Para

Nombre de usuario

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

Nombre de usuario

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Para***

Asunto***

Tabla 9-9 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***

Véase también Anomalías de protocolo en la página 125

Anomalías de protocoloMás allá de las propiedades comunes y las propiedades de protocolos específicos, McAfee

®

Application DataMonitor también detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todaslas propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente deexpresión cuando se agrega una regla de McAfee Application Data Monitor.

Tabla 9-10 IP


ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.

ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.

ip.fragmented El paquete IP está fragmentado.

ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.

ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.



Tabla 9-11 TCP


tcp.too-small El paquete TCP es demasiado pequeño para contener un encabezadoválido.

tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final del paquete.

tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.

tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.

tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.

tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeña de TCP delmódulo, no la ventana real).

tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no se hadefinido el indicador URG.

Tabla 9-12 DNS


dns.too-small El paquete DNS es demasiado pequeño para contener un encabezado válido.

dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.

dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.

dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de longitud.

dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.

Véase también Propiedades específicas de protocolos en la página 124

Reglas del analizador de syslog avanzado (ASP)El ASP proporciona un mecanismo para analizar los datos contenidos en mensajes de Syslog en función de lasreglas definidas por el usuario.

El analizador de syslog avanzado emplea reglas para identificar en qué parte del mensaje residen datos deeventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.

Cuando el sistema recibe un registro de ASP, compara el formato de hora del registro con el formatoespecificado en la regla de ASP. Si el formato de hora no coincide, el sistema no procesa el registro.

Para aumentar las posibilidades de que el formato de hora coincida, agregue varios formatos de horapersonalizados.

Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas de ASP.

Reglas personalizadas

Puede escribir reglas para ordenar y analizar orígenes de registro complejos.

Esta funcionalidad requiere conocimientos de expresiones regulares.



La primera expresión regular determina si se analiza un mensaje, de modo que deberá crear una primera reglaque busque un patrón presente en todos los mensajes que desee analizar con la regla. Se pueden escribirexpresiones regulares adicionales para capturar valores de los mensajes y asignarlos a tipos personalizados enel ESM. Las expresiones regulares subsiguientes no determinan la coincidencia de la regla, sino que se utilizanúnicamente para analizar.

Aunque es posible comprobar los resultados de una expresión regular en unas pocas líneas de registro en lapropia consola del ESM, se recomienda utilizar una herramienta gráfica. Hay muchas herramientas webgratuitas que pueden utilizarse, además de herramientas instalables independientes. Opcionalmente, otraherramienta útil sería un editor de texto que admita búsquedas con expresiones regulares. Cualquierherramienta utilizada para probar expresiones regulares debe admitir expresiones PCRE.

Asegúrese de que se escriben expresiones regulares para maximizar su eficiencia. Las expresiones mal escritaspueden afectar negativamente al rendimiento del análisis.

Optimice las reglas de este modo:

• Entienda exhaustivamente el valor que puede proporcionar un registro a su organización.

• Asegúrese de que los valores capturados estén alineados con el uso previsto de los campos de tipopersonalizado específicos.

• Evite indizar campos que contengan datos de cardinalidad elevada, aleatoria o única (por ejemplo, lasdirecciones URL).

• Asegúrese de que las reglas que asignen mensajes de eventos directamente desde el registro no asignencadenas de cardinalidad elevada, aleatoria o única como mensajes. ESM crea una regla de origen de datospara cada mensaje de evento único, y numerosas cadenas exclusivas pueden reducir el rendimiento deESM.

• Clasifique eventos mediante la adición de una categoría normalizada a la regla. Las reglas de origen dedatos, generadas mediante el análisis de reglas, heredan la normalización asignada a la regla de análisisprincipal. Si la regla de análisis principal se deja normalizada como "Sin categorizar", los eventos analizadostambién se normalizarán como "Sin categorizar", de modo que la búsqueda de eventos "Sin categorizar" noanalizados devolverá resultados inexactos.

Adición de reglas personalizadas del analizador de syslog avanzadoAgregue reglas personalizadas para analizar los datos de registro de ASP.


Debe tener conocimientos prácticos de expresiones regulares compatibles con Perl.

Si tiene un conocimiento avanzado de la sintaxis ASP, puede agregar el texto de la regla ASPdirectamente sin definir los ajustes en cada ficha.

Procedimiento1 En el Editor de directivas, seleccione Receptor | Analizador de syslog avanzado.

2 Haga clic en Nuevo y, a continuación, en Regla de analizador de syslog avanzado.



3 Seleccione la ficha General y rellene la información.

Opción Definición

Nombre Escriba un nombre descriptivo único para la regla. Este texto aparece en las vistas deESM cuando la regla coincide con un registro (a menos que el mensaje esté asignadodirectamente desde el texto de registro en la regla).

Etiquetas Asigne etiquetas a la regla. Asigne una o varias etiquetas a las que pertenezca estaregla. Esto ayuda a encontrar y agrupar conjuntos de reglas creados para undeterminado dispositivo o aplicación en el editor de directivas. Cuando se agrega unaetiqueta a una regla, ESM incluye esta regla automáticamente en cualquier directiva enla que se haya activado el conjunto de reglas etiquetado.

ID normalizadopredeterminado

Muchos informes, vistas y reglas de correlación utilizan este campo como filtro.Seleccione el valor más relevante para obtener el máximo rendimiento.

Gravedadpredeterminada

Si el mensaje de registro no contiene un valor de gravedad, el sistema asigna al eventoel valor de gravedad que se especifique aquí. El valor predeterminado es 25, y losvalores válidos son de 1 a 100 (1 es la gravedad más baja).

Asignación de regla Las reglas se pueden agrupar. Este menú desplegable proporciona una lista de losproductos compatibles por los que agrupar las reglas de análisis, de modo que seseparan los eventos de otros orígenes de datos. Esto permite informar del evento paraun producto determinado.

Descripción Escriba una descripción clara y completa que comunique el ámbito y el propósito de laregla.

4 Seleccione la ficha Análisis y rellene la información.

Opción Definición

Nombre deproceso

Es similar al filtro de la cadena de contenido, pero solo se aplica al nombre del procesoque se encuentra en el encabezado SYSLOG. Los formatos del encabezado de syslogpueden variar enormemente, de modo que se recomienda utilizar cadenas de contenidosiempre que sea posible.

Cadena decontenido

Si el registro siempre va a incluir una cadena fija, agréguela como cadena de contenido.Las cadenas de contenido de una regla de ASP deberían identificar cada registro. Paraacelerar la ejecución de reglas, incluya al menos una cadena de contenido en cada reglade ASP. Esto sirve como un filtro previo para la optimización. Solo se tienen en cuenta losregistros que coincidan con las cadenas de contenido especificadas para la coincidencia yel análisis de las expresiones regulares. El registro debe contener todas las cadenas decontenido definidas.

Asegúrese de que haya al menos un valor en la sección del campo de contenido. Lascadenas de contenido deben incluir al menos tres caracteres y ser tan únicas como seaposible para el evento específico. Incluya suficientes coincidencias de contenido paraidentificar el registro de forma exclusiva. Usar uno o varios campos de contenido en laregla de ASP puede mejorar el proceso de coincidencia y análisis en el receptor.

Por ejemplo, si el formato de la entrada del registro es <180>Jan 1 00:00:00testhost ftpd[4325]: FTP LOGIN FROM test.org [192.168.1.1], anonymous,podría agregar campos de contenido para "ftpd" y "FTP LOGIN FROM".

Expresión regular La primera expresión regular determina si la regla de ASP coincide con el registro. Elsistema utiliza expresiones adicionales para capturar valores del registro.

Capturas connombre

Utilice capturas con nombre para identificar más fácilmente grupos de captura. Laetiqueta que se utiliza para la captura con nombre puede constar de caracteresalfanuméricos y guiones bajos, pero no puede empezar por un número ni incluir unespacio. La sintaxis de las expresiones regulares para una captura con nombre es: (?P<NOMBRE>captura con expresión regular). Por ejemplo, una captura con nombre dondeel nombre de host es el nombre asignado al grupo de captura sería: Host\x3d(?P<nombre_host>\S+). Cuando se usan capturas con nombre, el editor de directivasmuestra el nombre de la captura en lugar del número en el lado derecho de la fichaAnálisis, como se muestra a continuación.



Opción Definición

Datos de registrode muestra

Pegue una entrada del registro de muestra para su análisis. El sistema destaca en azul laspartes del registro que coinciden con las expresiones regulares.

Formato ASP puede preprocesar ciertos formatos de registro para simplificar la asignación dedatos. Están disponibles los formatos siguientes:• Genérico: esta es la opción predeterminada y debe utilizarse si el registro no coincide

con los otros formatos disponibles.

• CEF (formato de evento común): esta opción elimina la necesidad de crear unaexpresión regular para cada captura y permite asignar los datos mediante los nombresde clave CEF encontrados en el registro.

• JSON: análogamente a CEF, esta opción elimina la necesidad de crear una expresiónregular para cada captura y permite asignar los datos mediante los nombres de claveJSON encontrados en el registro.

• XML (básico, simple o posicional): esta opción permite a ASP analizar los registros queestén en formato XML y asignar los datos analizados. La elección de formato XMLdepende del tipo de XML que se encuentre en los registros.

• XML - Básico: espera XML sin elementos repetidos.

• XML - Simple: espera XML con un único nodo con atributos o un único conjunto deelementos no repetidos sin anidación.

• XML - Posicional: espera XML que puede tener varios nodos con atributos y varioselementos repetidos con anidación.

Valoresanalizados

Los campos de clave/valor de la derecha muestran qué están analizando las expresionesregulares en las muestras de registro. La clave muestra 2 números, separados por punto ycoma. El primer número indica la expresión regular que se utiliza y el segundo númeroindica el grupo de captura utilizado en esa expresión regular. Si un valor capturado es lacuarta captura en la tercera expresión regular definida, la clave mostrará 3:4.

Solo usarexpresionesregulares confines de análisis

El analizador utiliza la cadena de contenido (en lugar de una expresión regular) para lascoincidencias. Las expresiones regulares solo se utilizan para analizar mensajes.

Sin distinciónmayúsculas/minúsculas

Si el registro puede contener mayúsculas o minúsculas en algunos campos, puede sermás sencillo escribir toda la expresión en minúsculas o en mayúsculas, y utilizar estaopción. De este modo, se activa la opción de no distinguir entre mayúsculas y minúsculaspara todas las expresiones regulares definidas en la regla de análisis.

Activar cuandolos datos nocoincidan

La regla se activa cuando la expresión regular no coincide con el registro.

5 Seleccione la ficha Asignación de campos y rellene la información.

a Arrastre y suelte los valores desde el lado derecho a la columna Expresión, junto a la columna Campo en laizquierda.

b Si no aparece el campo requerido, haga clic en + sobre la columna Valor de muestra para mostrar todos loscampos de tipo personalizado.

c Seleccione el campo que desee y haga clic en Aceptar.



6 Seleccione la ficha Asignación y rellene la información.

Opción Definición

Formato de hora Puede analizar la fecha y la marca de tiempo de un mensaje de registro mediante lasvariables definidas en estos campos. ESM reconoce muchas fechas o marcas de tiempoestándar de forma automática, pero podrían aparecer formatos no reconocidos o que semuestren de manera diferente. Esta sección permite aplicar un formato correcto a estasmarcas de tiempo durante el análisis.

Asignación deacciones

Utilice esta opción si una acción encontrada en el registro debe asignarse a un ESMdisponible.

Asignación degravedad

La asignación de gravedad permite asignar a un valor del registro una gravedad de 1 a100. Por ejemplo, un proveedor podría definir su gravedad como Baja, Media o Alta ensus registros. Con la sección Asignación de gravedad, el valor de gravedad puede asignarBaja a 25, Media a 50 y Alta a 75.


8 En la ventana Editor de directivas, seleccione la nueva regla.

9 Haga clic en desactivado y, a continuación, seleccione activado.

10 Haga clic en el icono Desplegar situado en la esquina superior derecha de la ventana.

11 Si se le pregunta si desea guardar la regla, haga clic en Sí.

12 En la ventana Desplegar, haga clic en Aceptar.

Definición del orden para las reglas de ASP y de filtradoDefina el orden de ejecución de las reglas de filtrado o del analizador de syslog avanzado (ASP) para quegeneren los datos que necesita.

Antes de empezarCompruebe que dispone de privilegios de administración de directivas.

Procedimiento1 En la consola de ESM, haga clic en el icono del Editor de directivas .

2 En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación, seleccioneun origen de datos en el campo Tipo de origen de datos.

Las reglas que pueden ordenarse aparecen a la izquierda y las reglas ya ordenadas aparecen a la derecha.

3 En la ficha Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de la izquierda alde la derecha (arrastrándola y soltándola, o mediante las flechas), y colocarla por encima o debajo de Reglassin ordenar.

Las Reglas sin ordenar son las reglas del panel de la izquierda, cuyo orden es el predeterminado.

4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar los cambios.



Adición de formatos de hora a las reglas del analizador de syslog avanzado (ASP)Agregar formatos de hora personalizados a las reglas del analizador de syslog avanzado (ASP) parasincronizarlos con los formatos de hora de los registros de ASP.

Procedimiento1 En el panel, haga clic en el icono del Editor de directivas .

2 En el panel Tipos de reglas, seleccione el destinatario y haga clic en Analizador de syslog avanzado.

3 Seleccione una regla y haga clic en Editar | Modificar.

4 Haga clic en la ficha Asignación y, a continuación, en el icono situado sobre la tabla Formato de hora.

5 Haga clic en el campo Formato de hora y seleccione el formato de hora.

6 Seleccione los campos de hora que desee que empleen este formato.

Primera vez y Última vez hacen referencia a la primera y la última vez en la que se genera el evento. Tambiénaparecen los campos Tipo personalizado agregados.

7 Haga clic en Aceptar y rellene la información restante.

Importación de muestras de registroUtilice un registro de muestra para probar una nueva regla.

Antes de empezarDebe haber disponible al menos un registro de muestra, en formato de texto sin formato.


2 En el árbol de navegación, seleccione el origen de datos y haga clic en el icono Propiedades.

3 Haga clic en Cargar.

4 Desplácese hasta el archivo de muestra de registro y selecciónelo.

5 Haga clic en Cargar.


7 Haga clic en Obtener eventos y flujos.

8 Seleccione Eventos y haga clic en Iniciar.

9 Busque los eventos en el panel y compruebe que la regla ASP recién creada realiza el análisis del modoesperado.



Reglas de correlaciónLa correlación de ESM analiza datos y detecta patrones en el flujo de datos, genera alertas para estos patronese inserta alertas en la base de datos de alerta del receptor. Una regla de correlación interpreta resultados depatrones en los datos.

Una regla de correlación es distinta e independiente de una regla estándar o de firewall, y dispone de unatributo que especifica su comportamiento. Cada receptor obtiene un grupo de reglas de correlación de unESM (conjunto de reglas de correlación desplegado), el cual se compone de cero o más reglas de correlaciónestablecidos con valores de parámetros definidos por el usuario. ESM incluye un conjunto básico de reglas decorrelación, que se actualiza desde el servidor de actualización de reglas.

Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando actualice el conjuntode reglas básico del motor de correlación, personalice estos valores predeterminados para que representen sured adecuadamente. Si despliega estas reglas sin cambiar los valores predeterminados, pueden generarse falsospositivos o falsos negativos.

Al configurar un origen de datos, active la correlación. Solo se puede configurar un origen de datos decorrelación por cada receptor, de forma similar a la configuración de syslog u OPSEC. Una vez configurado elorigen de datos de correlación, se puede editar el conjunto de reglas de correlación básicas para crear elconjunto de reglas de correlación desplegado mediante el Editor de reglas de correlación. Se puede activar odesactivar cada regla de correlación y establecer el valor de los parámetros definidos por el usuario de cadaregla. También pueden crearse reglas personalizadas y agregar componentes de correlación a reglas decorrelación.

Ejemplo de reglas de correlación personalizadasEste ejemplo muestra cómo una regla de correlación genera una alerta cuando McAfee ESM detecta 5 intentosde inicio de sesión fallidos desde una sola fuente en un sistema Windows, seguido de un inicio de sesióncorrecto, todo ello en 10 minutos.

1 En el panel Tipos de regla del Editor de directivas, haga clic en Correlación.

2 Haga clic en Nueva y, después, seleccione Regla de correlación.

3 Escriba un nombre descriptivo y seleccione la gravedad.

Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedido alsistema, un valor de gravedad adecuado sería 80.

4 Seleccione el ID de normalización, que puede ser Autenticación o Registro | de autenticación, y arrastre y suelte elelemento lógico AND.

Debe seleccionar AND debido a que hay dos tipos de acciones que se deben producir (intentos de inicio desesión seguidos de un inicio de sesión correcto).

5 Haga clic en el icono Menú y seleccione Editar.

6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidos ydespués un inicio de sesión correcto) deben producirse en una secuencia; después, establezca el número deveces que se debe producir esta secuencia, que en este caso sería "1".

7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar.

Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debe dividirseentre ambas. En este ejemplo, cinco minutos es el periodo de cada acción. Una vez que se han producido losintentos fallidos en un plazo de cinco minutos, el sistema empieza a esperar un inicio de sesión correcto delmismo origen de IP en los siguientes cinco minutos.



8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derecha paraindicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clic en Aceptar.

9 Defina la lógica para esta regla o este componente.


Especifique el tipo defiltro que identifica loseventos de interés (eneste caso, varios intentosde inicio de sesiónfallidos en un sistemaWindows).

1 Arrastre el icono Filtro y suéltelo en el elemento lógico AND.

2 En la página Componente de filtrado de campos, haga clic en Agregar.

3 Seleccione Regla de normalización | En y seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

• Varios intentos de inicio de sesión fallidos en un host de Windows


Indique el número deveces que debenproducirse intentos deinicio de sesión fallidos yel periodo de tiempo enel que deben ocurrir.

1 Arrastre y suelte el elemento lógico AND a la barra Filtro.

Se utiliza el elemento AND porque son cinco los intentos distintos que debenproducirse. El elemento permite establecer el número de veces y la cantidad detiempo en que deben producirse.

2 Haga clic en el icono Menú correspondiente al elemento AND recién agregado yhaga clic en Editar.

3 En el campo Umbral, introduzca 5 y borre el resto de valores presentes.

4 Configure el campo Período de tiempo con el valor 5.


Defina el segundo tipode filtro que debeutilizarse, que será elinicio de sesión correcto.

1 Arrastre y suelte el icono Filtro en la parte inferior del corchete correspondiente alprimer elemento lógico AND.

2 En la página Coincidir componente, haga clic en Agregar.

3 En los campos, seleccione Regla de normalización | En y seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

4 Haga clic en Aceptar para volver a la página Coincidir componente.

5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar,seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic en Subtipode evento | correcto | Agregar.

6 Haga clic en Aceptar para volver al Editor de directivas.



Visualización de los detalles de las reglas de correlaciónVea los detalles de las reglas de correlación para identificar la causa de activación de la regla y reducir los falsospositivos.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de acceso conpermiso para administrar directivas.

Los detalles se recopilan siempre en el momento de la solicitud. No obstante, en el caso de las reglas que usanlistas de vigilancia dinámicas u otros valores que pueden cambiar con frecuencia, configure la regla paraobtener los detalles de inmediato tras la activación. Esto reduce la posibilidad de que los detalles no esténdisponibles.

Procedimiento1 Desde el panel, haga clic en y seleccione Correlación.

2 Configure las reglas para que muestren los detalles inmediatamente.

a En la consola de ESM, haga clic en el icono del Editor de directivas y, a continuación, haga clic en Correlaciónen el panel Tipos de regla.

b Haga clic en la columna Detalles correspondiente a la regla y seleccione Activado.

Puede seleccionar varias reglas a la vez.

3 Para ver los detalles:

a En el árbol de navegación del sistema, haga clic en Correlación de reglas bajo el dispositivo McAfee ACE.

b En la lista de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en el evento quedesee ver.

c Haga clic en la ficha Detalles de correlación para ver los detalles.

Adición de parámetros a un componente o una regla de correlaciónUtilice parámetros para controlar el comportamiento de las reglas de correlación cuando se ejecutan. Losparámetros son opcionales.

Procedimiento1 En las páginas Regla de correlación o Componente de correlación, haga clic en Parámetros.

2 Haga clic en Agregar y escriba un nombre para el parámetro.

3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección.

Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluir unintervalo (1–6, 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13.

4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valores predeterminados

.

5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visibleexternamente. El parámetro es local en cuanto al ámbito de la regla.

6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la páginaParámetros de regla al resaltar el parámetro.

7 Haga clic en Aceptar y, a continuación, en Cerrar.



Configuración de reglas de correlación para comparar campos de eventoConfigure reglas de correlación para comparar campos de evento (por ejemplo, comprobar que el usuario deorigen y destino son iguales). También puede configurar una regla para garantizar que las direcciones IP deorigen y de destino son distintas.


2 En el panel Tipos de regla, seleccione Correlación, haga clic en la regla que desee utilizar para comparar camposy, después, haga clic en Editar | Modificar.

3 Haga clic en el icono de menú de un componente lógico y, después, haga clic en Editar.

4 En el área de filtrado, haga clic en Agregar, o seleccione un filtro existente y haga clic en Editar.

5 Haga clic en el icono del Editor de valores predeterminados , escriba el valor y haga clic en Agregar; después,seleccione el campo en la ficha Campos y haga clic en Agregar.

Los campos numéricos admiten los operadores siguientes: mayor que (>), menor que (<), mayor o igual que(>=) y menor o igual que (<=).

Omisión del componente de reglas de correlaciónSi ha configurado una regla de correlación para llevar a cabo la agrupación según un campo específico, puedeomitir un componente de la regla para que coincida con otro campo.

Por ejemplo, si establece el campo Agrupar por de una regla de correlación con el valor de la dirección IP deorigen, puede omitir un componente de la regla para utilizar la dirección IP de destino. Esto significa que todoslos eventos tienen la misma dirección IP de origen, excepto los eventos que coinciden con el componenteomitido. En estos eventos, la dirección IP de destino coincide con la dirección IP de origen del resto de loseventos. Omita componentes de reglas para buscar un único evento desde un destino concreto seguido de unevento originado en dicho destino.


2 Haga clic en Correlación en el panel Tipos de regla, seleccione una regla y haga clic en Editar | Modificar.

3 Arrastre y coloque el elemento lógico Coincidir componente en el área Lógica de correlación y, después, hagaclic en el icono de menú o en el icono de menú de un elemento Coincidir componente existente en el áreaLógica de correlación.

4 Seleccione Editar, haga clic en Opciones avanzadas, seleccione Omitir Agrupar por y haga clic en Configurar.

5 En la página Configurar omisiones de Agrupar por, seleccione el campo de omisión y haga clic en Aceptar.

Reglas de origen de datosLas reglas de origen de datos tienen definidas acciones predeterminadas. McAfee Event Receiver asigna alsubtipo de evento asociado a la regla. La lista de reglas de origen de datos incluye reglas tanto predefinidascomo de aprendizaje automático.

McAfee Event Receiver aprende de forma automática las reglas de origen de datos a medida que procesa lainformación que le envían los orígenes de datos asociados con McAfee Event Receiver.



La opción Origen de datos del panel Tipos de reglas solo aparece cuando seleccione una directiva, un origen dedatos, Analizador de syslog avanzado o McAfee Event Receiver en el árbol de navegación del sistema. El área dedescripción situada en la parte inferior de la página ofrece información detallada sobre la regla seleccionada.Todas las reglas tienen un valor de gravedad que determina la prioridad de una regla, lo que afecta a cómo semuestran las alertas generadas por estas reglas para elaborar informes.

Establecimiento de acciones de reglas de origen de datosEstablezca el valor del subtipo de evento según la regla de origen de datos. Esto significa que se puedenestablecer acciones de regla para paneles, informes, reglas de análisis o alarmas con distintos valores, talescomo el resultado de una regla de acceso selectivo (permitir/denegar).

Procedimiento

1 En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas y, acontinuación, seleccione Receptor | Origen de datos en el panel Tipos de regla.

2 Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación, seleccionela nueva acción.

• Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta.

• Seleccione Desactivar si no desea recopilar eventos para la regla en cuestión.

• Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción.

Administración de reglas de origen de datos de aprendizaje automáticoVea y cambie las reglas de origen de datos provenientes de aprendizaje automático.

Procedimiento

1 En el Editor de directivas, seleccione Receptor | Origen de datos.

2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior del panel.

3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta .

4 Seleccione la regla que desee cambiar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglas deaprendizaje automático.

• Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic en Aceptar.

• Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic en Aceptar.

Reglas de McAfee Database Event Monitor (DEM)La capacidad más potente de McAfee DEM radica en la forma con la que captura y normaliza la informacióncontenida en los paquetes de red.

Cree reglas de DEM mediante expresiones lógicas y regulares para la coincidencia con patrones con el fin desupervisar los mensajes de bases de datos o aplicaciones casi sin falsos positivos. Los datos normalizados(métricas) varían según la aplicación, ya que algunos mensajes y protocolos de aplicación tienen másinformación que otros. Las expresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis,sino también para asegurarse de que la métrica sea compatible con la aplicación.

DEM incluye un grupo de reglas predeterminado. Las reglas de conformidad predeterminadas supervisan loseventos de base de datos significativos, tales como inicio/cierre de sesión, actividad de administrador de basede datos, como por ejemplo cambios de DDL, actividad sospechosa y ataques de base de datos, que suelen sernecesarios para satisfacer los requisitos de conformidad. Es posible activar o desactivar cada una de las reglaspredeterminadas y establecer el valor de los parámetros que el usuario puede definir.



La siguiente tabla describe los tipos de reglas de DEM.

Tipos de regla Descripción

Base de datos El grupo de reglas predeterminado del DEM incluye reglas para todos los tipos de basesde datos admitidos y normativas habituales tales como SOX, PCI, HIPAA y FISMA. Esposible activar o desactivar cada una de las reglas predeterminadas y establecer el valorde cada uno de los parámetros que el usuario puede definir.

Ya que algunos mensajes y protocolos de aplicación tienen más información que otros, losdatos normalizados (métricas) varían según la aplicación. Las reglas pueden ser tancomplejas como sea necesario y permiten la inclusión de operadores lógicos yexpresiones regulares. Se puede aplicar una expresión de regla a una o varias métricasdisponibles para la aplicación.

Acceso a datos Las reglas de acceso a datos del DEM rastrean rutas de acceso desconocidas hacia la basede datos y envían alertas en tiempo real. Algunas infracciones habituales en los entornosde base de datos, como que los desarrolladores de aplicaciones accedan a los sistemas deproducción mediante los ID de inicio de sesión de aplicación, se pueden rastrear confacilidad cuando se crean las reglas de acceso a datos apropiadas.



Tipos de regla Descripción

Descubrimiento Las reglas de descubrimiento de bases de datos del DEM proporcionan una lista deexcepciones de servidores de base de datos, de los tipos admitidos por el ESM, que estánen la red pero no se supervisan. Las reglas de descubrimiento permiten a losadministradores de seguridad descubrir los nuevos servidores de base de datosagregados al entorno y los puertos de escucha no autorizados abiertos para acceder a losdatos a través de bases de datos. Las reglas de descubrimiento (Editor de directivas | Tipo deregla de DEM | Descubrimiento) son reglas listas para usar que no se pueden agregar ni editar.Cuando la opción de descubrimiento de servidores de base de datos está activada(Propiedades de DEM | Servidores de base de datos | Activar), el sistema utiliza estas reglas parabuscar servidores de base de datos que se encuentren en la red, pero no aparecen en eldispositivo DEM.

Rastreo detransacciones

Las reglas de rastreo de transacciones permiten realizar un seguimiento de lastransacciones de base de datos y conciliar los cambios automáticamente. Por ejemplo, ellento proceso de rastrear los cambios de base de datos y conciliarlos mediante órdenesde trabajo autorizadas en el sistema de fichas de cambio existente puede automatizarsepor completo.

El uso de esta función se comprende mejor con un ejemplo:El administrador de la base de datos, como parte del procedimiento normal, ejecutaría elprocedimiento almacenado de etiqueta de inicio (spChangeControlStart en este ejemplo)en la base de datos donde se debe realizar el trabajo antes de que empiece realmente eltrabajo autorizado. La función Rastreo de transacciones del DEM permite al administrador debase de datos incluir un máximo de tres parámetros de cadena opcionales a modo deargumento para la etiqueta en la secuencia correcta:

1 ID

2 Nombre o iniciales del administrador

3 Comentario

Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’Cuando el DEM detecta la ejecución del proceso spChangeControlStart, no solamenteregistra la transacción, sino también los parámetros (ID, nombre, comentario) a modo deinformación especial.

Una vez terminado el trabajo, el administrador de base de datos ejecuta el procedimientoalmacenado de etiqueta de fin (spChangeControlEnd) y, si procede, incluye un parámetrode ID, que debe ser el mismo que el ID de la etiqueta de inicio. Cuando el DEM detecta laetiqueta de fin (y el ID), puede agrupar todas las actividades entre la etiqueta de inicio(que tenga el mismo ID) y la etiqueta de fin como una transacción especial. Por ello, sepuede informar por transacciones y buscar por ID, que en este ejemplo de conciliación deórdenes de trabajo podría ser el número de control de cambio.

También es posible utilizar el rastreo de transacciones para registrar el inicio y el fin deuna ejecución de orden o las sentencias de inicio y confirmación a fin de informarmediante transacciones en lugar de consultas.

Configuración de reglas de acceso a datosConfigure reglas de acceso para rastrear las rutas de acceso desconocidas a la base de datos y enviar eventosen tiempo real. Por ejemplo, puede rastrear infracciones comunes en entornos de bases de datos (por ejemplo,



desarrolladores de la aplicación que acceden a los sistemas de producción mediante ID de inicio de sesión de laaplicación).

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.


• Seleccione Nuevo y haga clic en Regla de acceso a datos.

• Seleccione la regla en el panel de visualización de reglas y haga clic en Editar | Modificar.


Reglas de filtradoLas reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe los datosdefinidos.

Orden de los datos

Las reglas de filtrado se escriben en el receptor con el siguiente orden de datos.

1 Todas la reglas no aplicables a todo.

a detención = verdadero y analizar = falso y registrar = falso

b detención = verdadero y analizar = verdadero y registrar = verdadero

c detención = verdadero y analizar = verdadero y registrar = falso

d detención = verdadero y analizar = falso y registrar = verdadero

2 Todas las reglas aplicables a todo.

Orden de las reglas

Si cuenta con derechos de Administrador de directivas, puede definir el orden en que desee que se ejecuten lasreglas de filtrado. De este modo, estas reglas se ejecutarán en el orden más eficaz para generar los datos quenecesita.

Adición de reglas de filtroAgregue reglas de filtro al Editor de directivas.

Antes de empezarCompruebe que dispone de privilegios de administrador de directivas.

Procedimiento1 En el Editor de directivas, seleccione Receptor | Filtro.

2 Seleccione Nuevo y, después, haga clic en Regla de filtrado.

3 Rellene los campos y haga clic en Aceptar.

Opción Definición

Etiquetas Haga clic en Seleccionar y elija etiquetas que definan las categorías a las que pertenece laregla.

Nombre Escriba un nombre para la regla.



Opción Definición

ID normalizado (Opcional) Haga clic en el icono ID normalizado y seleccione cualquier ID normalizadoadicional.

Gravedad (Opcional) Cambie la configuración de gravedad de la regla.

Coincidir todo Permite escribir la regla sin cadenas de contenido o PCRE. Si selecciona esta opción, lasacciones que especifique en la sección Acción que realizar con esta regla se ejecutarán entodos los datos recibidos.

Cadenas decontenido

(Opcional) Escriba cadenas de contenido para filtrar los datos recibidos. Cuando losdatos recibidos coincidan con estas cadenas de contenido, se realizará la acciónespecificada.• A fin de agregar una cadena, haga clic en Agregar y escríbala.

• Para editar o eliminar una cadena, selecciónela.

PCRE (Opcional) Escriba una única PCRE para filtrar los datos recibidos. Cuando los datosrecibidos coincidan con esta PCRE, se realizará la acción especificada en este cuadro dediálogo.

Sin distinciónmayúsculas/minúsculas

Agrega un modificador de no distinción de forma que se produzca la coincidencia con elcontenido de PCRE independientemente de las mayúsculas y minúsculas.

Acción Seleccione las acciones que se realizarán cuando los datos recibidos coincidan con laPCRE y las cadenas de contenido, o bien cuando se reciba cualquier dato si seselecciona Coincidir todo. Puede seleccionar todas las acciones necesarias.

Descripción (Opcional) Escriba una descripción de la regla, la cual aparecerá en el campo Descripcióndel Editor de directivas al seleccionarla.

4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de la columnaAcción y haga clic en activada.



Administración de reglas de rastreo de transaccionesLas reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilianautomáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden. También iniciany confirman sentencias para informar por transacciones en lugar de consultas.

Procedimiento1 En el Editor de directivas, seleccione DEM | Rastreo de transacciones.


• Haga clic en Nuevo y, a continuación, en Regla de rastreo de transacciones.

• Seleccione la regla en el panel de visualización de reglas y haga clic en Editar | Modificar.


Opción Definición

Tipo Seleccione el tipo de regla de rastreo de transacciones del que se trata.

Nombre de regla Escriba un nombre para la regla. Debe ser único y solo puede contener caracteresalfanuméricos, guiones bajos (_) y espacios.

Etiqueta de inicio deconsulta

Escriba la consulta SQL que ejecutar antes de realizar cambios en la base de datos(por ejemplo, spChangeControlStart).

Etiqueta de fin de consulta Escriba la consulta SQL que ejecutar tras realizar cambios en la base de datos (porejemplo, spChangeControlEnd).

Etiquetas Haga clic en Seleccionar, elija las etiquetas que desee asociar con la regla y haga clicen Aceptar.

ID normalizadoSi desea cambiar el valor predeterminado, haga clic en el icono y seleccioneel ID.

Gravedad Seleccione la configuración de gravedad.

Descripción Escriba una descripción para la regla.

VariablesUna variable es una configuración global o un marcador de posición para información específica de cadausuario o sitio. Muchas reglas hacen uso de las variables.

Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificar variables.

Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puede variar de undispositivo a otro. El ESM tiene muchas variables predefinidas, pero también le permite agregar variablespersonalizadas. Al agregar una regla, estas variables aparecen a modo de opciones en la lista desplegable deltipo de campo seleccionado en el campo Tipo de la página Nueva variable.

Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valores correspondientesal entorno específico de cada dispositivo. No se permiten espacios al introducir un nombre de variable. Si serequiere un espacio, use el guion bajo (_). Para maximizar la eficacia de un dispositivo, es importante establecerla variable HOME_NET de acuerdo con la red doméstica protegida por el dispositivo concreto.

En esta tabla se muestra una lista de variables habituales y sus valores predeterminados.



Nombre de variable Descripción Valorpredeterminado

Descripciónpredeterminada

EXTERNAL_NET Cualquiera fuera de la red protegida !$HOME_NET Puerto 80

HOME_NET Espacio de dirección de la red localprotegida: (10.0.0.0/80)

Cualquiera Igual que HOME_NET

HTTP_PORTS Puertos de servidor web: 80 u 80:90para indicar un intervalo entre 80 y 90

80 Cualquier puertoexcepto el deHTTP_PORTS

HTTP_SERVE RS Direcciones de servidores web:192.168.15.4 o[192.168.15.4,172.16.61.5]

$HOME_NET Igual que HOME_NET

SHELLCODE_PORTS Cualquier cosa excepto puertos deservidor web

!$HTTP_PORTS Igual que HOME_NET

SMTP Direcciones de servidores de correo $HOME_NET Igual que HOME_NET

SMTP_SERVERS Direcciones de servidores de correo $HOME_NET Igual que HOME_NET

SQL_SERVERS Direcciones de servidores de base dedatos SQL

$HOME_NET Igual que HOME_NET

TELNET_SERVERS Direcciones de servidores de Telnet $HOME_NET Igual que HOME_NET

Los valores de fábrica de las variables incluidas en el sistema pueden modificarse. También es posible agregar,modificar o eliminar las variables personalizadas.

Puede asignar tipos a las variables personalizadas. Los tipos de variables se usan al filtrar reglas para generarinformes, y determinan el campo donde están disponibles las variables a la hora de agregar o modificar unaregla. Los tipos de variables son globales por naturaleza, de forma que todos los cambios realizados se reflejanen todos los niveles de la directiva.

Administración de variablesCuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabo diversasacciones a fin de administrar las variables, tanto personalizadas como predefinidas.

Procedimiento1 Haga clic en el icono del Editor de directivas.

2 En el panel Tipos de regla, seleccione Variable.


• Para agregar una categoría, seleccione Nuevo | Categoría.

• Para agregar variables personalizadas, seleccione la categoría, haga clic en Nuevo seleccione Variable ydefina el ajuste solicitado.

• Para cambiar las variables, elija la variable, seleccione Editar y haga clic en Modificar o Eliminar.

Cuando el tipo de variable se establece con un valor distinto de No hay ningún tipo seleccionado y seconfirma, no es posible cambiar el valor.

• Para importar variables, seleccione Archivo y haga clic en Importar | Variables. Haga clic en Importar, busqueel archivo y cárguelo.

El archivo de importación debe ser un archivo .txt con la información en el formato siguiente:NombreVariable;ValorVariable; NombreCategoría (opcional); Descripción (opcional). Si falta algún campo,debe existir un punto y coma que actúe como marcador de posición.



4 En el panel de visualización de reglas, seleccione la categoría y haga clic en Nuevo.

5 Seleccione Variable y defina la configuración solicitada.

Detección de anomalías y secuestro de sesiones del protocolo TCPEs posible detectar y alertar de anomalías relacionadas con el protocolo TCP, así como comprobar la existenciade sesiones TCP secuestradas mediante la variable de preprocesador Stream5.


2 En el panel Tipos de regla, haga clic en Variable.

3 En el panel Variables, expanda el grupo preprocesador y haga doble clic en STREAM5_TCP_PARAMS.

4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor:• Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy first.

• Para comprobar la existencia de secuestro de sesiones TCP, agregue detect_anomaliescheck_session_hijacking tras policy first.

Reglas de eventos de WindowsSe usan reglas de eventos de Windows para generar eventos relacionados con Windows.

Se trata de reglas de origen de datos para eventos de Windows y son independientes del tipo de regla de origende datos porque constituyen caso de uso común. McAfee define estas reglas y no se pueden agregar, cambiarni eliminar, pero sí se pueden cambiar sus valores de propiedad.

Definición de sobresuscripción de paquetesLa Sobresuscripción define cómo McAfee ESM gestiona paquetes si se supera la capacidad del dispositivo. Entodos los casos, el paquete se registra como un evento. Es posible configurar la directiva predeterminada paraque funcione en el modo de solo alertas o en el modo de sobresuscripción. También cabe la posibilidad de verel estado de las actualizaciones de reglas y de iniciar una actualización.

Procedimiento1 En el Editor de directivas, haga clic en el icono Configuración .

2 En el campo Modo de sobresuscripción, haga clic en Actualizar.

3 En el campo Valor, introduzca la funcionalidad.

a Paso (paso o 1): permite pasar sin analizar los paquetes descartados.

b Supresión (supresión o 0): suprime los paquetes que superan la capacidad del dispositivo.

c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop.


Cambiar el modo de sobresuscripción afecta a los dispositivos principales y secundarios (dispositivos virtuales).Para que este cambio se aplique, debe cambiar el modo en el dispositivo principal.

Uso de directivas y reglas de McAfee ESMDefinición de sobresuscripción de paquetes 9


Visualización del estado de actualización de directivasDetermine cuándo desplegar actualizaciones de directivas revisando el estado de actualización de directivas endispositivos McAfee ESM.


2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar y planificadospara un despliegue automático.


Administración de reglasEs posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación. Lasreglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se pueden modificar,pero deben guardarse como una nueva regla personalizada.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar.

2 Para ver las reglas personalizadas:

a Seleccione la ficha Filtro en el panel Filtros/etiquetado.

b En la parte inferior del panel, haga clic en la barra Avanzado.

c Si desea ver una regla genérica del analizador de syslog avanzado, desactive el campo ID de tipo dedispositivo.

d En el campo Origen, seleccione definido por el usuario y haga clic en Ejecutar consulta .

3 Para copiar y pegar una regla:

a Seleccione una regla predefinida o personalizada.

b Seleccione Editar | Copiar y, a continuación, Editar | Pegar.

La regla copiada se agregará a la lista de reglas existentes con el mismo nombre y la mismaconfiguración.

Para reglas de ASP y de filtrado, el orden de las reglas se copia como parte del proceso de copia.

c Compruebe que el orden de la nueva regla no afecte negativamente al análisis de datos (Operaciones |Ordenar reglas de ASP u Operaciones | Ordenar reglas de filtrado).

d Para cambiar el nombre, seleccione Editar | Modificar.

9 Uso de directivas y reglas de McAfee ESMVisualización del estado de actualización de directivas


4 Para modificar una regla:

a Resalte la regla que desee ver y seleccione Editar | Modificar.

b Cambie la configuración y haga clic en Aceptar. Si se trata de una regla personalizada, se guardará con loscambios. Si es una regla estándar, se le preguntará si desea guardar los cambios como una nueva reglapersonalizada. Haga clic en Sí.

Si no ha cambiado el nombre de la regla, se guardará con el mismo nombre y un ID de firma distinto.

c Para cambiar el nombre, seleccione la regla y, a continuación, seleccione Editar | Modificar.

Procedimientos• Importación de reglas en la página 350

Importe un conjunto de reglas de otro ESM y guárdelo en su ESM.

• Importación de variables en la página 350Importe un archivo de variables y cambie su tipo. Si surgen conflictos, el sistema cambia el nombrede una nueva variable automáticamente.

• Exportación de reglas en la página 351Exporte reglas personalizadas o todas las reglas en una directiva para importarlas a otro ESM.

• Filtrado de reglas existentes en la página 351Filtre las reglas existentes para ver únicamente las que cumplan sus criterios. De formapredeterminada, las reglas de un tipo determinado aparecen en el Editor de directivas en ordenalfabético. Puede mostrarlas por hora o utilizar etiquetas para filtrar las reglas.

• Visualización de firmas de reglas en la página 352Si accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma deuna regla. Esta opción está disponible para reglas de firewall, inspección profunda de paquetes(DPI) y origen de datos.

• Recuperación de actualizaciones de regla en la página 352El equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo a fin de examinar eltráfico de red actualiza constantemente estas firmas, que se pueden descargar mediante elservidor central. Estas actualizaciones de reglas se pueden recuperar de forma automática omanual.

• Borrado del estado de regla actualizado en la página 353Al cambiar o agregar reglas al sistema, puede anular la selección de estas marcas después derevisar las actualizaciones.

• Comparación de archivos de regla en la página 353Comparar archivos de reglas (aplicadas, actuales, de reversión o preparadas) de dispositivos (comoreceptores, McAfee Application Data Monitor [ADM] y McAfee Database Event Monitor [DEM]) leayudará a ver cambios si las directivas actuales se aplican a los dispositivos.

• Visualización del historial de cambios de reglas en la página 354Puede ver los cambios recientes en las reglas, incluidos resúmenes de las reglas y las fechas en lasque se han producido cambios.

• Asignación de etiquetas a reglas o activos en la página 354Asigne etiquetas a reglas para poder filtrar las reglas por sus etiquetas. McAfee ESM incluyeetiquetas predefinidas, pero también puede crear etiquetas únicas de su organización.

Uso de directivas y reglas de McAfee ESMAdministración de reglas 9


Importación de reglasImporte un conjunto de reglas de otro ESM y guárdelo en su ESM.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que desee importar.

2 Haga clic en Archivo | Importar y seleccione Reglas.

Estos cambios no se pueden deshacer.

3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar.

El archivo se cargará en el ESM.

4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienen el mismoID que las existentes.

5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como se indica.

Conflictos durante la importación de reglas de correlaciónLa exportación de reglas de correlación crea un archivo con los datos de la regla. Sin embargo, el archivo noincluye los elementos a los que la regla hace referencia, tales como variables, zonas, listas de control, tipospersonalizados y activos, que la regla podría emplear.

Pueden surgir problemas en la importación si importa un archivo en un ESM con elementos de la regla cuyareferencia no se encuentre en el sistema de importación. Por ejemplo, si la regla 1 hace referencia a la variable$abc y no hay ninguna variable definida en el sistema de importación que se denomine $abc, se marca la reglacomo en conflicto.

Para evitar conflictos, cree los elementos necesarios a los que se hace referencia (manualmente o medianteuna importación, si es posible) o cambie la regla de correlación y las referencias de la regla.

Inmediatamente después de la importación, el sistema muestra las reglas en conflicto (marcadas con un signode exclamación) y cuáles han producido un error. Puede ver y cambiar los detalles del conflicto de reglas enesta lista.

Importación de variablesImporte un archivo de variables y cambie su tipo. Si surgen conflictos, el sistema cambia el nombre de unanueva variable automáticamente.

Antes de empezarAsegúrese de que se ha configurado un archivo de variables.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, haga clic en Variable.

2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic en Cargar.

Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores para informar decada problema.

3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas.


9 Uso de directivas y reglas de McAfee ESMAdministración de reglas


Exportación de reglasExporte reglas personalizadas o todas las reglas en una directiva para importarlas a otro ESM.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar.

2 Acceda a una lista de las reglas personalizadas del tipo seleccionado:

a En el panel Filtros/etiquetado, seleccione la ficha Filtro.

b Haga clic en la barra Avanzadas en la parte inferior del panel.

c En la lista desplegable Origen, seleccione definido por el usuario.

d Haga clic en el icono Ejecutar consulta .

3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas.

4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas.

5 En la página Descargar, haga clic en Sí, seleccione la ubicación y haga clic en Guardar.

Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse. Paracorregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma.

Filtrado de reglas existentesFiltre las reglas existentes para ver únicamente las que cumplan sus criterios. De forma predeterminada, lasreglas de un tipo determinado aparecen en el Editor de directivas en orden alfabético. Puede mostrarlas por horao utilizar etiquetas para filtrar las reglas.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar.

2 Seleccione la ficha Filtro en el panel Filtros/etiquetado.


• Filtre con varias etiquetas seleccionando categorías o etiquetas y haga clic en el icono Ejecutar consulta .

• Seleccione más de una categoría o etiqueta, y haga clic en el icono O y, a continuación, en el icono Ejecutarconsulta.

No puede usar el icono OR para filtrar los campos afectados por la herencia (Acción, Gravedad, Lista negra,Agregación y Copiar paquete).

• Escriba el nombre de la etiqueta en el campo Escriba aquí para buscar una etiqueta y seleccione la opción quenecesite en la lista.

• Muestre una lista de las reglas por hora de creación haciendo clic en el icono Ordenar por hora de labarra de herramientas y, a continuación, en el icono Ejecutar consulta.

• Muestre una lista de las reglas en orden alfabético haciendo clic en el icono Ordenar por nombre de labarra de herramientas y, a continuación, en el icono Ejecutar consulta.

• Anule la selección del filtro haciendo clic en el icono de filtro naranja de la barra de título del panel devisualización de reglas .



• Anule la selección de las etiquetas de filtro haciendo clic en el icono Borrar todo de la barra deherramientas. Se anulará la selección de las etiquetas, pero la lista de reglas seguirá filtrada.

• Filtre por ID de firma haciendo clic en la barra Avanzado en la parte inferior del panel Filtro. Acontinuación, escriba el ID de firma y haga clic en el icono Ejecutar consulta.

• Filtre por nombre o descripción. En el panel Avanzado, escriba el nombre o la descripción. Para obtenerresultados independientemente del uso de mayúsculas o minúsculas, haga clic en el icono de nodistinción entre unas y otras .

• Filtrar por tipo de dispositivo, ID normalizado o acción. En el panel Avanzado, haga clic en el icono Filtro

. En la página Variables de filtrado, seleccione la variable.

• Compare las diferencias en la configuración de directiva entre un tipo de regla y su elemento principalinmediato. En el panel Avanzado, seleccione Ver excepciones y haga clic en el icono Ejecutar consulta.

• Filtre por gravedad, lista negra, agregación, copia de paquete, origen y estado de la regla seleccionandoel filtro en la lista desplegable de cada uno de estos campos.

• Muestre únicamente las reglas personalizadas seleccionando definido por el usuario en el campo Origen delpanel Avanzado y haciendo clic en el icono Ejecutar consulta.

• Muestre las reglas creadas en un periodo específico haciendo clic en el icono de calendario situado juntoal campo Tiempo del panel Avanzado. En la página Tiempo personalizado, seleccione las horas de inicio ydetención, y haga clic en Aceptar y, a continuación, en el icono Ejecutar consulta.

Visualización de firmas de reglasSi accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma de una regla.Esta opción está disponible para reglas de firewall, inspección profunda de paquetes (DPI) y origen de datos.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver.

2 Seleccione una regla en el panel de visualización de reglas.

3 Haga clic en Operaciones y seleccione Examinar referencia.

4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla.

Recuperación de actualizaciones de reglaEl equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo a fin de examinar el tráfico dered actualiza constantemente estas firmas, que se pueden descargar mediante el servidor central. Estasactualizaciones de reglas se pueden recuperar de forma automática o manual.

Antes de empezarConfigure omisiones para las acciones realizadas cuando se recuperan reglas del servidor.


2 En la línea Actualización de reglas, haga clic en Actualizar.

3 Establezca McAfee ESM para que recupere actualizaciones de forma automática o busque actualizacionesinmediatamente.

9 Uso de directivas y reglas de McAfee ESMAdministración de reglas


4 Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar para aplicarlas.

5 Para ver las actualizaciones manuales, haga lo siguiente:

a En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de reglasactualizadas que desea ver.

c Haga clic en el icono Ejecutar consulta .

Borrado del estado de regla actualizadoAl cambiar o agregar reglas al sistema, puede anular la selección de estas marcas después de revisar lasactualizaciones.

Procedimiento1 En el panel Tipos de reglas del Editor de directivas, seleccione el tipo de regla cuya selección desee anular.


• Para anular la selección de todas las marcas de estado de la regla, haga clic en Operaciones y seleccioneBorrar estado de regla actualizado. Haga clic en Todo.

• Para anular la selección de las reglas seleccionadas, haga clic en la barra Avanzado del panel Filtros/etiquetado. En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de

marca cuya selección desee anular. Haga clic en el icono Ejecutar consulta . Seleccione las reglas cuyaselección desee anular y haga clic en Operación | Borrar estado de regla actualizado | Seleccionado.

Comparación de archivos de reglaComparar archivos de reglas (aplicadas, actuales, de reversión o preparadas) de dispositivos (como receptores,McAfee Application Data Monitor [ADM] y McAfee Database Event Monitor [DEM]) le ayudará a ver cambios silas directivas actuales se aplican a los dispositivos.

Procedimiento1 En el árbol de navegación del sistema, seleccione un dispositivo (por ejemplo, un receptor, ADM o DEM).

2 Haga clic en el icono Editor de directivas en la barra de herramientas de acciones y seleccione Herramientas |Comparar archivos de regla.

Si ambos archivos resultantes son inferiores a 15,5 MB aproximadamente, aparecerán en la tabla Comparararchivos de regla. Si cualquiera de los archivos tiene un tamaño superior, el sistema le solicitará descargarambos archivos.

3 En la página Comparar archivos de regla, realice las selecciones y haga clic en Comparar.• Seleccione los estados de directiva que desee comparar.

• Aplicada: muestra la directiva que se ha desplegado en el dispositivo.

• Actual: muestra la directiva actual en tiempo real no desplegada en el dispositivo.

• Revertir: muestra cuál sería la directiva si la revirtiera a la anterior.

• Preparada: muestra la directiva que se aplicará en el futuro.



• Vea los resultados de la comparación. Las diferencias entre los archivos se codifican mediante colores:

• Azul: existe la misma línea en ambos archivos, pero la configuración ha cambiado.

• Rojo: en el archivo izquierdo existe una línea que no existe en el derecho.

• Verde: existe una línea en el archivo de la derecha que no se encuentra en el de la izquierda.

Visualización del historial de cambios de reglasPuede ver los cambios recientes en las reglas, incluidos resúmenes de las reglas y las fechas en las que se hanproducido cambios.

Procedimiento1 En el Editor de directivas, haga clic en Herramientas | Historial de cambios de reglas.

2 En la página Historial de reglas, vea todos los cambios realizados en las reglas o haga clic en la ficha Versión deregla para ver la marca de tiempo más reciente para cada dispositivo en el que se categorizan reglas en elsistema. Esta vista ayuda a localizar la versión de cada regla para facilitar la administración y la conformidadcon normativas. De forma predeterminada, el sistema ordena los tipos de dispositivos alfabéticamente pornombre. Para ordenarlos por la marca de tiempo, haga clic en el encabezado de columna Versión.


Asignación de etiquetas a reglas o activosAsigne etiquetas a reglas para poder filtrar las reglas por sus etiquetas. McAfee ESM incluye etiquetaspredefinidas, pero también puede crear etiquetas únicas de su organización.

Los tipos de reglas de normalización, preprocesador o variable no pueden utilizar etiquetas.

Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar.

2 Haga clic en la ficha Etiquetas en el panel Filtros/etiquetado.


• Para agregar categorías de etiqueta, haga clic en el icono Nueva categoría de etiqueta y asigne un nombrea la categoría. El sistema crea una etiqueta base para la nueva categoría.

• Para agregar etiquetas a una categoría, selecciónela, haga clic en el icono Nueva etiqueta y asigne unnombre a la etiqueta.

Para utilizar esta etiqueta en el cálculo de la gravedad de eventos, seleccione Usar etiqueta para el cálculo degravedad de eventos y haga clic en Aceptar.

• Para cambiar una categoría o etiqueta, selecciónela y haga clic en el icono Editar etiqueta .

• Para cambiar una etiqueta personalizada, selecciónela y haga clic en el icono Quitar etiqueta .

Cambie la configuración de agregaciónLa agregación está definida como predeterminada y hay eventos agregados con campos coincidentes. Puedeelegir el tipo de agregación para todos los eventos generados en un dispositivo. A continuación, podrá cambiarla configuración de agregación de las reglas individuales.

9 Uso de directivas y reglas de McAfee ESMCambie la configuración de agregación


Procedimiento1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione la regla cuya configuración de agregación desee modificar.

3 Haga clic en Operaciones en la barra de herramientas y seleccione Modificar configuración de agregación.

4 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3.

Los campos seleccionados deben ser de tipos distintos para que no se produzca un error. Las descripcionespara la agregación de nivel 1, nivel 2 y nivel 3 cambian en función de las opciones seleccionadas.


6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntará si deseadesplegar los cambios. Haga lo siguiente:

a Haga clic en Sí.

En la página Despliegue de excepciones de agregación, aparecerá el estado de los dispositivos afectados por elcambio. Se marcarán todos los dispositivos no actualizados.

b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios.

c Haga clic en Aceptar para desplegar los cambios.

La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios.

Definición de acciones de omisión para reglas descargadasLas reglas pueden realizar una acción predeterminada cuando se descargan desde el servidor de McAfee.Puede definir una acción de omisión para la configuración predeterminada de la regla. Si no define una acciónde omisión, las reglas realizan la acción predeterminada.

Procedimiento1 En el Editor de directivas, haga clic en Herramientas y seleccione Nueva configuración de reglas.

La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada.

2 Configure la acción de omisión y haga clic en Cerrar.

Opción Definición

Lista de etiquetas Seleccione las etiquetas asignadas a la regla a la que desee aplicar esta omisión.Por ejemplo, para omitir la acción de todas las reglas de filtrado con la etiqueta AOL,haga clic en Amenazas actuales | AOL en la lista de etiquetas y seleccione Filtro en elcampo Tipo de regla.

Campo Tipo de regla Seleccione el tipo de regla al que desee aplicar la omisión.

Acción de regla Indique si desea que la regla y la etiqueta conserven la configuraciónpredeterminada, si quiere activar la omisión o si la regla y la etiqueta se debendesactivar.

Gravedad Seleccione la gravedad de esta omisión. El valor predeterminado es cero.

Lista negra, Agregación,Copiar paquete

Seleccione la configuración de esta omisión. Si no desea que se omita laconfiguración de estas opciones, conserve el valor predeterminado.

Uso de directivas y reglas de McAfee ESMDefinición de acciones de omisión para reglas descargadas 9


Ponderaciones de gravedadLa Gravedad de evento se calcula en función de la ponderación de gravedad asignada a activos, etiquetas, reglas yvulnerabilidades.

Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cada una delas cuatro gravedades multiplicadas por sus ponderaciones respectivas. La suma de todas ellas debe equivalera 100. Cuando se cambia un valor, se ven afectados otros valores.

Tipos de gravedad

Tipo degravedad

Descripciones

Activo Un activo es una dirección IP, con una zona asignada o no. El sistema determina la gravedadde activo de un evento de este modo:

1 El sistema compara la dirección IP de destino del evento y la zona de destino en todos losactivos. Si encuentra a una coincidencia, el sistema utiliza esta gravedad de activo para elevento.

2 Si el sistema no encuentra una coincidencia entre la dirección IP y la zona de destino, elsistema compara la dirección IP de origen del evento y la zona de origen en todos losactivos. Si encuentra a una coincidencia, el sistema utiliza esta gravedad de activo para elevento.

3 Si el sistema no encuentra ninguna coincidencia, la gravedad de activo es 0.

Etiqueta El sistema calcula la gravedad de etiqueta mediante etiquetas de McAfee y etiquetasdefinidas por el usuario. Para emplear una etiqueta en el cálculo de gravedad, debedefinirse tanto para la regla como para el activo del evento. Si la regla o el activo no tienenetiquetas definidas o si no se encuentran coincidencias de activos, la gravedad de etiquetaserá cero. Para calcular la gravedad de etiqueta, el sistema multiplica por 10 el número deetiquetas coincidentes de regla y activo. La gravedad de etiqueta está limitada a 100.

Regla La gravedad de regla es la establecida para el evento cuando se creó. Se basa en lagravedad de regla del evento, que se define en el Editor de directivas, y en losenriquecimientos de datos configurados para el recopilador del evento.

Vulnerabilidad Si hay información de gravedad de evaluación de vulnerabilidades para el activo y la reglade un evento, el sistema utiliza la gravedad de evaluación de vulnerabilidades más alta detodas las coincidencias de activos y reglas como la gravedad de vulnerabilidad. De locontrario, el sistema utiliza 0.

Definición de las ponderaciones de gravedadDefina las ponderaciones de gravedad que utiliza el sistema para calcular la gravedad de activos, etiquetas,reglas y vulnerabilidad.

Procedimiento1

En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad .

2 Defina la configuración y haga clic en Aceptar.• Arrastre y suelte los marcadores. Los campos Activos, Etiquetas, Reglas y Vulnerabilidad reflejan esta

configuración.

• En Gravedad proporcionada por proveedor de evaluación de vulnerabilidades o Gravedad PCI proporcionada por proveedorde evaluación de vulnerabilidades, seleccione el modo con el que el sistema calcula la gravedad de lavulnerabilidad de los datos entrantes. Si selecciona ambas opciones, el sistema usará el mayor de losdos valores para calcular la gravedad.

9 Uso de directivas y reglas de McAfee ESMPonderaciones de gravedad


Visualización del historial de cambios de directivaPermite ver o exportar un registro de los cambios que se han realizado en la directiva. Este registro puedealbergar un máximo de 1 GB de datos. Cuando se alcanza el límite, el sistema elimina los archivos más antiguossi es necesario.

Procedimiento1 En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva .

2 Visualice o exporte el registro y, a continuación, haga clic en Cerrar.

Despliegue de cambios de directivaDespliegue cambios de directiva en uno o varios dispositivos. Los cambios realizados en el nivel de la directivapredeterminada se aplican a todas las directivas durante el despliegue en los dispositivos.

Procedimiento1 En el Editor de directivas, haga clic en el icono Desplegar .

2 Seleccione cómo desea que se produzca el despliegue.


Cuando el despliegue finalice en todos los dispositivos, el estado de la directiva indicará un despliegue correcto.Si el comando de despliegue no se realiza correctamente, aparece una página con comandos fallidos.

Activación de Copiar paquete para reglasCuando activa Copiar paquete para una regla, el sistema copia los datos de paquete en McAfee ESM. Si estáactivada, los datos del paquete se incluyen en los datos del evento de origen de una alarma de tipo Coincidenciade evento interno o Coincidencia de campo.

Procedimiento1 En la consola, haga clic en el icono del Editor de directivas .

2 En el panel Tipos de reglas, haga clic en el tipo de regla al que desee acceder y localice la regla en el panel devisualización de reglas.

3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de formapredeterminada, y haga clic en activado.

Uso de directivas y reglas de McAfee ESMVisualización del historial de cambios de directiva 9


9 Uso de directivas y reglas de McAfee ESMActivación de Copiar paquete para reglas


10 Uso del modo FIPS

Contenido Información sobre el modo FIPS Adición de dispositivos en modo FIPS Comprobación de integridad de FIPS Solución de problemas del modo FIPS

Información sobre el modo FIPSDebido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones disponiblesno son conformes y otras funciones solo están disponibles en el modo FIPS. Estas funciones se indican a lolargo del presente documento y se enumeran aquí.

Conceptos básicos sobre FIPS

El Gobierno de los Estados Unidos desarrolló los Estándares Federales de Procesamiento de la Información(FIPS, por sus siglas en inglés) para definir procedimientos, arquitectura, algoritmos y otras técnicas utilizadosen sistemas informáticos. FIPS 140-2 es un estándar gubernamental para módulos de cifrado y criptográficosdonde cada componente de cifrado individual de la solución general requiere una certificación independiente.

El Estándar Federal de Procesamiento de la Información 140-2 especifica los requisitos de los productos dehardware y software que implementan funcionalidad criptográfica. FIPS 140-2 es de aplicación a "todas lasagencias federales que utilicen sistemas de seguridad basados en criptografía para proteger información decarácter confidencial [pero no clasificada] en sistemas informáticos y de telecomunicaciones (incluidos sistemasde voz) según lo definido en la Sección 5131 de la ley Information Technology Management Reform Act de 1996,Public Law 104–106". El "-2" de FIPS 140-2 indica que se trata de una revisión del estándar.

El texto íntegro de los estándares FIPS está disponible online en el sitio web del National Institute of Standardsand Technology (NIST) de Estados Unidos. McAfee hace uso de estos módulos criptográficos RSA para cumplirlos requisitos necesarios para la conformidad con FIPS.

Modo FIPS

Un dispositivo McAfee ESM que se ejecute en modo FIPS es conforme a FIPS. La decisión de ejecutar McAfeeESM en modo FIPS se toma durante la instalación y no se puede modificar.

En modo FIPS, ESM:

• Establece restricciones adicionales respecto de los tipos de métodos de seguridad permitidos.

• Realiza pruebas adicionales durante el inicio.

• Permite conexiones únicamente desde dispositivos conformes a FIPS.

10


Motivos para utilizar McAfee ePO en modo FIPS

Es posible que su organización necesite utilizar McAfee ePO en modo FIPS si se encuentra en una de estascategorías:

• Es una organización del Gobierno de los Estados Unidos que debe servirse de modelos criptográficosconformes con FIPS 140-2 de acuerdo con la ley FISMA u otras normativas federales, estatales o locales.

• Su organización debe utilizar módulos criptográficos estandarizados y evaluados de manera independiente.

El límite criptográfico

La conformidad con FIPS precisa de una separación física o lógica entre las interfaces por las que losparámetros de seguridad críticos entran y salen del módulo criptográfico y todas las demás interfaces. ESMcrea esta separación estableciendo un límite en torno al módulo criptográfico. Se utiliza un conjunto deinterfaces aprobadas para acceder a los módulos situados dentro del límite. No se permite ni proporcionaningún otro mecanismo de acceso a estos módulos cuando se está utilizando el modo FIPS.

Los módulos situados dentro del límite llevan a cabo estos procesos:

• Métodos de seguridad validados para FIPS que prestan servicios de criptografía, aplicación de hashes yotros servicios relacionados que se ejecutan en McAfee ESM

• Pruebas durante el inicio y de verificación requeridas por FIPS

• Comprobación de extensiones y firmas de archivos ejecutables

• Administración de conexiones TLS

• Utilidades de envoltura de la API criptográfica

Estado defunción

Descripción

Funciones nodisponibles en elmodo FIPS

• Receptores de disponibilidad alta.

• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.

• En la consola del dispositivo, el shell raíz se sustituye por un menú de administración deldispositivo.

Funciones solodisponibles en elmodo FIPS

• Existen cuatro funciones de usuario que no presentan coincidencia parcial alguna:Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves y certificados.

• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS quepermite verificar si el sistema funciona correctamente en el modo FIPS.

• Si se produce un error de FIPS, se agrega un indicador de estado al árbol de navegacióndel sistema para reflejar este fallo.

• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre lapágina Token de identidad de FIPS. Esta página muestra un valor que se debe comparar conel valor mostrado en las secciones del documento mencionadas para asegurarse de queno hay riesgos en relación con FIPS.

• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye elprivilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo laautorización para ejecutar pruebas automáticas de FIPS.

• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en elpuerto 22. El puerto SSH se puede cambiar.

10 Uso del modo FIPSInformación sobre el modo FIPS


Véase también Adición de dispositivos en modo FIPS en la página 361Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 361Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 362Solución de problemas del modo FIPS en la página 365Comprobación de integridad de FIPS en la página 364

Adición de dispositivos en modo FIPSHay dos métodos en el modo FIPS que le permiten agregar un dispositivo al que ya se ha aplicado una clave aESM. Los términos y las extensiones de archivos que se enumeran aquí pueden ser útiles cuando siga estosprocesos.

Terminología

• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no seemplea con fines criptográficos.

• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de clavesautorizadas de un dispositivo.

• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en un ESM afin de establecer la conexión SSH con un dispositivo.

• ESM principal: el ESM utilizado originalmente para registrar el dispositivo.

• ESM secundario: un ESM adicional que se comunica con el dispositivo.

Extensiones de archivo de los distintos archivos de exportación

• .exk: contiene la clave de dispositivo.

• .puk: contiene la clave pública.

• .prk: contiene la clave privada y la clave de dispositivo.

Véase también Información sobre el modo FIPS en la página 359Comprobación de integridad de FIPS en la página 364Solución de problemas del modo FIPS en la página 365Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 361Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 362

Copia de seguridad y restauración de información de un dispositivo enmodo FIPSEste método se emplea para crear copias de seguridad de la información de comunicación de un dispositivo yrestaurarlas en el ESM.

Principalmente, se puede utilizar en caso de un fallo que requiera la sustitución del ESM. Si la información decomunicación no se exporta antes del fallo, la comunicación con el dispositivo no se podrá restablecer. Estemétodo exporta e importa el archivo .prk.

La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con eldispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave pública en latabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave privada del ESM principale inicia la comunicación con su propio par de claves pública/privada.

Uso del modo FIPSAdición de dispositivos en modo FIPS 10


Procedimiento1 Exportación del archivo .prk del ESM principal

a En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo con la información decomunicación de la que desee crear una copia de seguridad y, después, haga clic en el icono Propiedades.

b Seleccione Administración de claves y haga clic en Exportar clave.

c Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.

d Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con eldispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caducanunca, la clave no caducará al importarla a otro ESM.

e Haga clic en Aceptar y seleccione la ubicación donde guardar el archivo .puk creado por ESM.

f Cierre la sesión en el ESM principal.

2 Agregue un dispositivo al ESM secundario e importe el archivo .prk.

a En el árbol de navegación del sistema del dispositivo secundario, seleccione el nodo de nivel de sistemao grupo al que desee agregar el dispositivo.

b En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

c Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

d Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en Siguiente.

e Introduzca la dirección IP de destino del dispositivo, indique el puerto de comunicación FIPS y haga clicen Siguiente.

f Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar.

g Escriba la contraseña especificada al exportar esta clave inicialmente.

h Cierre la sesión en el ESM secundario.

Véase también Información sobre el modo FIPS en la página 359Adición de dispositivos en modo FIPS en la página 361Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 362

Activación de la comunicación con varios dispositivos ESM en el modoFIPSSe puede permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación eimportación de archivos .puk y .exk.

El ESM principal se usa para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clavepública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen con eldispositivo.

10 Uso del modo FIPSAdición de dispositivos en modo FIPS


Acción Pasos

1

2

3

1

2

3

4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.

5 Haga clic en Aceptar y cierre la sesión en el ESM principal.

Procedimiento1 Exporte el archivo .puk del ESM secundario.

a En la página Propiedades del sistema del ESM secundario, seleccione Administración de ESM.

b Haga clic en Exportar SSH y seleccione la ubicación donde guardar el archivo .puk.

c Haga clic en Guardar y cierre la sesión.

2 Importe el archivo .puk al ESM principal.

a En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar.

b Haga clic en el icono Propiedades y seleccione Administración de claves.

c Haga clic en Administrar claves SSH.

d

Véase también Información sobre el modo FIPS en la página 359Adición de dispositivos en modo FIPS en la página 361Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página 361

Uso del modo FIPSAdición de dispositivos en modo FIPS 10


Comprobación de integridad de FIPSSi utiliza el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del software de forma regular. Estacomprobación se debe realizar en el sistema y en todos los dispositivos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté

seleccionada la opción Información del sistema.

2 Realice cualquiera de las acciones que se indican a continuación.

En estecampo...

Haga esto...

Estado deFIPS

Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM.

Prueba oPruebaautomáticade FIPS

Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmosutilizados en el archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de mensajes.

Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producidoalgún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.

Ver oIdentidadde FIPS

Abra la página Token de identidad de FIPS para realizar las pruebas de integridad del software de inicio.Compare este valor con la clave pública que aparece en esta página:

Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase encontacto con el Soporte de McAfee.

Véase también Información sobre el modo FIPS en la página 359Adición de dispositivos en modo FIPS en la página 361Solución de problemas del modo FIPS en la página 365

10 Uso del modo FIPSComprobación de integridad de FIPS


Solución de problemas del modo FIPSEs posible que surjan problemas al utilizar el ESM en el modo FIPS.

Problema Descripción y solución

No haycomunicación con elESM

• Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si indicaFallo de FIPS, póngase en contacto con el Soporte de McAfee.

• Busque una situación de error en la interfaz HTTP; para ello, acceda a la página webPrueba automática de FIPS de ESM mediante un navegador.

- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado unaprueba automática de FIPS, reinicie el dispositivo ESM para intentar corregir elproblema. Si el fallo persiste, póngase en contacto con el servicio de Soporte paraobtener instrucciones adicionales.

- Si aparece únicamente el dígito 1, el problema de comunicación no se debe a unfallo de FIPS. Póngase en contacto con el Soporte técnico para obtener instruccionesadicionales.

No haycomunicación con eldispositivo

• Si hay una marca de estado junto al dispositivo en el árbol de navegación del sistema,coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto con el Soportede McAfee a través del portal de soporte.

• Siga la descripción correspondiente al problema No hay comunicación con el ESM.

Error El archivo no esválido al agregar undispositivo

No se puede exportar una clave de un dispositivo no FIPS e importarla a un dispositivoque funcione en el modo FIPS. De igual forma, no se puede exportar una clave de undispositivo FIPS e importarla a un dispositivo no FIPS. Este error aparece cuando seintenta cualquiera de estas dos cosas.

Véase también Información sobre el modo FIPS en la página 359Comprobación de integridad de FIPS en la página 364Adición de dispositivos en modo FIPS en la página 361

Uso del modo FIPSSolución de problemas del modo FIPS 10


10 Uso del modo FIPSSolución de problemas del modo FIPS


Índice

Aacceso, otorgar a dispositivos 24, 41

accionesagregar a DEM 130

alarmas 237

asociación 76

definir para DEM 129

orígenes de datos 76

ACEagregar un administrador de correlación de riesgos 107

calificación de correlación de riesgos, agregar 109

correlación histórica 110

motor de correlación 106

motor de correlación de riesgos 106

motores de correlación 106

seleccionar tipos de datos que enviar desde el ESM 107

Active DirectoryAutenticación de inicio de sesión 179

configurar opciones de autenticación 183

recuperar datos 303

Active Response 294

DXL 294

formato de fecha 294

validación de datos, lista de vigilancia 294

activosadministrar 300

definir activos antiguos 302

gravedad 356

activos antiguos, definir 302

actualizacionesbuscar para reglas 19

recuperar para reglas 352

actualizarestado de dispositivos, ver directiva 348

software en varios dispositivos 34

actualizar árbol de navegación del sistema, detener 150

actualizar licencia de DEM 127

actualizar software de ESM 18

acumulación, aumentar índices disponibles 173

ADMconfiguración 111

eventos 111

resumen 10

ADM, diccionarios 113

administrar 117

configurar 114

ejemplos 116, 323

hacer referencia 115

ADM, mostrar contraseñas en visor de sesión 113

ADM, reglasadministrar personalizadas 317

agregar nuevas 317

anomalías de protocolo 125, 329

aplicaciones y protocolos compatibles 315

conceptos clave 315

elementos lógicos 256

elementos lógicos, editar 320

gramática de expresiones regulares 118, 320

literales 118, 320

módulos de protocolo de correo electrónico 124, 328

módulos de protocolo de correo web 124, 328

módulos de protocolo de transferencia de archivos 124, 328

operadores 118, 320

propiedades específicas de protocolos 124, 328

protocolo DNA, anomalías en reglas de ADM 125, 329

protocolo IP, anomalías en reglas de ADM 125, 329

protocolo TCP, anomalías en reglas de ADM 125, 329

referencias métricas 122, 326

sintaxis 118, 320

tipos de términos 120, 324

administración de amenazas 310

administración de casosinformes, generar 262

panel, mostrar 178

administración de zonas 307

administrador de activos 310

administrador de correlación de riesgos, agregar 107

administrador de tareas 193

adquisición de datosactivar en McAfee Risk Advisor 144

McAfee Risk Advisor 143

agregaciónadministrar excepciones de eventos 279

agregar excepciones 279

cambiar la configuración de reglas 354

configuración en dispositivo 278

definición 277


ajustaralarmas 244

alarmaadministrar consultas 193

alarmasacciones 237

activar 236, 237

agregar a regla 257

agregar lista de vigilancia a la alarma Coincidencia de eventointerno 266

ajustar 244

alarmas de Threat Intelligence Exchange 144

alertas de audio 235

archivos de audio 235

casos 242

condiciones 237

confirmar 241, 242

copiar 237

correo electrónico 231

crear 231, 236, 237, 244

desactivar 236

destinatarios 234

destinatarios de mensajes 234

editar 242

eliminar 242

escalación 237

eventos de correlación 233

eventos de origen, correlación 233

fallo de alimentación 258

filtro 242

gravedad 237

ID de firma del monitor de estado 246

informes 243

mensajes 151

mensajes, configurar 231

mensajes, servidor de correo 151

notificaciones, agregar destinatarios 152

panel, mostrar 178

personalizar resumen 256

plantillas 231

plantillas de mensajes 231

respuesta 241

servidor de correo, mensajes 151

SMS 231

SNMP 231

supervisar 241

syslog 231

UCAPL, crear 244

usuario asignado 237, 242

usuario asignado, cambiar 242

ver 241

alarmas activadascasos 242

confirmar 241, 242

editar 242

alarmas activadas (continuación)eliminar 242

filtro 242

usuario asignado 242

alertasescalación de alarmas 237

alertas visualesacción de alarma 237

alias, agregar 158

almacenamientoconfigurar datos de ESM 173

configurar datos de máquina virtual de ESM 173

almacenamiento de datosconfigurar ESM 173

configurar máquina virtual de ESM 173

unidad virtual local 96

almacenamiento de datos duplicado, agregar para ELM 93

almacenamiento de datos externo de ELM 94

almacenamiento de datos, agregar duplicado para ELM 93

almacenamiento de datos, duplicar para ELM 92

almacenamiento de datos, preparativos para almacenar datos enELM 85

almacenamiento de ELM, estimar necesario 84

almacenamiento, ubicación alternativa para ELM 101

almacenar datos de ELM, preparativos 85

almacenar registros de ELM 87

Altiris, recuperar datos de servidor 303

amenazasactivar o desactivar para cálculo de riesgo 309

ver detalles 309

ampliarESM principal y redundante 194

análisis, ejecutar McAfee Vulnerability Manager 146

analizador de syslog avanzadoagregar regla personalizada 331


analizador de syslog avanzado, origen de datoscodificación distinta de UTF-8 54

anomalías de protocolo, TCP 347

API externaadministrar consultas 193

aplicar opciones de configuración al DEM 129

aprendizaje automático de orígenes de datos, configurar 64

árbol de navegación del sistemaactualización automática, detener 150

organizar dispositivos 26

archivadoconfiguración, definir para receptor 49

archivos de audioalarmas 235

cargar 235

archivos de configuración, sincronizar en DEM 128

asignación de almacenamiento, reducir en ELM 92

asignación de datos, definir límites 174

Asistente de consultas 222

Índice


ASNbúsqueda, realizar 220

definir configuración de dispositivo 277

auditoríasUCAPL, alarma 244

autenticación de ePO 142

Bbarra de menús, Editor de directivas 311

barra de ruta de navegación, Editor de directivas 311

base de datosadministrar 172

estado 150

pistas de auditoría 313

pistas de auditoría, configurar regla e informe 313

servidor, agregar 138

utilización de memoria 175

base de datos de administración duplicada, sustituir para ELM 102

base de datos de administración, restaurar ELM 101

base de datos, reglasagregar nuevas 317



buscar campos coincidentes alrededor de eventos 219

CCAC

agregar usuarios 182

autenticación 179

cargar certificado raíz de CA 182

configuración 181

inicio de sesión, configurar 182

calificación de correlación de riesgos 109

cambios, ver en historial de reglas 354

camuflaje 192

capa 7, retraso de extracción de eventos 148

capturas SNMPUCAPL, alarma 244

cargararchivos de audio 235

casosacción de alarma 237

agregar 259

cerrar 260

crear a partir de alarma activada 242

editar 260

informes, generar 262

notificación por correo electrónico 262


ver detalles 260

categoríaagregar nueva etiqueta 354

agregar nueva variable 346

editar 354

certificadofrase de contraseña, obtener para McAfee Vulnerability Manager

146

instalar nuevo 164

certificado raíz de CA, cargar 182

certificado raíz, cargar para CAC 182

certificado, cargar raíz de CA para CAC 182

certificadosUCAPL, alarma 244

cliente, orígenes de datos 66

agregar 66

localizar 67

codificación de origen de datos ASP 54

coincidencia de campocondición de alarma 237

coincidencia de evento internocondición de alarma 237

comandos remotosacción de alarma 237

escalación de alarmas 237

comparar archivos de regla 353

comparar valores en gráficos de distribución 223

compatibilidad con la retransmisión de syslog 78

compilación, ver para software 27

componentesagregar parámetros 338

ejemplo de regla 336

enlazar 208

exportar 221

imagen, agregar 287

vista 219

vistas 211

compresión, administración en ELM 99

compresión, establecer en ELM 100

condición, agregar para informe 287

condicionesalarmas 237

coincidencia de campo 237

coincidencia de evento interno 237

desviación 237

frecuencia de activación 237

monitor de estado 237

tasa de comprobación 237

tasa de eventos 237

umbral 237

conexionescambiar con ESM 21

configurar para McAfee Vulnerability Manager 147

configuración de ELM 84

configuración de mensajes 151

configuración de redconfiguración de puertos IPMI 159

configuración del sistemacrear copia de seguridad 188

restaurar 188

Índice


configurar opciones avanzadas de DEM 128

confirmaralarma activada 242

confirmar automáticamenteacción de alarma 237

consolaagregar dispositivo 20

cambiar aspecto 178

tiempo de espera 18

consultar informes en CSV 151

consultasadministrar 193

eliminar en ejecución 193

contains, filtro 288

contraseñascambiar 178

contraseñas en visor de sesión, mostrar 113

control del tráfico de reddispositivos 160

ESM 37

copia de seguridad, restaurar 190

correlación de riesgos, calificación 109

correlación histórica, ACE 110

correlación histórica, agregar filtro 110

correlación, orígenes de datos 71

correlación, reglasadministrar personalizadas 317

agregar nuevas 317



ver detallesconfiguradas para mostrar detalles 338

correo electrónicoalarmas 231

notificación de caso 262

servidor de correo, conectar 151

crearalarmas 231

crear automáticamente orígenes de datos 62

crear copia de seguridadconfiguración del sistema 188

ELM 100

Credenciales de autenticación de ePO 142

credenciales de ePO 142

credenciales, obtención y adición para actualización de reglas 19

Ddatos de evaluación de vulnerabilidades, integrar 56

datos de evaluación de vulnerabilidades, recuperar 61

datos de registro, restaurar ELM 101

DEMactualizar licencia 127

agregar acción 130

configuración avanzada 128

definir acciones 129

DEM (continuación)editar acción personalizada 131

establecer operación 131

identificación de usuarios 137

máscaras de datos confidenciales 135

opciones de configuración, aplicar 129

referencias de métricas de regla 132

reglas 340

resumen 10

servidor de base de datos, agregar 138

sincronizar archivos de configuración 128

DEM, configuración específica 126

DEM, reglasadministrar personalizadas 317

desactivar comunicación SSH con ESM 21

desactivar dispositivo de duplicación de ELM 93

descargadas, omitir acción en reglas 355

descargareventos, flujos y registros 273

destinatariosagregar 152

mensajes de alarma 234

desviacióncondición de alarma 237

detalles de sesión, ver 214

detener dispositivos 40

detener varios dispositivos 34

DHCP, configurar 162

direcciones IP de destino, mostrar nombre de host en informes 288

direcciones IP de origen, mostrar nombre de host en informes 288

directivaagregar 312

aplicar cambios 357

cambiar nombre 312

copiar 312

directiva secundaria, agregar 312

Editor de directivas 311

Editor de directivas, diagrama 311

eliminar 312

exportar 312

importar 312

localizar 312

ver reglas 312

diseño, agregar para informe 286

dispositivo de almacenamiento SAN, aplicar formato para datos deELM 95

dispositivo de almacenamiento, agregar en ELM 89

dispositivo de duplicación, desactivar en ELM 93

dispositivo iSCSI, agregar para almacenamiento de ELM 94

dispositivosadministrar claves de comunicación SSH 26

administrar varios 34

agregar a la consola 20

agregar dispositivo 20

agregar vínculo de URL 28

Índice


dispositivos (continuación)ASN, definir configuración 277

cambiar descripción 21

cambiar nombre 21

cambiar pantalla predeterminada 178

compilación 27

conexión con ESM, cambiar 21

configuración de agregación 278

configurar descargas de eventos, flujos y registros 273

control del tráfico de red 160

datos de estado, descargar 34

desactivar orígenes de datos 178

detener 40

estadísticas de dispositivo 34

geolocalización, definir configuración 277

ID de equipo 27

informe de recuento 150

informes de resumen 30

iniciar 40

modelo 27

número de serie 27

organizar 26

otorgar acceso 24, 41

registro de mensajes 34

reiniciar 40

servidores NTP 153

sincronizar con ESM 22

sincronizar relojes 163

ver información general 27

ver registro 30

versión 27

dispositivos virtuales 35

agregar a dispositivo 36

reglas de selección, administrar 36

duplicados, eliminar nodos de dispositivo 37

duplicar almacenamiento de datos de ELM 92

Eeditor de directivas

modo de sobresuscripción, configurar 347

ver estado de actualización de dispositivos 348

Editor de directivashistorial de cambios 357

elementos lógicos para reglas de correlación, base de datos y ADM256


eliminada, agregar o eliminar entrada eliminada en McAfee NetworkSecurity Manager 148

eliminaralarma activada 242

ELMagregar almacenamiento de datos duplicado 93

agregar dispositivo de almacenamiento 89

agregar dispositivo iSCSI para almacenamiento 94

almacenamiento de datos duplicado, agregar 93

ELM (continuación)almacenamiento de datos externo 94

almacenar registros 87

aplicar formato a dispositivo SAN para almacenar datos 95

asignación de almacenamiento, reducir 92

base de datos de administración duplicada, sustituir 102

base de datos de administración, restaurar 101

búsqueda mejorada 218

compresión 99

compresión, establecer 100

configurar comunicación 39

crear copia de seguridad 100

datos de registro, restaurar 101

definir ubicación de almacenamiento alternativa 101

desactivar dispositivo de duplicación 93

duplicar almacenamiento de datos 92

grupo de almacenamiento duplicado, reconstruir 93

grupo de almacenamiento, agregar o editar 90

migrar base de datos 102

mover grupo de almacenamiento 91

preparativos para almacenar datos 85

restaurar 100

resumen 10

sincronizar con dispositivo 39

uso de almacenamiento, ver 102

vista de búsqueda 218

enlazar componentesvincular componentes 208

enmascarar direcciones IP 192

enriquecimiento de datos 195

Active Responseagregar origen de enriquecimiento de datos 296

resultados de búsqueda de Active Response 296

ePOagregar credenciales de autenticación 142

transmisión de eventos, vista 42

ePolicy Orchestratoradquisición de datos de McAfee Risk Advisor, activar 144

configuración 141

etiquetas, asignar a dirección IP 142

Iniciar desde ESM 141

error de registro de seguridadUCAPL, alarma 244

errores de carga manual, fuente de Cyber Threatsolución de problemas

carga manual de un archivo IOC STIX XML 230

errores de inicio de sesiónUCAPL, alarma 244

escalaciónalarmas 237

ESMactualizar software 18

administrar 190

almacenamiento de datos, configurar 173

ampliar principal y redundante 194

Índice


ESM (continuación)control del tráfico de red 37

hora no sincronizada con origen de datos 258

registro, configurar 192

restaurar configuración 189

resumen 10

sincronizar con dispositivo 22

ver información del sistema 150

ESM distribuidoagregar filtros 141

propiedades 140

ESM principal, ampliar 194

ESM redundanteampliar 194

estadísticas, ver en dispositivo 34

estadodispositivos, ver actualización de directivas 348

inactivo 31

estado de dispositivo, descargar datos 34

estado de regla actualizado, borrar 353

estado del sistemaUCAPL, alarma 244

etiqueta de ePOacción de alarma 237

etiquetar, ePO 142

etiquetasagregar nuevas 354

asignar a reglas o activos 354

asignar de ePolicy Orchestrator a dirección IP 142

campo de búsqueda de etiquetas, Editor de directivas 311

categoría, agregar ahora 354

editar existentes 354

eliminar personalizadas 354

gravedad 356

personalizadas, eliminar 354

Event Receiverconfigurar opciones 41

evento de correlación, ver eventos de origen 50

eventosadministrar excepciones de agregación 279

buscar campos coincidentes alrededor 219

comprobar 277

configurar descargas 273

descripción 273

detalles de sesión, ver 214


establecer umbral de inactividad 276

ponderaciones de gravedad, configurar 356

registros, establecer idioma 17

ver hora exacta 216

eventos de correlaciónalarmas, eventos de origen 233

eventos de origen, alarmas 233

eventos de correlación histórica, descargar 111

eventos de metadatos 111

eventos de origenalarmas, correlación 233

correlación, alarmas 233

eventos de origen, ver para evento de correlación 50

eventos de transmisión para receptor, NSM y ePO 42

eventos, flujos y registroslimitar tiempo de recopilación 275

excepciones a la configuración de agregación, agregar 279

exportarcomponente 221

reglas 351

exportar zonas 308

Ffallo de alimentación

alarmas 258

fecha, cambiar formato 178

filtro contains 288

filtrosagregar al ESM distribuido 141

agregar reglas 343

alarma activada 242

panel de etiquetado, Editor de directivas 311

reglas existentes 351

tipos personalizados 291

UCF 217

vistas 214

Windows, ID de evento 217

filtros, reenvío de eventos 282

filtrosID normalizado, seleccionar 216

firma, ver para reglas 352

flujoscomprobar 277


descripción 273

establecer umbral de inactividad 276

vistas 217

formato de evento común, orígenes de datos 79

frase de contraseña y certificado, obtener para McAfee VulnerabilityManager 146

frecuencia de activacióncondición de alarma 237

fuente de Cyber Threaterrores de carga manual 230

fuentes de Cyber Threat 229

fuentes de Internetcrear listas de vigilancia 270

funciones administrativasUCAPL, alarma 244

Ggeolocalización, definir configuración del dispositivo 277

Global Threat Intelligence, lista de vigilancia 265

gráfico de distribución, comparar valores 223

Índice


gramática de expresiones regulares para reglas de ADM 118, 320

gravedadalarmas 237

asociación 76



ponderaciones 356

ponderaciones, configurar 356

gravedad de riesgosadministración de amenazasadministrar 310

vistas personalizadas y predefinidas 310

grupo de almacenamiento duplicado, reconstruir 93

grupo de almacenamiento, agregar dispositivo de almacenamientopara vincular 89

grupo de almacenamiento, agregar o editar 90

grupo de almacenamiento, mover 91

grupo de almacenamiento, reconstruir duplicado 93

grupo de dispositivos, administrar 23, 40

grupo de registro predeterminado, establecer 39

grupo de reglas 80

Grupo Hogar, desactivar uso compartido de archivos 88

gruposconfigurar usuarios 185

usuarios 175

grupos de reglas de McAfee 80

GTI, lista de vigilancia 265

HHadoop PIG 199

hardware 150

historialcambios de directiva 357

ver cambios de reglas 354

hora del dispositivover para un evento 216

hora del eventover 216

hora del sistema, sincronizar 163

hora no sincronizada entre el ESM y el origen de datos 258

IID de cliente 150

ID de equipo, ver para dispositivo 27

ID de firma del monitor de estado 247

alarmas 246

ID normalizadoseleccionar 216

identificación de usuariosadministrar 137

agregar regla 137

idioma, establecer para registros de eventos 17

imágenesincluir en PDF e informes 287

importararchivo de normalización de cadenas 225

importar (continuación)lista de orígenes de datos 69

reglas 350

variable 346

importar configuración de zonas 308

importar, nombres de host 161

indicadores de compromiso (IOC) 229

indicadores de estado 31

indicadores, dispositivo o sistema 31

índices de acumulación, aumentar disponibles 173

informativos, indicadores 31

informeadministrar consultas 193

informe de hora de evento 150

informesacción de alarma 237

administración de casos, generar 262

agregar 284

agregar condición 287

alarmas 243

cancelar 243

cola 243

componentes, agregar una imagen 287

definidos por el usuario 283

descargar 243

detener 243

diseño 286

eliminar 243


hora de evento 150

imagen, agregar 287

incluir imagen 287

mostrar nombres de host 288

notificaciones, agregar destinatarios 152

predefinidos 283

recuento de tipos de dispositivos 150

resumen de dispositivos 30

trimestrales, establecer mes de inicio 284

IniciarePolicy Orchestrator desde ESM 141

iniciar dispositivos 40

iniciar sesiónlista de control de acceso 181

iniciar varios dispositivos 34

Inicio de sesióndefinir configuración 179

intercambiar funciones de receptores de disponibilidad alta 47

interfazadministrar red 156

configuración de red 157

IPdirección, asignar etiquetas de ePolicy Orchestrator 142

IPMI, configurar puerto en ESM o dispositivos 159

IPv6configurar receptor de disponibilidad alta 46

Índice


Jjerarquía de ESM, enmascarar datos 192

LLDAP

Autenticación de inicio de sesión 179

servidor, autenticar usuarios 185

lectura de final de archivos, método de recopilación de orígenes dedatos 70

licencia, actualizar en DEM 127

límites de asignación de datos, definir 174

límites de retención de datos, configurar 174

límites, configurar para retención de datos 174

lista de control de acceso, configurar 181

lista de vigilanciaadministrar consultas 193

agregar 266

agregar reglas 269

crear nueva 269

descripción general 265

GTI 265

lista de vigilancia de Threat Intelligence Exchange 144

lista negraagregar entrada de McAfee Network Security Manager 147

configurar global 195

entrada, agregar o eliminar eliminada en McAfee NetworkSecurity Manager 148

global 194

lista negra global 194

configurar 195

listas de vigilanciaacción de alarma 237

Active Responseagregar lista de vigilancia 271

fuentes de Internet 270

resultados de búsqueda de Active Response 271

listas negrasacción de alarma 237

literales para reglas de ADM 118, 320

Mmantenimiento de archivos, administrar 190

máquina virtual, configurar almacenamiento de datos 173

máscaras de datos confidenciales 135

administrar 136

McAfee ACEresumen 10

McAfee ePOcredenciales, configurar para usuarios 184

McAfee Event Receiverresumen 10

McAfee Network Security Manageragregar o eliminar 148

entrada de lista negra eliminada 148

entrada de lista negra, agregar 147

McAfee Risk Advisoradquisición de datos 143

adquisición de datos, activar 144

McAfee Vulnerability Managercertificado y frase de contraseña, obtener 146

conexiones, configurar 147

ejecutar análisis 146

McAfee, MIB 168

mejorada, búsqueda de ELM 218

memoria, utilización en base de datos 175

mensaje de syslogUCAPL, alarma 244

mensajesacción de alarma 237

alarmas 151

alarmas, configurar 231

alarmas, destinatarios 234

alarmas, servidor de correo 151

correo electrónico 231

destinatarios, alarmas 234


mensaje de texto 231

plantillas de alarma 231

servidor de correo, conectar 151

SNMP 231

syslog 231

MIBextraer de ESM 172

MIB de McAfee 168

migración de base de datosunidad virtual local 96

migrar la base de datos, ELM 102

migrar orígenes de datos a otro receptor 69

modelo, ver para dispositivo 27

modo de sobresuscripción, configurar 347

modo FIPScomprobar integridad 364

módulos de protocolo de correo electrónico para reglas de ADM 124,328

módulos de protocolo de correo web para reglas de ADM 124, 328

módulos de protocolo de transferencia de archivos para reglas deADM 124, 328

monitor de estadocondición de alarma 237

ID de firma 247

motor de correlación de riesgos, ACE 106

motor de correlación, ACE 106

mover grupo de almacenamiento 91

mover orígenes de datos a otro sistema 68

Nnodos de dispositivo duplicados, eliminar 37

nombres de hostadministrar 161

nombres de host, importar lista 161

Índice


nombres de host, mostrar en informes 288

normalización 314

normalización de cadenasadministrar archivos 225

crear archivo que importar 225

notificación de fallos de alimentación 168

notificación, configurar SNMP 38

NSMcapa 7 148


número de seriesistema 150

ver para dispositivo 27

Oomitir acción en reglas descargadas 355

opciones de configuración, aplicar al DEM 129

operación, establecer para DEM 131

operadores para reglas de ADM 118, 320

origen de evaluación de vulnerabilidades, agregar 57

orígenes de activosadministrar 303

agregar receptor 81


agregar secundarios 54

analizador de syslog avanzado 71

aprendizaje automático, configurar 64

asociación de gravedades y acciones 76

ASP, codificación 54

cliente 66

cliente, agregar 66

cliente, localizar 67

codificación para ASP 54

compatibilidad con la retransmisión de syslog 78

correlación 71

crear automáticamente 62

formato de evento común 79

hora no sincronizada con ESM 258

importar lista 69

método de recopilación de lectura de final de archivos 70

método de recopilación, leer final de archivo 70

migrar a otro receptor 69

mostrar desactivados 178

mover a otro sistema 68

reglas de creación automática, agregar 63

Security Device Event Exchange (SDEE) 79

orígenes de datos secundarios, agregar 54

orígenes de datos, acciones de reglas 340

Ppantalla, seleccionar tipo 22

parámetros, agregar a componente o regla de correlación 338

PDF, incluir imagen 287

perfil de comando remoto, configurar 164

perfil de sistema de evaluación de vulnerabilidades, definir 56

perfiles, configurar 164

personalizadosfiltros de tipos 291


plantillas, mensajes de alarma 231

ponderaciones, configurar para gravedad 356

predefinidas, vistas 204

propiedades específicas de protocolos para reglas de ADM 124, 328

protocoloeventos de anomalía 111

protocolo DNA, anomalías en reglas de ADM 125, 329

protocolo IP, anomalías en reglas de ADM 125, 329

protocolo TCP, anomalías en reglas de ADM 125, 329

proveedores de evaluación de vulnerabilidades disponibles en ESM61

RRADIUS

Autenticación de inicio de sesión 179

configuración de autenticación 181

receptororigen de activos, agregar 81


receptor de disponibilidad alta 42

configurar con IPv6 46

configurar dispositivos 45

intercambiar funciones 47

reinicializar dispositivo secundario 45

sustituir receptor 48

receptor de disponibilidad alta secundario, reinicializar 45

receptoresconfiguración de archivado, definir 49


Receptores de disponibilidad alta 42

reconstruir grupo de almacenamiento duplicado 93

recopiladorSIEM Collector 55

recuperar actualizaciones de reglas 352

redadministrar interfaces 156

configurar opciones 154

interfaces, configurar en dispositivos 157

reducir asignación de almacenamiento en ELM 92

redundancia de ELMcambiar ELM 97

suspender la comunicación con el ELM en esperadesactivar la redundancia 97

ver detalles sobre la sincronización de datos 97

volver a poner el ELM en espera en servicio 97

reenvío de eventosagentes 282

agregar destinos 280

agregar filtros 282

configurar 279

Índice


referencia, diccionario de ADM 115

referencias métricasADM, reglas 122, 326

DEM, reglas 132

registrar eventoacción de alarma 237

registroconfigurar ESM 192

establecer grupo predeterminado 39

ver de sistema o dispositivo 30

registro de mensajes, ver en dispositivo 34

registro del sistema, ver 30

registroscomprobar 277


descripción 273

establecer idioma 17

registros, almacenar en ELM 87

regla de rastreo de transacciones, agregar o editar 345

regla de selección para dispositivos virtuales, administrar 36

reglasactivar eventos 111

agregar a lista de vigilancia 269

agregar alarma 257

borrar estado de regla actualizado 353

buscar actualizaciones 19

cambiar la configuración de agregación 354

comparar archivos 353

credenciales de actualización 19

eventos de Windows 347

exportar 351

filtrar existentes 351

gravedad 356

historial, ver cambios 354

importar 350

normalización 314

omitir acción en descargadas 355

origen de datos 339

panel de tipos de reglas, Editor de directivas 311

pantalla de reglas, Editor de directivas 311

rastreo de transacciones, agregar o editar 345

recuperar actualizaciones 352

tipos y propiedades 315

variables 345

ver firma 352

reglas de acceso a datos, agregar o editar 342

reglas de ASPestablecer orden 334

formatos de hora, agregar 335

reglas de ASP personalizadas, agregar 331

reglas de correlación 336

agregar parámetros 338

conflictos al importar 350

ejemplo 336

reglas de Threat Intelligence Exchange 144

reglas de creación automática de orígenes de datos, agregar 63

reglas de filtradoestablecer orden 334

orden de las reglas 343

orden de los datos 343

reglas de origen de datos 339

aprendizaje automático, administrar 340

reglas de origen de datos de aprendizaje automático, administrar 340

reinicializar receptor de disponibilidad alta secundario 45

reiniciar dispositivos 40

reiniciar varios dispositivos 34

reloj de dispositivos, sincronizar 163

reloj del sistema 150

Remedyacción de alarma 237

configuración del servidor 150

ID de caso, agregar al registro de evento 221

responderalarmas 241

restaurarconfiguración del sistema 188

restaurar archivos de configuración con copia de seguridad 190

restaurar configuración de ESM 189

restaurar ELM mediante copias de seguridad 100

resultados de búsquedas de Active Responseanexar datos a una lista de vigilancia 296

buscar en datos resultantes 296

crear lista de vigilancia 296

exportar datos 296

retención de datos, configurar límites 174

riesgoamenazas que incluir en el cálculo 309

rutas estáticas, agregar 159

SSDEE, orígenes de datos 79

secuestro de sesiones, TCP 347

seguridad, claves de comunicación SSH 26

servidor de correo,alarmas, conectar 151

conectar 151

servidores NTPestablecer para dispositivo 153

ver estado 153

sesiones simultáneasUCAPL, alarma 244

sincronización de hora 163

sincronizar dispositivorelojes 163

sincronizar dispositivo con ESM 22

SMSalarmas 231

SNMPalarmas 231

configuración 166, 167

Índice


SNMP (continuación)configurar notificaciones 38

MIB 168

notificación de fallos de alimentación 168

softwareactualizar en varios dispositivos 34

software, actualizar ESM 18

SSHclaves de comunicación, administrar para dispositivos 26

comunicación, desactivar con ESM 21

regenerar clave 193

STIX, tipos de indicadores compatibles 229

supervisaralarmas 241

sustituir receptor con problemas 48

sustituir receptor de disponibilidad alta 48

syslogalarmas 231

Ttasa de comprobación

condición de alarma 237

tasa de eventoscondición de alarma 237

TCPanomalías de protocolo 347

secuestro de sesiones 347

Threat Intelligence Exchangeintegración con ESM

historial de ejecución 144

tiempo de espera, consola 18

tipo de pantalla de dispositivos, seleccionar 22

tipo de pantalla predeterminada, cambiar 178

tipos de indicadores, compatibles 229

tipos de reglas 315

tipos de términos para reglas de ADM 120, 324

tipos personalizadoscrear 293

trimestrales, establecer mes de inicio de informes 284

UUCAPL

alarmas, crear 244

auditorías, alarma 244

capturas SNMP, alarma 244

certificados, alarma 244

error de registro de seguridad, alarma 244

errores de inicio de sesión, alarma 244

estado del sistema, alarma 244

funciones administrativas, alarma 244

mensaje de syslog, alarma 244

sesiones simultáneas, alarma 244

umbral de inactividad, alarma 244

UCF, filtros 217

umbralcondición de alarma 237

umbral de inactividadUCAPL, alarma 244

umbral de inactividad, establecer 276

unidad virtual local 96

uso compartido de archivos en el Grupo Hogar, desactivar 88

uso de almacenamiento, ver en ELM 102

usuario asignadoescalación de alarmas 237

usuariosagregar 176

agregar inicio de sesión CAC 182

autenticar mediante servidor LDAP 185

desactivar 185

reactivar 185

uso 175

Vvariables 345

Cambiar 346

Cambiar tipo 346

categoría, agregar ahora 346

eliminar personalizadas 346

importar 346

personalizadas, agregar 346

varios dispositivosadministrar 34

veradministrar consultas 193

versión, ver para software 27

vínculos de URLagregar a dispositivo 28

virtual, unidad local 96

visor de sesión, ver contraseñas 113

vista predeterminada, cambiar 224

vistasbúsqueda de ELM mejorada 218

cambiar predeterminada 224

componentes 219

componentes, descripción 211

datos de una vista 215

filtrar 214

filtros 215

flujo 217

predefinidas 204

vistas de fábrica 204

VLANagregar 158

vulnerabilidadadministrar orígenes 304

evaluación 304

gravedad 356

Índice


WWHOIS

búsqueda, realizar 220

WindowsID de evento, filtros 217

reglas de eventos 347

Zzona horaria

formato, cambiar 178

zonasadministrar 307

zonas (continuación)agregar 308

exportar configuración 308

importar configuración de zonas 308

Índice


kc.mcafee.com 1 Descripción general del producto 9 Descripción general...

Documents

Transcript of kc.mcafee.com 1 Descripción general del producto 9 Descripción general...