Guía de instalación de McAfee Enterprise Security ... · Requisitos de la máquina virtual ... de...

Guía de instalación de McAfee EnterpriseSecurity Manager 11.0.0

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

2 Guía de instalación de McAfee Enterprise Security Manager 11.0.0

Contenido

1 Installation overview 7¿Qué tipo de instalación necesita? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Flujo de trabajo de instalación de hardware . . . . . . . . . . . . . . . . . . . . . . . . . 8Flujo de trabajo de instalación de máquinas virtuales . . . . . . . . . . . . . . . . . . . . . 9Flujo de trabajo de actualización del software . . . . . . . . . . . . . . . . . . . . . . . . 10

2 Planning your installation 11Componentes del sistema disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Agrupación en clústeres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Escenarios de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Cómo funciona el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3 System requirements 19Requisitos de la máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4 Install software for the first time 21Deploy the VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Desplegar una máquina virtual VMware ESXi . . . . . . . . . . . . . . . . . . . . . 21Desplegar un ESM de KVM de Linux . . . . . . . . . . . . . . . . . . . . . . . . 22Desplegar una máquina virtual AWS . . . . . . . . . . . . . . . . . . . . . . . . 22

Install the software on an AWS VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Descarga de la imagen de máquina virtual . . . . . . . . . . . . . . . . . . . . . . 25Mount the software on an AWS VM . . . . . . . . . . . . . . . . . . . . . . . . . 26

Instalación del software en una HVM AWS . . . . . . . . . . . . . . . . . . . . . . . . . 29

5 Update to a new software version 31Prepare to update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Descarga de los archivos de actualización . . . . . . . . . . . . . . . . . . . . . . 31Copia de seguridad de la base de datos . . . . . . . . . . . . . . . . . . . . . . . 32Comprobación del estado de ERC de disponibilidad alta . . . . . . . . . . . . . . . . . 32Identifique y resuelva los casos especiales de actualización . . . . . . . . . . . . . . . . 33

Actualizar el software ESM: ESM único . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Actualizar el software ESM: múltiples ESM . . . . . . . . . . . . . . . . . . . . . . . . . 35Update connected devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Actualizar dispositivos SIEM periféricos . . . . . . . . . . . . . . . . . . . . . . . 37Actualizar dispositivos periféricos SIEM (modo FIPS) . . . . . . . . . . . . . . . . . . . 38Comprobación del estado de ERC de disponibilidad alta . . . . . . . . . . . . . . . . . 40Actualización de receptores de disponibilidad alta . . . . . . . . . . . . . . . . . . . 41

6 Complete your installation 43Iniciar sesión en ESM por primera vez . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Add and configure devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Añadir dispositivos al árbol del dispositivo . . . . . . . . . . . . . . . . . . . . . . 45Agregar dispositivos en modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 46Cambio de nombres de dispositivos, vínculos y descripciones . . . . . . . . . . . . . . . 47

Guía de instalación de McAfee Enterprise Security Manager 11.0.0 3

Establecer la comunicación del dispositivo . . . . . . . . . . . . . . . . . . . . . . 47Configurar receptores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Configuración de ELS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Configure ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Configure ACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Configurar McAfee Risk Advisor . . . . . . . . . . . . . . . . . . . . . . . . . . 55Configurar McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . . . . 55Configuración de un DAS para almacenar datos de un ESM de tipo todo en uno . . . . . . . . 56

Dispositivos clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Administración de claves SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Set up data sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Cómo funcionan las fuentes de datos . . . . . . . . . . . . . . . . . . . . . . . . 58Configurar receptores para crear orígenes de datos automáticamente . . . . . . . . . . . . 58

Administración de orígenes de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Configuración del formato de fecha para orígenes de datos . . . . . . . . . . . . . . . . 63Adición de orígenes de datos secundarios . . . . . . . . . . . . . . . . . . . . . . 64Adición de orígenes de datos ASP con codificación diferente . . . . . . . . . . . . . . . 64Adición de orígenes de datos cliente . . . . . . . . . . . . . . . . . . . . . . . . 64Cómo funcionan las fuentes de datos cliente . . . . . . . . . . . . . . . . . . . . . 65Selección del método de recopilación de orígenes de datos Leer final de archivos . . . . . . . . 65Cómo funciona la correlación de fuentes de datos . . . . . . . . . . . . . . . . . . . 66

Set up data storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Cómo funciona el almacenamiento de datos . . . . . . . . . . . . . . . . . . . . . 67Configuración del almacenamiento de datos . . . . . . . . . . . . . . . . . . . . . 69Configuración del almacenamiento de datos de máquinas virtuales . . . . . . . . . . . . . 69Aumento de los índices de acumulación . . . . . . . . . . . . . . . . . . . . . . . 70Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . . . 70Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . . . 70Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . . . 71Visualización del uso de memoria de la base de datos . . . . . . . . . . . . . . . . . . 71

McAfee Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Configuración del registro de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . 72Administración de grupos de almacenamiento . . . . . . . . . . . . . . . . . . . . 72Transferencia de grupos de almacenamiento . . . . . . . . . . . . . . . . . . . . . 73Reducción del tamaño de asignación de almacenamiento . . . . . . . . . . . . . . . . 73Duplicación del almacenamiento de datos de ELM . . . . . . . . . . . . . . . . . . . 74Adición de almacenamiento de datos de ELM duplicado . . . . . . . . . . . . . . . . . 74Reconstrucción de grupos de almacenamiento duplicado . . . . . . . . . . . . . . . . 75Desactivación de dispositivos de duplicación . . . . . . . . . . . . . . . . . . . . . 75Sustitución de una base de datos de administración de ELM duplicada . . . . . . . . . . . . 75Redundancia de ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Administración de la compresión de ELM . . . . . . . . . . . . . . . . . . . . . . 77Restauración de datos de ELM . . . . . . . . . . . . . . . . . . . . . . . . . . 77Definición de una ubicación de almacenamiento alternativa . . . . . . . . . . . . . . . 78Visualización del uso de almacenamiento de ELM . . . . . . . . . . . . . . . . . . . 78Migración de la base de datos de ELM . . . . . . . . . . . . . . . . . . . . . . . . 78

Configure ELM Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Desactivación del uso compartido de archivos en el Grupo Hogar . . . . . . . . . . . . . 79Configuración del almacenamiento de datos externo . . . . . . . . . . . . . . . . . . 79Adición de dispositivos iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Vinculación de dispositivos a grupos de almacenamiento . . . . . . . . . . . . . . . . . 80Formateo de los dispositivos de almacenamiento SAN . . . . . . . . . . . . . . . . . . 81Configuración de un DAS para almacenar datos de un ESM de tipo todo en uno . . . . . . . . 82Configuración de una unidad local virtual para almacenar datos . . . . . . . . . . . . . . 82

Work in FIPS mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . . 84

Contenido


Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . 85

7 Troubleshooting 87Cómo otorgar a McAfee acceso al sistema . . . . . . . . . . . . . . . . . . . . . . . . . 87

Contenido


Contenido


1 Installation overview

Contenido ¿Qué tipo de instalación necesita? Flujo de trabajo de instalación de hardware Flujo de trabajo de instalación de máquinas virtuales Flujo de trabajo de actualización del software

¿Qué tipo de instalación necesita?Utilice este árbol de toma de decisiones para determinar qué instrucciones se aplican a su instalación.

1


Flujo de trabajo de instalación de hardwareEn este diagrama de flujo se ofrece una descripción general de los pasos necesarios para instalar la soluciónESM en un appliance ESM.

1 Installation overviewFlujo de trabajo de instalación de hardware


Flujo de trabajo de instalación de máquinas virtualesEn este diagrama de flujo se ofrece una descripción general de los pasos necesarios para instalar la soluciónESM en una máquina virtual.

Véase también Escenarios de configuración en la página 14Componentes del sistema disponibles en la página 11

Installation overviewFlujo de trabajo de instalación de máquinas virtuales 1


Flujo de trabajo de actualización del softwareInstale una nueva versión del software ESM.

1 Installation overviewFlujo de trabajo de actualización del software


2 Planning your installation

Contenido Componentes del sistema disponibles Agrupación en clústeres Escenarios de configuración Cómo funciona el modo FIPS

Componentes del sistema disponiblesMcAfee ESM y sus componentes se instalan en su red y se configuran para que identifiquen las amenazas yvulnerabilidades. Se requieren el receptor ESM, y McAfee

®

Enterprise Log Manager. Los demás dispositivos sonopcionales según las necesidades de la empresa.

Los componentes de McAfee ESM incluyen los siguientes:

• McAfee® Enterprise Security Manager (McAfee ESM): disponible como componente de hardware o comoinstalación de software de máquina virtual (VM), McAfee ESM proporciona análisis de registro, SIEM yfunciones de análisis de red.

• McAfee Event Receiver (ERC): disponible como componente de hardware o instalación de software demáquina virtual, recopila los registros de terceros, eventos y datos de flujo para la correlación y análisis deESM.

• McAfee Enterprise Log Manager (ELM): disponible como componente de hardware o instalación de softwarede máquina virtual, proporciona funciones de administración de registros de conformidad. Requiere un ESMy un ERC.

ELM puede considerarse como el almacenamiento "frío". Crea hashes para ofrecer integridad forense y secomprime para ofrecer eficiencia del almacenamiento (en un pequeño paquete 2U). Puede buscarse, peronormalmente solo en raras ocasiones. Y debería ser el almacenamiento de registro que permite satisfacerlos requisitos de conservación de registro completamente.

• McAfee Enterprise Log Search (ELS): un componente de hardware que recopila, indiza y almacena todos loseventos para proporcionar una pista de auditoría fidedigna de la actividad. El ELS busca eventos másrápidamente que el McAfee® Enterprise Log Manager gracias a que utiliza índices.

ELS puede considerarse como una búsqueda de registro sin procesar rápida. Permite que los usuariosbusquen eventos en cualquier parte del registro (especialmente aquellas que no han sido analizadas).Permite que McAfee ESM filtre más datos "menos" importantes ya que se puede acceder a estos másrápidamente. Esto aumenta la eficiencia, el rendimiento y el tiempo de almacenamiento de McAfee ESM.ELS normalmente almacena una cantidad inferior a los requisitos de conservación completos (de 3 a 6meses, según EPS) ya que estos datos no se comprimen, de modo que los entornos con EPS elevadorápidamente alcanzarán un rango elevado de Terabytes.

• Receptor/ELM (ELMERC) de McAfee: disponible como componente de hardware o mediante la instalacióndel software en una máquina virtual; incluye tanto el ELM como el ERC.

2


• McAfee® Advanced Correlation Engine (McAfee® ACE): disponible como componente de hardware oinstalación de software de máquina virtual que proporciona McAfee RSC y correlación empresarial:identificar y puntuar eventos de amenaza en tiempo real o en modo histórico, utilizando tanto la lógicabasada en riesgos como en reglas.

• McAfee Application Data Monitor: un componente de hardware que supervisa más de 500 aplicacionesconocidas a través de toda la pila de la capa y captura todos los detalles de sesión de todas las infracciones.

• McAfee Database Event Monitor (DEM): un componente de hardware que automatiza la recopilación, laadministración, el análisis, la visualización y la generación de informes del acceso a la base de datos para lamayor parte de plataformas de base de datos.

• McAfee Direct Attached Storage (DAS): un componente de hardware que se conecta al ESM, ELM o ELS paraampliar el espacio de almacenamiento.

En las soluciones redundantes, se necesita un dispositivo DAS en cada sistema. Por ejemplo, dos ELMredundantes requieren dos dispositivos DAS.

• Consola de ESM: un equipo con un navegador utilizado por administradores de seguridad para configurar ygestionar el ESM.

Podría utilizar solo un ESM combinado, o bien varios de estos componentes, en función de su entorno.

2 Planning your installationComponentes del sistema disponibles


Véase también Escenarios de configuración en la página 14Flujo de trabajo de instalación de máquinas virtuales en la página 9

Agrupación en clústeresEs posible establecer clústeres de dispositivos McAfee ESM para maximizar el rendimiento (sharding), paramaximizar cuántas copias de datos de eventos se conservan en los dispositivos (replicación) o para aprovecharambas funciones en una instalación híbrida (con sharding y replicación).

En un entorno en clúster, un nodo actúa como nodo activo y los demás como nodos en espera. El nodo activorealiza funciones administrativas para el clúster.

Escalado

La agrupación en clústeres permite escalar su sistema mediante sharding de los datos, esto es la capacidad deque cada dispositivo McAfee ESM de un clúster consulte los datos de evento en todos los dispositivos McAfeeESM de dicho clúster.

El sharding mejora la velocidad de rendimiento del sistema mediante el uso de la capacidad de múltiplesdispositivos para procesar los datos de eventos.

Replicación

Cuando utiliza la replicación, cada dispositivo actúa como un nodo individual de la base de datos, lo cual lepermite replicar sus datos. En un entorno en clúster, especifica qué dispositivo desea que sea el "activo". Estedispositivo es el punto principal de interacción con el software McAfee ESM. Los otros dispositivos actuaráncomo dispositivos "en espera", los cuales ayudan a equilibrar las consultas y recopilar datos, pero no realizantareas administrativas. Puede configurar manualmente cualquier McAfee ESM del clúster para que sea eldispositivo "activo". Cada dispositivo almacena la configuración y otros ajustes.

La carga de los datos de evento nuevos se equilibra en cada dispositivo según el factor de replicaciónconfigurado. El factor de replicación determina cuántas copias de sus datos existen en el clúster. La replicaciónmitiga las consecuencias de un fallo de dispositivo.

Planning your installationAgrupación en clústeres 2


Escalado y replicación conjuntos

Al aprovechar tanto el escalado como la replicación, puede crear un sistema robusto que proporcione unprocesamiento rápido de los eventos y garantice la conservación de datos.

Escenarios de configuraciónEs posible configurar McAfee ESM con un ESM de combinación, o bien agregar componentes para identificar lasamenazas en una red empresarial extensa.

La adición de componentes al entorno de red permite aumentar el rendimiento, agregar funcionalidad yaumentar la capacidad de almacenamiento de eventos. Por ejemplo, la adición de los siguientes componenteso modelos más avanzados de los componentes existentes puede aumentar la protección de su red.

Los dispositivos ESM combinados instalados en una máquina virtual tienen límites en cuanto al número decomponentes que se pueden agregar.

Solución ESM de pequeña escala

En esta figura se muestra que, con un solo dispositivo ESM, es posible obtener visibilidad sobre los eventos dela red.

2 Planning your installationEscenarios de configuración


Solución ESM de gran escala

En esta figura se muestra cómo varios ESM ofrecen una visualización de eventos en una red empresarial degran tamaño. Agregue ESM a medida que crezca la red y aumente el número de eventos.

Véase también Flujo de trabajo de instalación de máquinas virtuales en la página 9Componentes del sistema disponibles en la página 11

Planning your installationEscenarios de configuración 2


Cómo funciona el modo FIPSEl Estándar Federal de Procesamiento de la Información, FIPS, (del inglés Federal Information ProcessingStandards) de los Estados Unidos definen los procedimientos, la arquitectura, los algoritmos y otras técnicasutilizadas para el cifrado y los módulos criptográficos, donde cada componente de cifrado individual de lasolución general requiere una certificación independiente.

Conceptos básicos sobre FIPS

El Estándar Federal de Procesamiento de la Información 140-2 (FIPS 140-2) especifica los requisitos de losproductos de hardware y software que implementan funcionalidad criptográfica. FIPS 140-2 es de aplicación atodas las agencias federales que utilicen sistemas de seguridad basados en criptografía para proteger información decarácter confidencial [pero no clasificada] en sistemas informáticos y de telecomunicaciones (incluidos sistemas devoz) según lo definido en la Sección 5131 de la ley Information Technology Management Reform Act de 1996, PublicLaw 104–106. El -2 de FIPS 140-2 indica que se trata de una revisión del estándar.

Consulte con el National Institute of Standards and Technology (NIST) para obtener información actualizada.McAfee utiliza estos módulos criptográficos RSA para cumplir los requisitos necesarios para la conformidad conFIPS.

Modo FIPS

Un dispositivo McAfee ESM que se ejecute en modo FIPS es conforme a FIPS. La decisión de ejecutar McAfeeESM en modo FIPS se toma durante la instalación y no se puede modificar.

En modo FIPS. McAfee ESM:

• Establece restricciones adicionales respecto de los tipos de métodos de seguridad permitidos.

• Realiza pruebas adicionales durante el inicio.

• Permite conexiones únicamente desde dispositivos conformes a FIPS.

Motivos para utilizar McAfee ePO en modo FIPS

Es posible que su organización necesite utilizar McAfee ePO en modo FIPS si se encuentra en una de estascategorías:

• Es una organización del Gobierno de los Estados Unidos que debe servirse de modelos criptográficosconformes con FIPS 140-2 de acuerdo con la ley FISMA u otras normativas federales, estatales o locales.

• Su organización debe utilizar módulos criptográficos estandarizados y evaluados de manera independiente.

El límite criptográfico

La conformidad con FIPS precisa de una separación física o lógica entre las interfaces por las que losparámetros de seguridad críticos entran y salen del módulo criptográfico y todas las demás interfaces. McAfeeESM crea esta separación estableciendo un límite en torno al módulo criptográfico. Se utiliza un conjunto deinterfaces aprobadas para acceder a los módulos situados dentro del límite. No se permite ni proporcionaningún otro mecanismo de acceso a estos módulos cuando se está utilizando el modo FIPS.

Los módulos situados dentro del límite llevan a cabo estos procesos:

• Métodos de seguridad validados para FIPS que prestan servicios de criptografía, aplicación de hashes yotros servicios relacionados que se ejecutan en McAfee ESM

• Pruebas durante el inicio y de verificación requeridas por FIPS

• Comprobación de extensiones y firmas de archivos ejecutables

2 Planning your installationCómo funciona el modo FIPS


• Administración de conexiones TLS

• Utilidades de envoltura de la API criptográfica

Estado defunción

Descripción

Funciones nodisponibles en elmodo FIPS

• Receptores de disponibilidad alta.

• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.

• En la consola del dispositivo, el shell raíz se sustituye por un menú de administración deldispositivo.

Funciones solodisponibles en elmodo FIPS

• Existen cuatro funciones de usuario que no presentan coincidencia parcial alguna:Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves ycertificados.

• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS quepermite verificar si el sistema funciona correctamente en el modo FIPS.

• Si se produce un error de FIPS, se agrega un indicador de estado al árbol de navegacióndel sistema para reflejar este fallo.

• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre lapágina Token de identidad de FIPS. Esta página muestra un valor que se debe compararcon el valor mostrado en las secciones del documento mencionadas para asegurarse deque no hay riesgos en relación con FIPS.

• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluyeel privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo laautorización para ejecutar pruebas automáticas de FIPS.

• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en elpuerto 22. El puerto SSH se puede cambiar.

Planning your installationCómo funciona el modo FIPS 2


2 Planning your installationCómo funciona el modo FIPS


3 System requirements

Requisitos de la máquina virtualLa máquina virtual (VM) utilizada para la VM de McAfee ESM debe cumplir estos requisitos mínimos.

• Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/DualOpteron64 o superior

• RAM: depende del modelo (4 GB o más)

• Espacio en disco: depende del modelo (250 GB o más)

• VMware ESXi 5.0 o posterior

• Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para su servidor. Elrequisito mínimo es de 250 GB. Consulte las especificaciones de su producto de máquina virtual.

Véase también Descarga de la imagen de máquina virtual en la página 25

3


3 System requirementsRequisitos de la máquina virtual


4 Install software for the first time

Contenido Deploy the VM Install the software on an AWS VM Instalación del software en una HVM AWS

Deploy the VM

Contenido Desplegar una máquina virtual VMware ESXi Desplegar un ESM de KVM de Linux Desplegar una máquina virtual AWS

Desplegar una máquina virtual VMware ESXiTras montar una máquina virtual de VMware ESXi y aplicarle la clave, esta imita un dispositivo ESM físico.

Procedimiento1 Acceda a la raíz de la unidad de CD (para la instalación mediante CD) o descargue los archivos .ova de ESXi

desde el sitio de descarga de McAfee.

2 En vSphere Client (Cliente vSphere), haga clic en la IP del servidor en el árbol de dispositivos.

3 Haga clic en File (Archivo) y seleccione Deploy OVF Template (Desplegar plantilla OVF).

4 Designe el nombre, la carpeta para montar la máquina virtual, la configuración de aprovisionamiento dedisco y la opción VM Networking (Red de máquina virtual).

5 Despliegue los archivos en el servidor ESXi, seleccione la máquina virtual y configure la opción Edit VirtualMachine (Editar máquina virtual).

6 Seleccione la configuración de red correcta para sus conmutadores/adaptadores de red de VMware ESXi y,después, haga clic en Play (Ejecutar) para iniciar la máquina virtual.

7 Mediante el menú de la máquina virtual, establezca la dirección IP de administración 1, la máscara de red, elgateway y las direcciones DNS; a continuación, pulse Esc para activar el menú.

8 Configure la interfaz de red en la máquina virtual, guarde los cambios antes de salir de la ventana Menu(Menú) y aplique la clave al dispositivo.

4


Desplegar un ESM de KVM de LinuxPara ejecutar McAfee ESM en un entorno de KVM (máquina virtual de kernel) de Linux, es necesario importar laimagen del disco duro del archivo de conjunto de archivos (.tgz). El archivo de conjunto de archivos contienearchivos de configuración de muestra.

Procedimiento1 Obtenga el conjunto de archivos (.tgz) actual mediante la página de descargas de McAfee.

2 Mueva el conjunto de archivos al directorio donde desee que resida el disco duro virtual.

3 Extraiga el contenido del conjunto de archivos mediante la ejecución de este comando: tar –xfMcAfee_ETM_VM4_250.tgz.

Para desplegar varias máquinas virtuales del mismo tipo en la misma ubicación, cambie el nombre del discoduro virtual.

De ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw a, por ejemplo, mi_primer_erc.raw,mi_segundo_erc.raw.

4 Cree una máquina virtual en el hipervisor de KVM mediante:

(libvirt, qemu-kvm, proxmox, virt-manager, ovirt)

5 Apunte la imagen de la máquina virtual hacia el disco duro virtual existente (archivo .raw de disco Virtio)donde extrajo el conjunto de archivos.

Desplegar una máquina virtual AWSCree el servidor AWS con la configuración adecuada y cree una conexión con su red empresarial.

Antes de empezarEs necesario disponer de una cuenta de Amazon Web Services.

Este ejemplo y los valores seleccionados describen la creación de un servidor de ESM simple. Los valoresseleccionados podrían ser diferentes.

Procedimiento1 Inicie sesión en la consola de AWS para ver la página correspondiente.

2 Establezca la región del centro de datos de AWS de acuerdo con la ubicación más cercana a la mayoría desus redes.

3 Debajo de Compute (Cómputo), haga doble clic en EC2 (Amazon Elastic Compute Cloud) para acceder a lapantalla Step 1: Choose an Amazon Machine Image (AMI) [Paso 1: Elegir una Amazon Machine Image (AMI)]y seleccione la instancia del servidor Amazon Linux AMI (AMI de Linux de Amazon).

Este tipo cuenta con las herramientas de AWS/EC2 previamente instaladas. Si elige otros tipos de Linux,tendrá que instalar las herramientas de AWS/EC2.

4 Acceda a Step 2: Choose an Instance Type (Paso 2: Elegir un tipo de instancia), seleccione m3.2xlarge y hagaclic en Next: Configure Instance Details (Siguiente: Configurar detalles de instancia).

Cuando elija el tipo de instancia, seleccione el número de CPU correcto y el tipo de instancia correcta. Si noestá seguro, póngase en contacto con Soporte técnico.

5 Haga clic en Next: Configure Instance Details (Siguiente: Configurar detalles de instancia) para seleccionar lared que se utilizará al ejecutar la instancia.

4 Install software for the first timeDeploy the VM


Asegúrese de poder conectar con su instancia mediante:

• Dirección pública

• Dirección privada

Puede crear su propia Virtual Private Cloud en AWS. Para obtener más información, véase VPC en la listadesplegable de servicios.

6 Haga clic en Next: Add Storage (Siguiente: Agregar almacenamiento) para acceder a la página Step 4: AddStorage (Paso 4: Agregar almacenamiento). Deje los valores predeterminados seleccionados para lainstancia de "compilación" de Amazon.

El valor predeterminado para los dispositivos de McAfee es 250 GB. Puede agregar más volúmenes si losnecesita.

7 Haga clic en Next: Tag Instance (Siguiente: Etiquetar instancia) para acceder a la página Step 5: Tag Instance(Paso 5: Etiquetar instancia). Escriba un nombre para poder localizar la instancia en la columna "Value"(Valor).

8 Haga clic en Next: Configure Security Group (Siguiente: Configurar grupo de seguridad) a fin de acceder a lapágina Step 6: Configure Security Group (Paso 6: Configurar grupo de seguridad) y seleccione una opción.

• Create a new security group (Crear un nuevo grupo de seguridad): un nuevo grupo de seguridad limitaquién puede iniciar sesión en la instancia.

Agregue su intervalo de direcciones IP externo.

• Select existing security group (Seleccionar grupo de seguridad existente).

9 Haga clic en Review and Launch (Revisar y ejecutar) para acceder a Step 7: Review Launch Instance (Paso 7:Revisar ejecución de instancia); a continuación, haga clic en Launch (Ejecutar).

Ignore la advertencia que aparece: Your instance configuration is not eligible for the free usage tier (Laconfiguración de su instancia no es elegible para el nivel de uso gratuito).

10 Seleccione un par de claves existente o cree un par de claves nuevo; lo necesitará para iniciar sesión en lanueva instancia.

11 Haga clic en Launch Instance (Ejecutar instancia) y en View Instances (Ver instancias) para confirmar el estadodel servidor de AWS.

Su instancia podría tardar entre 20 y 30 minutos en estar lista para acceder a ella. Cuando en la columnaStatus Checks (Comprobaciones de estado) situada junto a su instancia nueva aparezca 2/2 checks (2/2comprobaciones), estará todo listo para iniciar el proceso de instalación.

12 Anote la dirección IP pública. En este ejemplo, se representa así: cc.dd.ee.ff.

Esta dirección IP es necesaria para transferir el instalador a la instancia y para iniciar sesión.

Ha finalizado la creación de su servidor de AWS. Continúe con la creación de la imagen de AWS y el proceso deinstalación.

Procedimientos• Configuración de la interfaz de red de una máquina virtual en la página 24

• Aplicación de una clave al dispositivo de máquina virtual en la página 25Es necesario aplicar una clave al dispositivo para establecer un vínculo entre el dispositivo y el ESM.

Install software for the first timeDeploy the VM 4


Véase también Usar el software con AWS en la página 26Configurar conexiones AWS en la página 28Crear una imagen AWS en la página 26

Configuración de la interfaz de red de una máquina virtual

Procedimiento1 Conecte un monitor y un teclado al dispositivo; a continuación, enciéndalo.

El proceso de arranque finaliza en unos dos minutos. Aparecerá una pantalla LCD virtual.

2 Pulse Esc dos veces, desplácese hacia abajo hasta MGT IP Conf (Conf. IP admin.) y pulse Entrar.

3 Establezca la dirección IP de la máquina virtual de ESM.

a Desplácese hasta Mgt1 (Admin.1) y pulse Entrar.

b Desplácese hasta IP Address (Dirección IP) y pulse Entrar.

c Utilice las flechas para cambiar el valor del dígito activo y para pasar de un dígito a otro; a continuación,pulse Entrar.

4 Establezca la dirección de la máscara de red IP.

a Desplácese hasta Netmask (Máscara de red) y pulse Entrar.

b Utilice las flechas para cambiar el valor del dígito activo y para pasar de un dígito a otro; a continuación,pulse Entrar.

5 Establezca la dirección IP del gateway de red.

a Desplácese hasta Gateway IP (IP de gateway) y pulse Entrar.


6 Establezca la dirección IP de DNS.

a Desplácese hasta DNS1 IP (IP de DNS1) y pulse Entrar.


7 Configure el DHCP.

a Desplácese hasta DHCP y pulse Entrar.

b Alterne el valor entre Y (Sí) y N (No), y pulse Entrar para seleccionar la opción correcta.

4 Install software for the first timeDeploy the VM


8 Salga y guarde los cambios.

a Desplácese hasta Done (Listo) y pulse Entrar para volver a MGT IP Conf (Conf. IP admin.).

b Desplácese hasta Save Changes (Guardar los cambios) y pulse Entrar.

9 (Opcional) Si utiliza el modo FIPS, cambie el puerto de comunicación.

a Pulse la flecha hacia abajo dos veces y pulse Entrar.

b Desplácese hasta Comm Port (Puerto de comunicaciones) y pulse Entrar.

c Cambie el número de puerto y pulse Entrar.

Tome nota del nuevo número de puerto; lo necesitará a la hora de aplicar la clave al dispositivo.

Aplicación de una clave al dispositivo de máquina virtualEs necesario aplicar una clave al dispositivo para establecer un vínculo entre el dispositivo y el ESM.

Antes de empezarConecte físicamente el dispositivo a la red.

Procedimiento1 En el árbol de navegación del sistema, haga clic en un sistema o un grupo y, después, en el icono Agregar

dispositivo del panel de acciones.

2 Introduzca la información solicitada en cada página del Asistente de adición de dispositivos.

Install the software on an AWS VM

Contenido Descarga de la imagen de máquina virtual Mount the software on an AWS VM

Descarga de la imagen de máquina virtual

Antes de empezarDebe disponer de su número de concesión de McAfee para descargar el software ESM.

Procedimiento1 Use su navegador para acceder al sitio de descargas de McAfee.

2 Haga clic en Descargas, escriba su número de concesión de McAfee y el código CAPTCHA, y haga clic enEnviar.

3 En la página Mis productos, desplácese por la lista y seleccione un archivo de descarga de máquina virtual**de McAfee Enterprise Security Manager.

El número del nombre del archivo de descarga indica el número de núcleos que la imagen de ESM asigna a lamáquina virtual. Por ejemplo, el archivo "VM32" asigna 32 núcleos a la máquina virtual.

Install software for the first timeInstall the software on an AWS VM 4


4 Seleccione la ficha Versión actual y selecciona la imagen de máquina virtual de McAfee Enterprise SecurityManager.

5 Seleccione un archivo de imagen y guárdelo en su sistema local. Anote el nombre de archivo y la ubicación;necesitará esta información para montar la imagen.

Véase también Requisitos de la máquina virtual en la página 19

Mount the software on an AWS VM

Contenido Usar el software con AWS Crear una imagen AWS Configurar conexiones AWS

Usar el software con AWSUn servidor virtual de Amazon Web Services (AWS) proporciona las mismas funciones y el mismo rendimientoque una máquina virtual de McAfee ESM configurada localmente.

Los pasos básicos para crear un servidor de AWS en su red con McAfee ESM incluyen:

1 Obtenga una cuenta de AWS en http://aws.amazon.com/.

2 Inicie sesión en la consola de administración de AWS y configure su instancia de AWS.

3 Instale el software correspondiente a ESM, ERC, ELM, ELS o ACE.

4 Configure el dispositivo ESM.

Véase también Configurar conexiones AWS en la página 28Crear una imagen AWS en la página 26Desplegar una máquina virtual AWS en la página 22

Crear una imagen AWSLa instalación de ESM en un servidor de AWS es diferente a la instalación del software en un servidor físico. Enlos pasos siguientes se describe el proceso.

Antes de empezarDebe haber creado el servidor de AWS y conectado con él previamente.

Es necesario conocer la dirección IP configurada del servidor de AWS.

Procedimiento1 Use scp o pscp (PuTTY Secure Copy Client) para convertir el archivo .pem a .ppk.

Por ejemplo, mediante Secure Copy Client, utilice este comando para convertir el archivo de clave ytransferirlo a la nueva instancia de AWS:

scp -i mykeypair.pem siem_install.sh [email protected]:

4 Install software for the first timeInstall the software on an AWS VM


http://aws.amazon.com/

Mediante PuTTY Secure Copy Client, utilice este comando para convertir el archivo:

pscp -i mykeypair.pem siem_install.sh [email protected]>:

Estas son las variables de los ejemplos anteriores.

• siem_install.sh: nombre del archivo de conversión

• ec2-user: nombre de usuario

• cc.dd.ee.ff: dirección IP

En el caso de Windows, utilice WinSCP para copiar el archivo a su instancia mediante la conversión delarchivo .pem a .ppk para PuTTY o WinSCP.

2 Inicie sesión en la nueva instancia de AWS, ya sea mediante SSH o PuTTY, con este comando:

ssh -i mykeypair.pem [email protected] son las variables del ejemplo.

• mykeypair.pem: nombre de archivo SSH de conversión

• ec2-user: nombre de usuario

• cc.dd.ee.ff: dirección IP

3 Escriba este comando para cambiar a root y pulse Entrar:

sudo su

4 Ejecute aws configure como root y proporcione los valores de Access Key ID (ID de clave de acceso) ySecret Access Key (Clave de acceso secreta) que se le han proporcionado mediante estos comandos:

[root@<IP address> <ec2-user name>]# aws configure

AWS Access Key ID [None]: <Access Key ID>

AWS Secret Access Key [None]: <Secret Access Key>

Default region name [None]: (Dejar en blanco y pulsar Entrar)

Default output format [None] (Dejar en blanco y pulsar Entrar)

5 Confirme que el script de instalación sea ejecutable. Si fuera necesario, utilice chmod. Por ejemplo:

chmod u+x siem_install.sh

Install software for the first timeInstall the software on an AWS VM 4


6 Cree una imagen AMI y una instancia con este comando:

./siem_install.sh

Si aparece un error que indica que las claves no se han definido, puede agregar las claves en la línea decomandos. Por ejemplo:

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ETM_VM8.sh

The AWS access key or the AWS Secret key were not defined

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ERU_VM8.sh -O <Access Key ID> -W

<Secret Access Key>

Para acceder a la ayuda sobre las opciones de salida:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh -h

install_McAfee_ETM_VM8.sh - install SIEM to Amazon EC2

install_McAfee_ETM_VM8.sh [options]

options:

-h, --help show brief help

-O AWS key

-W AWS Secret Key

La creación de la imagen AMI lleva unos 20 minutos y no es interactiva. Este es un ejemplo de la salida:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh Decompressing files Running installer Creating volume Attaching volume formatting volume 1+0 records in 1+0 records out 4194304 bytes (4.2 MB) copied, 0.0467013 s, 89.8 MB/s mke2fs 1.42.9 (28-Dec-2013) mke2fs 1.42.9 (28-Dec-2013) mounting main partition copying main files mounting boot partition copying boot files Updating fstab Updating grub unmounting boot partition unmounting main partition detaching volume Creating snapshot (this will take a while) Creating AMI Created AMI "ami-bb8afc81". To run, launch an instance of this AMI Deleting (temporary) volume Client.InvalidVolume.NotFound: The volume 'vol-9eb2ae81' does not exist. Done

7 Una vez creada la imagen, salga del shell root, salga de la instancia, diríjase al panel de EC2 y ponga fin a lainstancia en ejecución.

Al poner fin a la instancia, esta desaparece.

Ya puede iniciar sesión en el ESM de AWS, y configurar su dispositivo AWS, aplicarle la clave y empezar autilizarlo.

Véase también Usar el software con AWS en la página 26Desplegar una máquina virtual AWS en la página 22Configurar conexiones AWS en la página 28

Configurar conexiones AWSDespués de configurar el hash para el ESM de AWS, es necesario conectar y agregar los dispositivos.

Antes de empezarEs necesario haber creado el AWS y haber instalado ESM en el AWS.

4 Install software for the first timeInstall the software on an AWS VM


Procedimiento

1 Tras completar la verificación de hash con McAfee, puede utilizar la dirección IP configurada para iniciarsesión en el ESM inicialmente. Véase Inicio de sesión en la consola de McAfee ESM para obtener detalles.

2 Conecte los dispositivos físicos y virtuales al ESM.

3 Confirme que los diversos dispositivos de ESM aparezcan en ESM antes configurar los dispositivos.

4 Aplique una clave a los dispositivos a fin de completar su configuración.

Véase también Usar el software con AWS en la página 26Desplegar una máquina virtual AWS en la página 22Crear una imagen AWS en la página 26

Instalación del software en una HVM AWSMcAfee ESM se instala en una HVM AWS mediante scripts. Los scripts del instalador de SIEM Amazon EC2 creanimágenes de máquina Amazon (AMI) desde el que se pueden iniciar instancias de máquinas virtuales dedispositivos. Hay un instalador independiente para cada dispositivo (ETM, ERC, McAfee ACE, etc.) y cadainstalador produce un AMI para ese dispositivo concreto.

Antes de empezarAsegúrese de que dispone de los scripts del instalador.

Procedimiento

1 En el panel de Amazon EC2, seleccione Instances (Instancias) en la barra de menú de la izquierda y haga clicen Launch Instance (Iniciar instancia).

2 Seleccione Amazon Linux AMI.

3 En la pantalla Choose Instance Type (Elegir tipo de instancia ), elija m3.medium o m4.large y haga clic en Next(Siguiente).

4 En la pantalla Configure Instance Details (Configurar detalles de la instancia), haga clic en Next (Siguiente).

5 En la pantalla Add Storage (Agregar almacenamiento), haga clic en Next (Siguiente).

6 En la pantalla Add Tags (Agregar etiquetas), haga clic en Next (Siguiente).

7 En la pantalla Configure Security Group (Configurar grupo de seguridad), seleccione Create (Crear) oseleccione un grupo de seguridad que le permite tener acceso SSH a la instancia.

8 Haga clic en Review and Launch (Revisar e iniciar) para continuar.

9 Haga clic en Start (Iniciar).

10 Seleccione un par de claves al que tenga acceso y haga clic en Launch instances (Iniciar instancias).

11 En el símbolo del sistema, escriba scp -i ~/my_key.pem install_hvm_etm_16.shec2-user@instance_ip_address:

El script del instalador se copia a la máquina virtual.

12 Escriba ssh -i ~/my_key.pem ec2-user@instance_ip_address para iniciar sesión.

Install software for the first timeInstalación del software en una HVM AWS 4


13 Identifíquese como root escribiendo sudo su.

14 Escriba aws configure.

a Introduzca la clave de acceso de AWS.

b Introduzca la clave secreta de AWS.

c Deje el resto de los campos en blanco.

15 En el símbolo del sistema, escriba # ./install_hvm_ace_16.sh.

Una vez finalizado el script del instalador (15-20 minutos), se habrá registrado un nuevo AMI en su cuenta deAWS. Puede utilizar este AMI para iniciar una máquina virtual.

La instancia de Linux de Amazon utilizada para ejecutar el instalador ya no es necesaria y puede cerrarse.

4 Install software for the first timeInstalación del software en una HVM AWS


5 Update to a new software version

Contenido Prepare to update Actualizar el software ESM: ESM único Actualizar el software ESM: múltiples ESM Update connected devices

Prepare to update

Contenido Descarga de los archivos de actualización Copia de seguridad de la base de datos Comprobación del estado de ERC de disponibilidad alta Identifique y resuelva los casos especiales de actualización

Descarga de los archivos de actualizaciónCuando el sistema esté listo para la actualización, descargue los archivos de actualización al sistema local.

Antes de empezarDebe disponer de un número de concesión.

Procedimiento1 Vaya al sitio de descargas de productos McAfee.

2 Haga clic en Descargar, introduzca su número de concesión, escriba las letras tal como se muestran y envíelos datos.

3 Seleccione McAfee Enterprise Security Manager y haga clic en la ficha Todas las versiones.

4 Descargue el archivo de la versión en su sistema local.

Tipo de dispositivo Archivo

McAfee Enterprise Security Manager (ESM) autónomo ESS_Update_11.0.signed.tgz

McAfee Enterprise Security Manager con un receptor integrado (ESMREC) ESSREC_Update_11.0.signed.tgz

McAfee Enterprise Security Manager con un receptor integrado y McAfeeEnterprise Log Manager (ENMELM), lo que también se conoce comoequipo combinado o Combination Box

ESSREC_Update_11.0.signed.tgz

5


Copia de seguridad de la base de datosCree una copia de seguridad de los datos del sistema para que pueda recuperar si el proceso de actualizaciónno se completa correctamente.

Antes de empezarAsegúrese de que la reconstrucción de la base de datos de ESM a partir de una compilaciónanterior (9.6.x o posterior) haya finalizado y de que sea posible planificar el periodo de interrupciónpara esta actualización.

Procedimiento

1 En Propiedades del sistema, haga clic en Alarmas, resalte cada una de las alarmas, haga clic en Exportar yguarde el archivo.

2 En Propiedades del sistema, haga clic en Listas de vigilancia, resalte cada una de las listas de vigilancia, haga clicen Exportar y guarde el archivo.

3 En la Directiva predeterminada del Editor de directivas, aplique este procedimiento para todos los tipos dereglas excepto Origen de datos, Eventos de Windows, ESM, Normalización, Variable y Preprocesador.

a En el panel Tipos de regla, haga clic en un tipo de regla.

b En el panel Filtros/etiquetado, haga clic en la ficha Avanzada, seleccione definido por el usuario en el campoOrigen y, a continuación, haga clic en Actualizar .

c Resalte las reglas, haga clic en Archivo | Exportar | Reglas y guárdelas en formato XML.

4 En la Directiva predeterminada del Editor de directivas, haga clic en Archivo | Exportar | Directiva y, después,seleccione Todas las reglas y variables personalizadas.

Comprobación del estado de ERC de disponibilidad altaSi el sistema incluye receptores de disponibilidad alta, asegúrese de que no haya direcciones IP duplicadas.

Antes de empezarDebe disponer de privilegios de administrador para llevar a cabo esta tarea.

Procedimiento

1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta principal y

haga clic en el icono Propiedades .

2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad altadel dispositivo: online.

3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute elcomando ha_status desde la interfaz de línea de comandos de ambos ERC. La información resultantemuestra el estado de este ERC y el estado que este ERC piensa que tiene el otro. Tiene un aspecto similar aeste:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Compruebe lo siguiente en el estado:

• La primera línea de la respuesta es OK.

• hostname es el mismo nombre de host que el que aparece en la línea de comandos menos el númerode modelo del ERC.

5 Update to a new software versionPrepare to update


• mode es primary si el valor sharedIP coincide con el nombre de host de este ERC; de lo contrario, elmodo será secondary.

• Las siguientes dos líneas muestran los nombres de host de los ERC del par de disponibilidad alta eindican el estado de ejecución de cada uno. El estado en ambos casos es online.

• La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que deberíaser running.

• hi_bit es no en un ERC y yes en el otro.

Asegúrese de que solo uno de los ERC de disponibilidad alta se defina con el valor hi_bit. Si ambos ERCde disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes de realizar la actualizacióna fin de corregir esta opción mal configurada.

5 Acceda mediante Secure Shell (o SSH) a cada uno de los ERC de disponibilidad alta y ejecute el comandoipconfig desde la interfaz de línea de comandos de ambos ERC.

6 Compruebe lo siguiente en los datos generados:

• Las direcciones MAC de eth0 y eth1 son exclusivas en ambos ERC.

• El ERC principal tiene la dirección IP compartida en eth1 y el ERC secundario no tiene dirección IP eneth1.

Si ambos ERC de disponibilidad alta tienen el mismo valor, llame al Soporte técnico antes de realizar laactualización a fin de corregir esta opción mal configurada.

Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones IP, lo queimplica que los dispositivos se pueden actualizar.

Identifique y resuelva los casos especiales de actualizaciónEn situaciones especiales, es necesario llevar a cabo pasos adicionales antes o después de la actualización.

Procedimiento

1 Si instala un nuevo McAfee ESM:

a Registre su hardware en un plazo de 30 días para asegurarse de recibir actualizaciones de directivas,analizadores y reglas como parte del contrato de mantenimiento. Si no se registra, no podrá recibiractualizaciones.

b Para obtener su nombre de usuario y su contraseña permanentes, envíe un mensaje de correoelectrónico a [email protected] con la siguiente información:

• Número de concesión de McAfee • Nombre de contacto

• Nombre de cuenta • Dirección de correo electrónico de contacto

• Dirección

2 Si necesita actualizaciones de regla sin conexión:

a Abra un navegador web y vaya a http://www.mcafee.com/us/downloads/downloads.aspx.

b Haga clic en Descargar, introduzca su número de concesión, escriba las letras tal como se muestran yenvíe los datos.

c Seleccione McAfee Enterprise Security Manager y haga clic en la ficha Todas las versiones.

d Descargue las reglas correspondientes a su versión de McAfee ESM.

3 Si experimenta problemas de comunicación entre el dispositivo durante el proceso de actualización:

Update to a new software versionPrepare to update 5


Si ha actualizado un dispositivo de McAfee antes de actualizar McAfee ESM o el ESM está en proceso deactualización, puede que aparezca este mensaje: Es necesario ampliar el dispositivo para poder llevar a cabo laoperación. Compruebe que la versión de McAfee ESM sea la correcta.

a En la consola de McAfee ESM, seleccione el dispositivo en el árbol de navegación del sistema y haga clic

en el icono Propiedades .

b Haga clic en Conexión y, a continuación, en Estado.

c Vuelva a intentar la operación que provocó el mensaje.

4 Si el sistema incluye McAfee ePO con Policy Auditor, actualícelo.

a Si no se encuentra en un dispositivo de tipo todo en uno, actualice el receptor McAfee Event Receiver alque esté conectado el dispositivo de McAfee ePO.

b En la consola de McAfee ESM, haga clic en Propiedades de ePO | Administración de dispositivo y, acontinuación, haga clic en Actualizar.

Puede configurar la recuperación automática en la ficha Administración de dispositivo.

c Haga clic en Propiedades de receptor y, a continuación, en la ficha Evaluación de vulnerabilidades.

d Haga clic en Escribir.

e Repita el paso b para obtener datos de evaluación de vulnerabilidades en McAfee ESM.

f Cierre la sesión en la consola de McAfee ESM y vuelva a iniciarla.

5 Compruebe el estado del proceso de reconstrucción de la base de datos de ELM.

Puede que la indexación de la base de datos de administración de ELM requiera más tiempo, en función delmodelo de ELM. Por ejemplo, el número de grupos de almacenamiento existentes, la cantidad de datosenviados desde los dispositivos de registro y el ancho de banda de la red pueden aumentar el tiempo quese tarda en completar la indexación. Sin embargo, esta tarea en segundo plano tiene un impacto mínimo enel rendimiento y, cuando finaliza, mejora las consultas sobre datos históricos.

a Vaya a Propiedades de ELM | Información de ELM.

b Si aparece el mensaje La base de datos se está reconstruyendo en el campo Estado Activo, no detenga niinicie la base de datos de ELM. El sistema indexa todos los nuevos datos del ELM en el dispositivo deenvío antes de enviarlos al ELM.

c Si tiene receptores de eventos que realizan el registro en el ELM y se encuentran cerca de su capacidadmáxima, póngase en contacto con el servicio de Soporte.

6 Si va a actualizar un ELM redundante:

Puede ocurrir una fuga de datos si desactiva un dispositivo durante el proceso de actualización.

a Actualice el ELM en espera.

b Actualice el ELM activo.

c En el árbol de navegación del sistema, seleccione el ELM en espera y vaya a Propiedades de ELM |Redundancia de ELM | Volver a poner en servicio.

d Vaya a Propiedades de ELM | Información de ELM y haga clic en Actualizar. Tanto el ELM activo como elELM en espera mostrarán el estado Correcto.

e Si el estado del ELM en espera es Incorrecto, vuelva a hacer clic en Actualizar. Tras unos minutos, elestado del ELM en espera debería cambiar a Correcto, resincronización de ELM redundante completada al100%. Puede que tenga que hacer clic en Actualizar varias veces.

5 Update to a new software versionPrepare to update


Actualizar el software ESM: ESM únicoActualice su software McAfee ESM a una nueva versión.

Antes de empezarAsegúrese de que se ha realizado una copia de seguridad de la configuración y los datos de susistema.

Si su sistema no puede acceder a internet, descargue el archivo de actualización desde el sitio dedescarga de McAfee.

Al realizar la actualización, todos los recopiladores activos dejan de recopilar datos hasta que reescriba laconfiguración de los dispositivos y despliegue la directiva.

Procedimiento1 Desde el panel, haga clic en el menú de información detallada ( ) y seleccione Configuración.

2 Seleccione un ESM y haga clic en el icono Propiedades .

3 Haga clic en Administración de ESM.

4 Seleccione la ficha Mantenimiento y, a continuación, en Actualizar ESM.

5 Siga uno de estos procedimientos:

• Seleccione el archivo de actualización de la lista y haga clic en Aceptar.

• Localice un archivo de actualización de software obtenido del servidor de actualizaciones y reglas deESM. Haga clic en Cargar y, a continuación, en Sí en la página de advertencia.

ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización. Siexperimenta problemas durante una actualización, puede:

• Volver a la versión de software anterior.

• Restaurar los archivos de copia de seguridad.

• Volver a intentar la actualización.

6 Iniciar sesión y establecer la configuración de clúster.

a En Propiedades de ESM, seleccione Agrupación en clústeres.

b Seleccione el ESM principal y haga clic en Escribir.

Actualizar el software ESM: múltiples ESMActualice su sistema a una nueva versión del software.

Antes de empezarAsegúrese de que se ha realizado una copia de seguridad de la configuración y los datos de susistema.

Si su sistema no puede acceder a internet, descargue el archivo de actualización desde el sitio dedescarga de McAfee.

Update to a new software versionActualizar el software ESM: ESM único 5


Si añade ESM por motivos de rendimiento (no replicación), asegúrese de que no se han configurado comoredundantes durante el proceso de actualización. Se añadirán una vez se haya completado la actualización y elfactor de replicación no cambiará. Por ejemplo, puede tener 4 ESM en un despliegue de 10.x. Uno sería elprincipal y los otros tres redundantes. En 10.x, cada uno es una copia del principal, por lo que hay 4 copias delos datos. En 11.0, podría tener los 4 en el clúster con un factor de replicación de 2. Esto le proporcionaría doscopias de los datos en dos nodos por motivos de rendimiento y alta disponibilidad. Para actualizar a estaconfiguración, debería eliminar dos ESM redundantes de la instalación existente, actualizar a la nueva versión(lo cual crea un clúster de 2 ESM) y, a continuación, añada manualmente dos ESM.

El factor de replicación debe ser un múltiplo del número de nodos (ESM). Para agregar nodos por motivos derendimiento, se deben añadir en números pares.

Cuando actualice a la 11.0 desde la versión 9.6.1 (saltándose la versión 10.x), debe visitar la página propiedadesde cada dispositivo desde el ESM una vez se haya completado la actualización para restablecer lacomunicación.

Si va a cambiar la función de un ESM existente, obtenga una ISO específica para el modelo para la versión 11.0de Soporte técnico y despliéguela primero en un dispositivo "limpio". Debe completar el proceso de iniciarsesión por primera vez tras desplegar el ISO y antes de añadir el ESM a un clúster.

Al realizar la actualización, todos los recopiladores activos dejan de recopilar datos hasta que reescriba laconfiguración de los dispositivos y despliegue la directiva.

Procedimiento1 Desde el panel, haga clic en el menú de información detallada ( ) y seleccione Configuración.

2 Seleccione el ESM principal y haga clic en el icono Propiedades .

3 Haga clic en Administración de ESM.

4 Seleccione la ficha Mantenimiento y, a continuación, en Actualizar ESM.


• Seleccione el archivo de actualización de la lista y haga clic en Aceptar.

• Localice un archivo de actualización de software obtenido del servidor de actualizaciones y reglas deESM. Haga clic en Cargar y, a continuación, en Sí en la página de advertencia.

ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización. Siexperimenta problemas durante una actualización, puede:

• Volver a la versión de software anterior.

• Restaurar los archivos de copia de seguridad.

• Volver a intentar la actualización.

6 Iniciar sesión y establecer la configuración de clúster.

a En Propiedades de ESM, seleccione Agrupación en clústeres.

b Seleccione el ESM principal y haga clic en Escribir.

7 Actualice el ESM redundante.

El ESM redundante se configura a sí mismo como parte de un clúster.

8 Cuando se hayan actualizado todos los ESM, inicie sesión en el ESM principal y establezca la configuraciónde clúster de nuevo Propiedades del sistema | Agrupación en clústeres | Escribir.

5 Update to a new software versionActualizar el software ESM: múltiples ESM


Update connected devices

Contenido Actualizar dispositivos SIEM periféricos Actualizar dispositivos periféricos SIEM (modo FIPS) Comprobación del estado de ERC de disponibilidad alta Actualización de receptores de disponibilidad alta

Actualizar dispositivos SIEM periféricosActualice dispositivos periféricos, reescriba la configuración del dispositivo y despliegue la directiva.

Antes de empezar• Lea las notas de la versión.

• Si ha actualizado su software ESM recientemente, verifique que la reconstrucción de la base dedatos haya finalizado.

• Asegúrese de que haya comunicación con todos los dispositivos en el sistema.

Procedimiento1 Actualice el ELM.

a En el panel, seleccione el dispositivo en el árbol de navegación del sistema y haga clic en el iconoPropiedades.

b Haga clic en Administración de <dispositivo> y seleccione la ficha Mantenimiento.

c Haga clic en Actualizar ELM.

d Seleccione una actualización de software de la tabla o haga clic en Examinar para localizarla en elsistema local.

e Haga clic en Aceptar.

2 Actualice el receptor y los dispositivos ACE, DEM y ADM.

Si el sistema incluye receptores de disponibilidad alta, utilice el proceso Actualizar receptores de disponibilidadalta.



c Haga clic en Actualizar <dispositivo>.



La actualización se inicia y puede tardar varias horas.

Update to a new software versionUpdate connected devices 5


3 Aplique las reglas actualizadas.

a En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

b En la página Información del sistema, haga clic en Actualización de reglas y, a continuación, en Actualizaciónmanual.

c Navegue hasta el archivo de actualización, haga clic en Cargar y, a continuación, en Aceptar.

4 Reescriba la configuración de McAfee Event Receiver o combinación de ESM/Event Receiver.


b Haga clic en Orígenes de datos | Escribir.

c Haga clic en Evaluación de vulnerabilidades | Escribir.

5 Reescriba la configuración de ACE.


b Haga clic en Administración de correlación de riesgos | Escribir.

c Haga clic en Histórica | Activar correlación histórica | Aplicar. Si esta opción ya estaba seleccionada, anulesu selección, selecciónela de nuevo y haga clic en Aplicar.

d Haga clic en Correlación de reglas, seleccione Activar correlación de reglas y haga clic en Aplicar. Si estaopción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar.

6 Reescriba la configuración de DEM o ADM.


b Haga clic en Dispositivos virtuales | Escribir.

c Para los servidores de base de datos: haga clic en Servidores de base de datos | Escribir.

7 Despliegue la directiva en todos los dispositivos actualizados.

8 Para anular el modo de omisión del dispositivo seleccionado, haga clic en Configuración del dispositivo |Interfaces.

9 Si ha configurado la recopilación de archivos de registro de un dispositivo desde ELM o ELMERC, sincroniceel ELM (Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM).

Actualizar dispositivos periféricos SIEM (modo FIPS)

Antes de empezar• Lea las notas de la versión.

• Asegúrese de que la versión del sistema sea la 9.6 o posterior.

5 Update to a new software versionUpdate connected devices


• Si ha actualizado su software ESM recientemente, verifique que la reconstrucción de la base dedatos haya finalizado.

• Obtenga el archivo de actualización de reglas manual desde el sitio de descargas de McAfee.

Al realizar la actualización, todos los recopiladores activos (tales como Windows, eStreamer y Checkpoint) dejande recopilar datos hasta que reescriba la configuración de los dispositivos y se despliegue la directiva.

Si no se actualizan los dispositivos antes de actualizar el ESM en el modo FIPS, la recopilación de registros de ELMverse afectada.

Procedimiento1 Actualice los dispositivos ELM autónomos.


b Haga clic en Administración de ELM y seleccione la ficha Mantenimiento.

c Haga clic en Actualizar ELM.

d Seleccione una actualización en la tabla o haga clic en Examinar para buscar el software deactualizaciones en el sistema local.


2 Actualice McAfee Event Receiver, ACE, DEM y ADM.

Si el sistema incluye receptores de disponibilidad alta, utilice el proceso Actualizar receptores de disponibilidadalta.



c Haga clic en Actualizar <dispositivo>.



3 Actualice los dispositivos ESM y combinados. Si actualiza un sistema con dispositivos ESM redundantes,actualice primero el ESM principal.


b Haga clic en Administración de ESM y seleccione la ficha Mantenimiento.

c Haga clic en Actualizar ESM.



La actualización se inicia y puede tardar varias horas.

4 Verifique que existe comunicación con los dispositivos.



5 Aplique las reglas actualizadas.

a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .

b En la página Información del sistema, haga clic en Actualización de reglas y, a continuación, en Actualizaciónmanual.

c Navegue hasta el archivo de actualización, haga clic en Cargar y, a continuación, en Aceptar.

6 Reescriba la configuración de McAfee Event Receiver o combinación de ESM/Event Receiver.


b Haga clic en Orígenes de datos | Escribir.

c Haga clic en Evaluación de vulnerabilidades | Escribir.

7 Reescriba la configuración de ACE.


b Haga clic en Administración de correlación de riesgos | Escribir.

c Haga clic en Histórica | Activar correlación histórica | Aplicar. Si esta opción ya estaba seleccionada, anulesu selección, selecciónela de nuevo y haga clic en Aplicar.

d Haga clic en Correlación de reglas, seleccione Activar correlación de reglas y haga clic en Aplicar. Si estaopción ya estaba seleccionada, anule su selección, selecciónela de nuevo y haga clic en Aplicar.

8 Reescriba la configuración de DEM o ADM.


b Haga clic en Dispositivos virtuales | Escribir.

c Para los servidores de base de datos: haga clic en Servidores de base de datos | Escribir.

9 Despliegue la directiva en todos los dispositivos actualizados.

10 Para anular el modo de omisión del dispositivo seleccionado, haga clic en Configuración del dispositivo |Interfaces.

11 Si ha configurado la recopilación de archivos de registro de un dispositivo desde ELM o ELMERC, sincroniceel ELM (Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM).

Comprobación del estado de ERC de disponibilidad altaSi el sistema incluye receptores de disponibilidad alta, asegúrese de que no haya direcciones IP duplicadas.

Antes de empezarDebe disponer de privilegios de administrador para llevar a cabo esta tarea.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta principal y

haga clic en el icono Propiedades .

2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad altadel dispositivo: online.



3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute elcomando ha_status desde la interfaz de línea de comandos de ambos ERC. La información resultantemuestra el estado de este ERC y el estado que este ERC piensa que tiene el otro. Tiene un aspecto similar aeste:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Compruebe lo siguiente en el estado:

• La primera línea de la respuesta es OK.

• hostname es el mismo nombre de host que el que aparece en la línea de comandos menos el númerode modelo del ERC.

• mode es primary si el valor sharedIP coincide con el nombre de host de este ERC; de lo contrario, elmodo será secondary.

• Las siguientes dos líneas muestran los nombres de host de los ERC del par de disponibilidad alta eindican el estado de ejecución de cada uno. El estado en ambos casos es online.

• La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que deberíaser running.

• hi_bit es no en un ERC y yes en el otro.

Asegúrese de que solo uno de los ERC de disponibilidad alta se defina con el valor hi_bit. Si ambos ERCde disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes de realizar la actualizacióna fin de corregir esta opción mal configurada.

5 Acceda mediante Secure Shell (o SSH) a cada uno de los ERC de disponibilidad alta y ejecute el comandoipconfig desde la interfaz de línea de comandos de ambos ERC.

6 Compruebe lo siguiente en los datos generados:

• Las direcciones MAC de eth0 y eth1 son exclusivas en ambos ERC.

• El ERC principal tiene la dirección IP compartida en eth1 y el ERC secundario no tiene dirección IP eneth1.

Si ambos ERC de disponibilidad alta tienen el mismo valor, llame al Soporte técnico antes de realizar laactualización a fin de corregir esta opción mal configurada.

Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones IP, lo queimplica que los dispositivos se pueden actualizar.

Actualización de receptores de disponibilidad altaActualice los receptores principal y secundarios, empezando por el receptor secundario.

Procedimiento1 En el árbol de navegación del sistema, seleccione el receptor y haga clic en el icono Propiedades .

2 Establezca el receptor principal con el valor Sin preferencia, lo cual permite utilizar la opción Conmutación encaso de error.



3 Actualice el receptor secundario.

a Haga clic en Administración del receptor y seleccione Secundario.

b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga clic enAceptar.

El receptor se reiniciará y se actualizará la versión del software.

c En Propiedades del receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.

d Seleccione el receptor secundario y haga clic en Aceptar.

4 Convierta el receptor secundario en principal mediante la opción Disponibilidad alta | Conmutación en caso deerror.

5 Actualice el otro receptor.

a Haga clic en Administración del receptor y seleccione Secundario.

b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga clic enAceptar.

El receptor se reiniciará y se actualizará la versión del software.

c En Propiedades del receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.

d Seleccione el receptor secundario y haga clic en Aceptar.



6 Complete your installation

Contenido Iniciar sesión en ESM por primera vez Add and configure devices Dispositivos clave Set up data sources Administración de orígenes de datos Set up data storage McAfee Enterprise Log Manager (ELM) Configure ELM Storage Work in FIPS mode

Iniciar sesión en ESM por primera vezInicie sesión en la consola para empezar a configurar el ESM y los dispositivos.

Antes de empezarVerifique si está obligado o no a utilizar el sistema en el modo FIPS. FIPS está compuesto porestándares desarrollados y anunciados públicamente por el gobierno de los Estados Unidos. Si estáobligado a cumplir estos estándares, deberá utilizar este sistema en el modo FIPS.

Procedimiento1 Abra un navegador web y diríjase a la dirección IP establecida al configurar la interfaz de red de ESM. Por

ejemplo, si la dirección IP de ESM es 172.016.001.140, escriba lo siguiente en el navegador:

https:\\172.016.001.140\

2 Haga clic en Continuar en este sitio si aparece un error de certificado autofirmado en el navegador.

3 Haga clic en Inicio de sesión, seleccione el idioma para la consola, y escriba el nombre de usuario y lacontraseña predeterminados.

• Nombre de usuario predeterminado: NGCP

• Contraseña predeterminada: security.4u

4 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.

5 Cuando se le solicite, cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.

6


6 Indique si desea activar el modo FIPS. Si selecciona Sí, haga clic en la confirmación adicional.

En caso de estar obligado a trabajar en el modo FIPS, actívelo la primera vez que inicie sesión, de forma quetoda comunicación futura con los dispositivos de McAfee se produzca en modo FIPS. No active el modo FIPSsi no está obligado a usarlo.

7 Para el acceso a Actualización de reglas, haga clic en Aceptar y siga las instrucciones que aparecen a fin deobtener su nombre de usuario y contraseña, que son necesarios para acceder a las actualizaciones dereglas.

8 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para esta cuenta; después,haga clic en Siguiente.

9 Introduzca la información del servidor para el ESM.

a Escriba las direcciones IPv4 y de máscara de red principales, o bien la dirección IPv6. Si fuera necesario,haga clic en Avanzada.

b (Opcional) Escriba las direcciones IPv4 y de máscara de red secundarias, o bien la dirección IPv6. Si fueranecesario, haga clic en Avanzada.

c En Configuración general, escriba el gateway, los servidores DNS y cualquier información adicionalnecesaria para conectar el ESM a la red.

d Haga clic en Siguiente.

10 (Opcional) Si es necesaria la conexión a través de un servidor proxy, escriba su dirección IP, el número depuerto, las credenciales y establezca la configuración de la red local; después, haga clic en Siguiente.

11 (Opcional) Si es necesario, introduzca las rutas estáticas que necesite el ESM para comunicarse con la red.Cuando haya terminado, haga clic en Siguiente.

12 Agregue sus servidores NTP para sincronizar la hora del sistema de ESM. Defina las opciones deconfiguración siguientes según proceda:

• Dirección IP del servidor NTP

• Clave de autenticación

• ID de clave

Para lograr los mejores resultados en el ESM, es importante disponer de una referencia de tiempo comúnpara toda la empresa. De forma predeterminada, el ESM utiliza un conjunto de servidores NTP basados enInternet. Introduzca el servidor NTP de su empresa y haga clic en Siguiente.

13 Para buscar actualizaciones de reglas automáticamente en el servidor de ESM:

• Escriba el ID de cliente y la contraseña para verificar su identidad.

• Configure el intervalo de comprobación automática en horas y minutos.

• Haga clic en Comprobar ahora o en Actualización manual.

14 Haga clic en Finalizar.

15 En el cuadro de diálogo Cambio en la configuración de la red, haga clic en Sí para reiniciar el servicio de ESM.

El reinicio tarda unos 90 segundos en finalizar. A continuación, podría ser necesario volver a iniciar sesión en elESM.

6 Complete your installationIniciar sesión en ESM por primera vez


Véase también Añadir dispositivos al árbol del dispositivo en la página 45

Add and configure devices

Contenido Añadir dispositivos al árbol del dispositivo Agregar dispositivos en modo FIPS Cambio de nombres de dispositivos, vínculos y descripciones Establecer la comunicación del dispositivo Configurar receptores Configuración de ELS Configure ELM Configure ACE Configurar McAfee Risk Advisor Configurar McAfee Vulnerability Manager Configuración de un DAS para almacenar datos de un ESM de tipo todo en uno

Añadir dispositivos al árbol del dispositivoUna vez haya configurado e instalado los dispositivos físicos y virtuales, añádalos a la consola de McAfee ESM.

Antes de empezarAsegúrese de que los dispositivos han sido instalados siguiendo la guía de hardware (para elhardware) o la guía de instalación (para los dispositivos virtuales).

Siga los pasos siguientes únicamente en el caso de una instalación de McAfee ESM compleja con múltiplesdispositivos. No complete esta tarea en el caso de una instalación de McAfee ESM simple con una combinaciónde dispositivos.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 Haga clic en .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre del dispositivo, introduzca un nombre único en este grupo. Estos caracteres: ! @ # $ % ^& * ) ( ] [ } { : ; " ' > < > , / ? ` ~ + = \ y | no son nombres de dispositivo válidos.

5 Haga clic en Siguiente.

6 Proporcione la información solicitada:

• Para dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para el iniciode sesión a la interfaz web y, a continuación, haga clic en Siguiente. Para la comunicación con la base dedatos, indique la configuración.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo.

Complete your installationAdd and configure devices 6


7 Indique si desea o no utilizar la configuración del protocolo Network Time Protocol (NTP) en el dispositivo y,después, haga clic en Siguiente.

8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

McAfee ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

Véase también Iniciar sesión en ESM por primera vez en la página 43

Agregar dispositivos en modo FIPSHay dos métodos en el modo FIPS que permiten agregar un dispositivo al que ya se ha aplicado una clave aESM. Los términos y las extensiones de archivos que se enumeran aquí pueden ser útiles cuando siga estosprocesos.

Terminología

• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no seemplea con fines criptográficos.

• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de clavesautorizadas de un dispositivo.

• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en un ESM afin de establecer la conexión SSH con un dispositivo.

• ESM principal: el ESM utilizado originalmente para registrar el dispositivo.

• ESM secundario: un ESM adicional que se comunica con el dispositivo.

Extensiones de archivo de los distintos archivos de exportación

• .exk: contiene la clave de dispositivo.

• .puk: contiene la clave pública.

• .prk: contiene la clave privada y la clave de dispositivo.

Activación de la comunicación con varios dispositivos en el modo FIPSSe puede permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación eimportación de archivos .puk y .exk.

El ESM principal se usa para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clavepública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen con eldispositivo.

Procedimiento

1 Exporte el archivo .puk del ESM secundario.

a En la página Propiedades del sistema del ESM secundario, seleccione Administración de ESM.

b Haga clic en Exportar SSH y seleccione la ubicación donde guardar el archivo .puk.

c Haga clic en Guardar y cierre la sesión.

2 Importe el archivo .puk al ESM principal.

a En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar.

b Haga clic en el icono Propiedades y seleccione Administración de claves.

6 Complete your installationAdd and configure devices


c Haga clic en Administrar claves SSH.

d Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.

e Haga clic en Aceptar y cierre la sesión en el ESM principal.

Cambio de nombres de dispositivos, vínculos y descripcionesCuando se agrega un dispositivo al árbol de sistemas, asígnele un nombre que mostrar en el árbol. Puedecambiar el nombre del dispositivo, el nombre del sistema, la dirección URL y la descripción.

Procedimiento1 Desde el panel McAfee ESM, haga clic en y seleccione Configuración.

2 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono

Propiedades .

3 Haga clic en Nombre y descripción para cambiar el nombre, el nombre del sistema, la dirección URL y ladescripción, o para ver el número de ID de dispositivo.

Establecer la comunicación del dispositivoCuando agregue dispositivos a McAfee ESM, también debe establecer la comunicación entre el dispositivo yMcAfee ESM.

Antes de empezarSi aplica una clave a un McAfee ESM distribuido tras cambiar la dirección IP del dispositivosecundario, asegúrese de que el puerto 443 esté abierto para volver a conectar con el McAfee ESM.

Cambiar la configuración de la conexión solo afecta al modo con el que McAfee ESM se comunica con losdispositivos.



Propiedades .

3 Haga clic en Conexión.

Opción Definición

Nombre/Dirección IP dedestino

La dirección IP o el nombre de host que McAfee ESM utiliza paracomunicarse con el dispositivo.

Puerto de destino Puerto utilizado para intentar la comunicación (el puerto predeterminado esel 22).

Marcar este dispositivo comodesactivado

Detiene la comunicación SSH con McAfee ESM. El icono correspondiente aeste dispositivo en el árbol de navegación del sistema indica que estádesactivado.

Estado Comprueba la conexión con McAfee ESM.



Configurar receptoresMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red medianteorígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow,etc.

Los receptores recopilan y normalizan datos de evento y flujo en una única solución fácil de administrar, lo cualproporciona una vista única de varios proveedores.

Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como copia deseguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor principal (A), y loscambios de configuración o de información de directiva se envían a ambos dispositivos. Cuando el receptor Bdetermina que el receptor A ha fallado, desconecta el NIC del origen de datos del receptor A de la red y seconvierte en el dispositivo principal. Este receptor seguirá actuando como principal hasta que el usuariointervenga manualmente a fin de restaurar el receptor A como principal.

Establecer el archivado de datos del receptorEs posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin procesar aldispositivo de almacenamiento para su almacenamiento a largo plazo.

Antes de empezarSe debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexiónde recurso compartido CIFS.

Se debe abrir el puerto 135 en el sistema con el recurso compartido SMB para activar una conexiónde SMB.

McAfee ESM admite los tipos siguientes de almacenamiento: Server Message Block/Common Internet FileSystem (SMB/CIFS), Network File System (NFS) y reenvío de syslog.

SMB/CIFS y NFS almacenan, en forma de archivos de datos, una copia de seguridad de todos los datos sinprocesar enviados al receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream,HTTP, SNMP, SQL, syslog y agente remoto. El sistema envía estos archivos de datos al archivado cada 5 minutos.El reenvío de syslog envía los datos sin procesar de protocolos de syslog como un flujo continuo de syslogscombinado hacia el dispositivo. El receptor puede reenviar solamente a un tipo de almacenamiento en cadaocasión. Se pueden configurar los tres tipos, pero solo puede activarse uno de ellos para el archivado de datos.

Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.



Propiedades .



3 Haga clic en Configuración del receptor | Archivado de datos.

4 Seleccione el tipo de recurso compartido e introduzca los datos de configuración de la conexión.

Tipo de recursocompartido

Opción Definición

SMB/CIFS Tipo de recursocompartido

Establece el tipo de recurso compartido como SMB o CIFS.

Dirección IP La dirección IP del recurso compartido.

Nombre de recursocompartido

La etiqueta aplicada al recurso compartido.

Ruta El subdirectorio del recurso compartido donde se debenalmacenar los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en eldirectorio raíz del recurso compartido, no se requiere la rutade acceso.

Nombre de usuario ycontraseña

Las credenciales necesarias para conectarse al recursocompartido.

No utilice comas en la contraseña para conectarse con unrecurso compartido SMB/CIFS.

NFS Dirección IP La dirección IP del recurso compartido.

Punto de montaje Nombre del punto de montaje en el recurso compartido.

Ruta La ubicación en el recurso compartido donde debenalmacenarse los datos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en eldirectorio raíz del recurso compartido, no se requiere la rutade acceso.

Reenvío de syslog Dirección La dirección IP del recurso compartido.

Puerto El puerto utilizado para archivar datos.

Configuración de receptores de disponibilidad altaDefina la configuración de los receptores de disponibilidad alta. Agregue el receptor que actúa como eldispositivo principal. Debe disponer de tres o más NIC.

Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los receptores de disponibilidadalta no son conformes a FIPS .

Procedimiento1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo de disponibilidad alta

principal y haga clic en el icono Propiedades .

2 Haga clic en Configuración del receptor y, después, en Interfaz.

3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.

4 Rellene la información solicitada y haga clic en Aceptar.

Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplicaglobals.conf y sincroniza ambos receptores.



Configuración de receptores de disponibilidad alta con IPv6Configure la disponibilidad alta con IPv6 debido a que no se puede establecer la dirección IPv6 manualmentemediante la pantalla LCD.

Antes de empezar• Asegúrese de que McAfee ESM utilice IPv6, ya sea de forma manual o automática (Propiedades

del sistema | Configuración de red).

• Averigüe la dirección IP compartida, creada por el administrador de la red.

Procedimiento1 En los dos receptores del par de disponibilidad alta:

a Encienda el receptor y active IPv6 mediante la pantalla LCD.

b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección IPde administración. Esto podría tardar algún tiempo debido a la latencia de la red.

2 Agregue uno de estos receptores a McAfee ESM.

• Nombre: nombre del par de disponibilidad alta.

• Dirección IP o URL de destino: la dirección IPv6 de administración de este receptor de disponibilidad altaque anotó previamente.

3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga clic enPropiedades de receptor | Configuración del receptor | Interfaz.

4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).

5 Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en el campo IPv6 yhaga clic en Aceptar.

Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta. De locontrario, la disponibilidad alta no realizará correctamente una conmutación en caso de error.

6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/Dirección IP de destino y haga clic en Aceptar.

7 Continúe con el proceso de instalación de disponibilidad alta.

Agregar activos de receptorLos activos son cualquier dispositivo de la red con una dirección IP. Asset Manager permite crear activos,cambiar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar activos a grupos. Un ESMsolo puede tener un origen de activos,

pero los receptores pueden tener varios. Si dos orígenes de descubrimiento de activos localizan el mismoactivo, el método de descubrimiento con mayor prioridad agregará el activo descubierto a la tabla. Si dosorígenes de descubrimiento tienen la misma prioridad, el que descubra el activo en último lugar tendráprioridad sobre el primero.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de activos.

2 Haga clic en Agregar y rellene la información solicitada.



Opción Definición

Activado Seleccione esta opción para permitir la funcionalidad de recuperación automática.Aunque no se seleccione la casilla de verificación, es posible recuperar datos delorigen de activos manualmente mediante la opción Recuperar. Si la selecciona, elsistema recuperará los datos según el intervalo especificado en el campo Recuperardatos.

Tipo Seleccione el tipo de origen de activos correspondiente. Los campos restantes varíansegún el tipo seleccionado.

Nombre Introduzca un nombre para el origen de activos.

Zona Seleccione una zona si desea asignar este activo a una.

Prioridad Seleccione la prioridad que desee que tenga este origen de activos en caso de quedescubra un activo al mismo tiempo que la evaluación de vulnerabilidades o eldescubrimiento de red. Las opciones son de 1 a 5, donde 1 es la prioridad más alta.

Dirección IP, Puerto Escriba la dirección IP y el puerto de este origen de activos.

Usar TLS, Usar SSL Seleccione estas opciones si desea utilizar el protocolo de cifrado TLS (para ActiveDirectory) o SSL (para Altiris).

Nombre de usuario,Contraseña

Escriba el nombre de usuario y la contraseña necesarios para acceder al activo.

Base de búsqueda Escriba el nombre propio del controlador de dominio (por ejemplo,dc=McAfee,dc=com).

Activar proxy En el caso de Altiris, indique si desea activar el servidor proxy. Si lo activa, introduzcala información del proxy:• Dirección IP del servidor proxy

• Puerto de escucha del proxy

• Nombre de usuario del proxy

• Contraseña del servidor proxy

Recuperar datos Si desea recuperar los datos de forma automática, indique la frecuencia de larecuperación.

Conectar Pruebe la conexión.

3 Haga clic en Aceptar y, a continuación, en Escribir en Orígenes de activos.

Configuración de ELSPara buscar datos de McAfee Enterprise Log Search (ELS), agregue dispositivos ELS a la consola, configure elalmacenamiento y las directivas de retención de ELS, y asocie los orígenes de datos con directivas de retenciónespecíficas.

Antes de empezarInstale y configure los dispositivos virtuales o físicos.

Procedimiento1 Desde el panel, haga clic en y, a continuación, haga clic en Configuración.

2 Agregue dispositivos ELS a la consola.

a En la barra de herramientas de acciones, haga clic en y seleccione McAfee Enterprise Log Search. Hagaclic en Siguiente.

b Introduzca un Nombre de dispositivo exclusivo y haga clic en Siguiente.



c Introduzca la dirección IP o la URL de destino, el número de puerto SSH de destino y la configuración delprotocolo de tiempo de redes o NTP (Network Time Protocol) para el dispositivo. Haga clic en Siguiente.

d Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

3 Configure el almacenamiento.

La retención de datos sin comprimir acelera las capacidades de búsqueda del ELS. Sin embargo, requiereespacio de almacenamiento adicional, como unidades de disco duro o almacenamiento en red.

a Seleccione ELS, haga clic en y, después, haga clic en Almacenamiento de datos.

b Si utiliza iSCSI, DAS, SAN o unidades locales virtuales, rellene la información en la cuadrícula superior.

c Si utiliza SAN, unidades virtuales locales, NFS, iSCSI o CIFS, haga clic en Agregar en la cuadrícula inferior.

d Introduzca los parámetros correctos y haga clic en Aceptar.

4 Agregue directivas de retención (no más de seis).

Para buscar datos de los registros de ELS, debe contar como mínimo con una directiva de retención. Elsistema establece la primera directiva de retención creada como la predeterminada. Si solo existe unadirectiva, puede cambiarla pero no puede eliminarla. El ELS no puede aceptar datos anteriores a seis mesesantes de que se cree la primera directiva de retención.

a Seleccione ELS, haga clic en y, después, haga clic en Directivas de retención.

b Haga clic en Agregar.

c Especifique el nombre y la duración de la directiva de retención y haga clic en Aceptar.

El sistema almacena la duración en días. Puede establecer una duración en años (365 días), trimestres (90días) o meses (30 días).

5 Asocie los orígenes de datos con directivas de retención.

Puede asociar un origen de datos con un ELS o un ELM, pero no con ambos.

a Seleccione el dispositivo del origen de datos (como, por ejemplo, un receptor) y haga clic en .

b Haga clic en Orígenes de datos.

c En la columna Registro, elija la casilla de verificación relevante para mostrar la pantalla Opciones de datosde registro.

d Seleccione la directiva de retención que desee asociar con este origen de datos y haga clic en Aceptar.

Configure ELM

Contenido Configuración de la redundancia de ELM Establecimiento de la compresión de ELM



Configuración de la redundancia de ELMSi dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el registromediante la adición de un ELM en espera.

Antes de empezar• Instale un ELM autónomo y agréguelo a McAfee ESM.

• Se requiere tener un ELM autónomo instalado pero no agregado a la consola.

• Asegúrese de que no haya datos en el ELM en espera. Póngase en contacto con el servicio desoporte si necesita realizar un restablecimiento a los valores de fábrica.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades .

2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.

3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.

4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté seleccionadala ficha Activo.

5 Agregue dispositivos de almacenamiento en el ELM activo.

6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengansuficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.

7 Agregue uno o varios grupos de almacenamiento a cada ELM.

La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de los datosentre ambos dispositivos.

Opción Definición

Solo está disponible cuando la redundancia de ELM no está activada.

Activar Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a fin de activarla redundancia de ELM.

Solo está disponible cuando la redundancia de ELM está activada.

Quitar Permite desactivar la redundancia en el ELM.

Cambiar ELM Permite intercambiar los ELM de manera que el ELM en espera se convierta en el ELMprincipal. El sistema asociará todos los dispositivos de registro con él. El registro y lasacciones de configuración se bloquean durante el proceso de cambio.

Suspender Permite suspender la comunicación con el ELM en espera si este está experimentandoproblemas. Todas las interrupciones de comunicación y notificaciones de erroresrelativas a la redundancia se enmascaran. Cuando el ELM en espera vuelva a funcionar,haga clic en Volver a poner en servicio.



Opción Definición

Estado Permite ver detalles sobre el estado de la sincronización de los datos entre el ELM enespera y el activo.

Volver a poner enservicio

Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si el sistemavuelve a hacer funcionar el ELM y no detecta ningún cambio en los archivos deconfiguración, la redundancia se mantiene como hasta el momento. En caso de que elsistema detecte diferencias, el proceso de redundancia continúa para los grupos dealmacenamiento que no tengan problemas y se le informa de que la configuración deuno o varios grupos no es correcta. Corrija tales grupos manualmente.Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y le solicita quevuelva a aplicarle una clave. A continuación, el ELM activo sincroniza todos los archivos deconfiguración con el ELM en espera y el proceso de redundancia continúa como hasta elmomento.

Establecimiento de la compresión de ELMSeleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el disco o deprocesar más registros.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración

de ELM | Compresión.

2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar.

Configure ACE

Selección del tipo de datos para la correlaciónMcAfee ESM recopila datos de eventos y flujos. Seleccione los datos que desea enviar a McAfee AdvancedCorrelation Engine (ACE). La opción predeterminada es enviar datos de eventos únicamente.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.

2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.

3 Haga clic en Aceptar.



Configurar McAfee Risk AdvisorCuando activa la adquisición de datos de McAfee Risk Advisor en McAfee ePO, el sistema genera una lista decalificación y la envía a cualquier McAfee Advanced Correlation Engine (ACE) que se utilice para calificar loscampos de IP de origen y de destino.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivo y haga

clic en Activar.

2 Complete los campos de configuración.

Opción Definición

Administrar registrode ELM

Configure el grupo de registro predeterminado para el dispositivo seleccionado. Estaopción solo está disponible si tiene un McAfee Enterprise Log Manager (ELM) enMcAfee ESM.

Zona Asigne McAfee ePO a una zona o cambie la configuración actual.

Actualizar dispositivomanualmente

Actualice la lista de aplicaciones desde el dispositivo McAfee ePO y cree un origen dedatos cliente para cada aplicación.

Hora de últimaactualización

Vea la última vez que se actualizaron las aplicaciones.

Activar MRA Active la adquisición de datos de McAfee Risk Advisor.

Prioridad Cabe la posibilidad de que tenga varios dispositivos McAfee ePO, de origen deactivos o de evaluación de vulnerabilidades (VA) configurados para recibir losmismos activos o amenazas. En ese caso, seleccione la prioridad de los datosprocedentes de este dispositivo McAfee ePO en caso de que otros dispositivosreciban la misma información.Por ejemplo, supongamos que ePO-1 y VA-1 supervisan su sistema. ePO-1 recopilainformación sobre el software y el hardware de su sistema, mientras que VA-1recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1 paraque tenga una prioridad superior a la de VA-1, de manera que la información querecopile no quede sobrescrita por la información recopilada por VA-1.

Planificaractualización deaplicación

Para actualizar automáticamente la lista de aplicaciones del dispositivo McAfee ePO,seleccione la frecuencia en la lista desplegable.


Configurar McAfee Vulnerability Manager Para extraer datos de evaluación de vulnerabilidades desde McAfee Vulnerability Manager, debe conectarlo aMcAfee ESM como un dispositivo. A continuación, asócielo a un receptor para que McAfee ESM pueda extraereventos de McAfee Vulnerability Manager desde el receptor.

Antes de empezarObtenga credenciales de inicio de sesión de McAfee Vulnerability Manager.

Cambiar esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma con la que el dispositivose comunica con McAfee ESM.



Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.

2 Rellene la información solicitada y haga clic en Aceptar.

Opción Definición

Receptor asociado Seleccione el receptor asociado con este McAfee VulnerabilityManager. Para ver los detalles de este receptor, haga clic en elvínculo.

Escriba a continuación los parámetros deinicio de sesión para la base de datos

Escriba los parámetros solicitados. El Dominio es opcional.

Conectar Haga clic para probar la conexión con la base de datos.

Escriba a continuación las credencialespara la interfaz de usuario del sitio web

Escriba las credenciales web. El firewall de la base de datos y laaplicación web debe permitir los puertos para la conexión deMcAfee ESM.

Cargue el certificado del servidor MVM yescriba la frase de contraseña

Introduzca las credenciales de McAfee Vulnerability Manager yhaga clic en Cargar para buscar el archivo .zip.

Conectar Pruebe la conexión con el sitio web.

Configuración de un DAS para almacenar datos de un ESM de tipo todoen uno

Antes de empezarConfigure dispositivos DAS.

Procedimiento1 En el árbol de navegación del sistema, seleccione McAfee ESM y haga clic en el icono Propiedades .

2 Haga clic en Base de datos y, a continuación, en Almacenamiento de datos.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de McAfeeESM.

4 Haga clic en Asignar y, a continuación, en Sí.

Una vez asignado un dispositivo, no se puede cambiar.

Dispositivos claveTras agregar un dispositivo al ESM, aplíquele una clave para permitir la comunicación. Aplicar una clave deldispositivo mejora la seguridad al garantizar que el dispositivo se comunica con el ESM.

Antes de empezarSi aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivo secundario,asegúrese de que el puerto 443 esté abierto para volver a conectar con el ESM.

Para comunicarse con un dispositivo, ESM cifra las comunicaciones mediante la clave creada al aplicar la clave adicho dispositivo.

Todos los ajustes se almacenan en el ESM, lo que significa que la consola de ESM reconoce las clavesmantenidas en el ESM .

6 Complete your installationDispositivos clave


Los administradores de dispositivos pueden sobrescribir los ajustes del dispositivo desde otro ESM. Use unúnico ESM para administrar los dispositivos conectados a él. Un ESM distribuido (DESM) puede gestionar larecopilación de datos desde dispositivos conectados a otro ESM.


2 En el panel de pantalla física, compruebe que cada dispositivo que haya añadido aparece en el árbol dedispositivos.

3 Seleccione un dispositivo y haga clic en el icono Propiedades .

4 Haga clic en Administración de ESM y seleccione la ficha Administración de claves.

Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el Asistente paraaplicar clave a dispositivo.

5 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.

6 Haga clic en Finalizar.

Procedimientos• Administración de claves SSH en la página 57

Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los quenecesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas sise elimina la clave.

Administración de claves SSHLos dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que necesitancomunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se elimina la clave.

Procedimiento1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades .

2 Haga clic en Administración de claves y, a continuación, en Administrar claves SSH.

La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica eldispositivo.

Complete your installationDispositivos clave 6


3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los sistemas de lalista.

4 Confirme la eliminación y haga clic en Aceptar.

Opción Definición

Tabla de clavesautorizadas

Permite ver los equipos para los cuales tiene claves de comunicación SSH estedispositivo. Si está activado SSH, los equipos de la lista se pueden comunicar.

Hosts conocidos En el caso de los dispositivos, permite administrar las claves de cualquier dispositivocompatible con SSH con el que se haya comunicado el dispositivo en cuestión (porejemplo, el receptor de un origen de datos SCP). En el caso del ESM, permite ver lasclaves de todos los dispositivos del árbol de sistemas con el que se comunica el ESM.

Tabla de hostsconocidos

Permite ver la dirección IP, el nombre de dispositivo y la huella digital ya introducidosde acuerdo con los datos del host disponibles en el archivo de hosts conocidos(root/.ssh/known_hosts).

Huella digital deldispositivo

Permite ver la huella digital de este dispositivo, que se genera a partir de la clave SSHpública del dispositivo.

Set up data sources

Contenido Cómo funcionan las fuentes de datos Configurar receptores para crear orígenes de datos automáticamente

Cómo funcionan las fuentes de datosMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red medianteorígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow,etc. Los orígenes de datos se emplean para controlar cómo recopila el receptor los datos de registro y deeventos. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datosrequeridos.

La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo receptor.Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de importarlos, exportarlos ymigrarlos. También se pueden agregar orígenes de datos secundarios y cliente.

Configurar receptores para crear orígenes de datos automáticamenteConfigure receptores para la creación automática de orígenes de datos mediante las reglas estándar incluidasen el receptor o las reglas que desee crear.

Procedimiento1 Haga clic en el icono Obtener eventos y flujos en la barra de herramientas de acciones para extraer eventos

o flujos.

2 Desde el panel McAfee ESM, haga clic en y seleccione Configuración.

3 En el árbol de navegación del sistema, seleccione el receptor y haga clic en el icono Propiedades .

4 En la página Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

5 En la página Aprendizaje automático, haga clic en Configurar.

6 Complete your installationSet up data sources


6 En la página Editor de reglas de adición automática, asegúrese de que la opción Activar creación automática paraorígenes de datos esté activada.

7 Haga clic en Agregar y seleccione las reglas de agregación automática que desee que el receptor utilice paracrear automáticamente los orígenes de datos.

8 Para aplicar reglas seleccionadas a los datos de aprendizaje automático, haga clic en Ejecutar ahora.

Procedimientos• Administración de reglas de creación automática en la página 59

Cree, edite y organice reglas personalizadas que el receptor utiliza para crear automáticamenteorígenes de datos.

• Administración del aprendizaje automático de orígenes de datos en la página 60Configure receptores de McAfee ESM para el aprendizaje automático de direcciones IP de orígenesde datos.

Administración de reglas de creación automáticaCree, edite y organice reglas personalizadas que el receptor utiliza para crear automáticamente orígenes dedatos.



3 En la página Propiedades de receptor, haga clic en Orígenes de datosAprendizaje automático | Configurar .

4 Seleccione Activar para activar la creación automática de orígenes de datos.

Complete your installationSet up data sources 6


5 Si desea crear o modificar una regla, haga clic en Agregar, o seleccione una regla y haga clic en Editar.

a En la página Configurar regla de agregación automática, configure las opciones.

Categoría Opción Definición

Panel superior Descripción Una etiqueta de texto que ayuda a los usuarios aidentificar el propósito de la regla.

Tipo El tipo de regla que desea crear.

Activado Activa o desactiva la regla.

Criterios de coincidenciaen aprendizaje automático

IP/CIDR y nombre dehost

La ubicación en la red y el nombre de host desde elque debe originarse tráfico para activar la regla.

Puerto El puerto que el tráfico debe atravesar para activar laregla.

Proveedor y modelo La regla se activa únicamente cuando el tráfico seorigina desde este proveedor y modelo de dispositivo.

Parámetros de creación decliente/origen de datos

Nombre El nombre para el origen de datos. Este campo admitevariables para representar la dirección IP, el modelo yel nombre de host. Por ejemplo, puede escribirOrigen de datos - {MODEL}_{HOST}_{IP}.

Tipo de origen dedatos

Establece el nuevo origen de datos como un Origen dedatos o un Cliente.

Principal Asigna un dispositivo para que actúe como el principaldel nuevo origen de datos.

Tipo de cliente Asigna un tipo de cliente al nuevo origen de datos.

Proveedor y modelo Aparecerá el nuevo origen de datos en el sistema coneste proveedor y modelo.

Zona horaria La zona horaria que asignar al origen de datos.

Zona (Opcional) La zona donde aparece el nuevo origen dedatos.

Grupo dealmacenamiento

Si desea que los datos generados por el origen dedatos (no los clientes) se almacenen en el ELM, hagaclic en Grupo de almacenamiento y seleccione el grupode almacenamiento.

b Haga clic en Aceptar.

6 En la página Editor de reglas de adición automática, utilice las flechas para organizar las reglas en el orden quedesee.

7 Haga clic en Ejecutar ahora para aplicar las reglas a los resultados de aprendizaje automático actual.

La creación automática se produce cuando se extraen alertas del receptor, ya sea manualmente o de formaautomática mediante McAfee ESM.

Administración del aprendizaje automático de orígenes de datosConfigure receptores de McAfee ESM para el aprendizaje automático de direcciones IP de orígenes de datos.

Antes de empezarDefina los puertos para syslog, MEF y flujos.

Los puertos del receptor deben coincidir con los orígenes que envían datos para que se produzca elaprendizaje automático.

6 Complete your installationSet up data sources


El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una serie dedirecciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de orígenes de datos.

Actualizar McAfee ESM elimina los resultados de aprendizaje automático. Ejecute el aprendizaje automáticodespués de actualizar para volver a recopilar los resultados de aprendizaje automático.



3 En la página Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

4 Configure el aprendizaje automático.

a Seleccione el periodo de tiempo durante el que desea que se produzca el aprendizaje automático en elcampo horas correspondiente y haga clic en Activar.

Cuando se utiliza el aprendizaje automático para MEF, no pueden agregarse orígenes de datos deaprendizaje automático mediante un ID de host.

Cuando se agota el tiempo, el sistema desactiva el aprendizaje automático y rellena la tabla con lasdirecciones IP encontradas.

b Haga clic en Desactivar para detener el aprendizaje automático.

5 Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes de datos.

a Seleccione direcciones IP del mismo tipo que las que desea agregar y haga clic en Agregar.

b En la página Orígenes con aprendizaje automático, seleccione una de las opciones.

• Si las direcciones IP seleccionadas no tienen un nombre asociado, el sistema le preguntará si deseaagregar un prefijo a las direcciones seleccionadas.

• Si hace clic en No, las direcciones IP se utilizan como los nombres de estos orígenes de datos.

• Si hace clic en Sí, introduzca un prefijo para el nombre y haga clic en Aceptar. Los nombres deestos orígenes de datos constarán del nombre agregado y la dirección IP.

• Si las direcciones IP seleccionadas tienen nombres, el sistema agrega orígenes de datos a la lista.

Opción Definición

Coincidencia decliente en tipo

Si un origen de datos coincide con la dirección IP seleccionada, el sistema añadeelementos al origen de datos como orígenes de datos cliente de coincidencia portipo. Si no existe ningún origen de datos que coincida con la dirección IPseleccionada, se crea uno. Los elementos restantes se agregan a él a modo deorígenes de datos cliente de coincidencia por tipo.

Coincidencia decliente en IP

Esta opción permite seleccionar el origen de datos al que agregar esta dirección IPa modo de cliente. Se muestran los orígenes de datos coincidentes. Si no existeninguno, la única opción disponible es Ninguno: crear nuevo origen de datos.Seleccione el origen de datos al que desee agregar esta dirección IP a modo decliente y haga clic en Aceptar.

6 Para cambiar el nombre de un origen de datos, haga clic en Editar nombre. Use un máximo de 50 caracteresy asegúrese de que el nombre no esté asignado aún a un origen de datos en la lista.

7 Para cambiar el tipo de la dirección IP seleccionada, haga clic en Cambiar tipo. Cambie el tipo si el tiposugerido por el sistema no es correcto. Ver el paquete puede ayudarle a determinar el tipo correcto.

Complete your installationSet up data sources 6


Administración de orígenes de datosLos orígenes de datos controlan cómo el receptor recopila datos de evento y de registro desde distintasfuentes, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow, sFlow y otras fuentes. Agregueorígenes de datos y defina su configuración de manera que recopilen los datos requeridos.

Antes de empezar• Asegúrese de que el receptor para este origen de datos aparece en el árbol de navegación del

sistema.

• Asegúrese de que el origen de datos se ha configurado como se describe en la referencia deconfiguración de orígenes de datos.



3 En la página Propiedades de receptor, haga clic en Orígenes de datos.

Una tabla muestra los orígenes de datos existentes (incluidos los orígenes de datos secundarios y decliente) e identifica cómo el origen de datos procesa los datos.

Si selecciona la Captura SNMP, el origen de datos acepta capturas SNMP estándar de cualquier dispositivo dered que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándarincluyen: fallo de autenticación, Inicio en frío, Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo eInicio en caliente. Cuando ESM recibe estas capturas, genera un evento para el origen de datos. Si necesitaenviar o recibir capturas SNMP a través de IPv6, formule la dirección IPv6 como una dirección de conversiónIPv4.


• Para agregar un nuevo origen de datos, haga clic en Agregar.

• Para agregar un origen de datos secundario a un origen de datos existente, haga clic en Agregar elementosecundario.

• Para editar un origen de datos existente, seleccione el origen de datos y haga clic en Editar.

5 Configure los orígenes de datos.

Opción Definición

Usar perfiles del sistema Los perfiles solo rellenan previamente dispositivos basados en protocolos syslogy SNMP.

Proveedor de origen dedatos, Modelo de origen dedatos

El proveedor y modelo seleccionados determinan la información que seintroduce para el origen de datos.Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) quegenere datos con una codificación distinta de UTF-8, seleccione Genérico comoproveedor y Analizador de syslog avanzado como modelo.

Formato de datos Método de análisis

6 Complete your installationAdministración de orígenes de datos


https://docs.mcafee.com

https://docs.mcafee.com

Opción Definición

Recuperación de datos Método de recopilación de datos• Para SCP, establezca la variable de entorno LANG como lang=C.

• El Origen de archivo SCP no es compatible con rutas relativas. Defina laubicación completa.

• Para Origen de archivo CIFS u Origen de archivo NFS, seleccione un método derecopilación.

Activado Cómo el receptor procesa datos

Campos restantes Los campos restantes variarán en función del proveedor, modelo de dispositivo,método de recuperación de datos y protocolo del modelo de dispositivoseleccionado.

Los orígenes de datos aparecen en el receptor en el árbol de navegación.

Procedimientos• Configuración del formato de fecha para orígenes de datos en la página 63

Seleccione el formato de las fechas incluidas en los orígenes de datos.

• Adición de orígenes de datos secundarios en la página 64Agregue orígenes de datos secundarios para organizar sus orígenes de datos.

• Adición de orígenes de datos ASP con codificación diferente en la página 64McAfee ESM puede leer los datos codificados mediante UTF-8. Aplique formato a los orígenes dedatos ASP que tengan una codificación diferente para garantizar que el receptor pueda leer estosdatos.

• Adición de orígenes de datos cliente en la página 64Para aumentar el número de orígenes de datos permitidos en el receptor, agregue un cliente a unorigen de datos existente.

• Selección del método de recopilación de orígenes de datos Leer final de archivos en la página 65Cuando agregue orígenes de datos, debe elegir un método de recopilación si selecciona Origen dearchivo NFS u Origen de archivo CIFS para la recuperación de datos.

Configuración del formato de fecha para orígenes de datosSeleccione el formato de las fechas incluidas en los orígenes de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de datos

.

2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:

• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día). Cuando seutilizan orígenes de datos cliente, los clientes con esta configuración heredan el formato de fecha delorigen de datos principal.

• Mes antes del día: el mes aparece antes que el día (04/23/2014).

• Día antes del mes: el día aparece antes que el mes (23/04/2014).


Complete your installationAdministración de orígenes de datos 6


Adición de orígenes de datos secundariosAgregue orígenes de datos secundarios para organizar sus orígenes de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

2 En la tabla de orígenes de datos, seleccione el origen de datos principal al que desee agregar un origen dedatos.

3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen dedatos principal.


Adición de orígenes de datos ASP con codificación diferenteMcAfee ESM puede leer los datos codificados mediante UTF-8. Aplique formato a los orígenes de datos ASP quetengan una codificación diferente para garantizar que el receptor pueda leer estos datos.

Procedimiento1 En el árbol de navegación del sistema, haga clic en un receptor y, a continuación, en el icono Agregar origen

de datos .

2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslogavanzado en el campo Modelo de origen de datos.

3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.

Adición de orígenes de datos clientePara aumentar el número de orígenes de datos permitidos en el receptor, agregue un cliente a un origen dedatos existente.

Antes de empezarAgregue orígenes de datos al receptor.



3 Haga clic en Orígenes de datos.



4 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.

5 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.

Opción Definición

Nombre Nombre del cliente

Zona horaria Zona horaria del cliente

Orden en fechas Formato de fecha: mes antes del día o día antes del mes

Dirección IP, Nombre dehost

Nombre de host o dirección IP del cliente: puede tener más de un origen dedatos del cliente con la misma dirección IP. El puerto los diferenciará.

Se requiere TLS en syslog Seleccione el protocolo de cifrado Transport Layer Security (TLS) para syslog.

Puerto Indique si desea que el cliente use el mismo puerto que su elemento principal uotro de los puertos de la lista.

Coincidir por tipo Seleccione esta opción si desea hacer coincidir los clientes por tipo y, después,seleccione el proveedor y el modelo del cliente.

Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo, supongamosque tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la dirección IP 1.1.1.0/24, queabarca un rango. Ambos son del mismo tipo. Si un evento coincide con 1.1.1.1, se dirige al primer clienteporque es más específico.

Cómo funcionan las fuentes de datos clienteLos orígenes de datos cliente permiten aumentar el número de orígenes de datos permitidos en los receptores.En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF, MEF, NPP y WMI, es posible agregarhasta 32 766 clientes de origen de datos.

Si el origen de datos ya es un elemento principal o secundario, o si se trata de un origen de datos WMI y se haseleccionado Usar RPC, esta opción no estará disponible.

Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el número depuerto para diferenciarlos. Esto permite separar los datos utilizando un puerto distinto para cadatipo y luego reenviarlos sirviéndose del mismo puerto al que hayan llegado.

Cuando añada un origen de datos cliente, seleccione si desea usar el puerto de origen de datosprincipal u otro puerto.

Los orígenes de datos cliente tienen las características siguientes:

• No disponen de derechos de VIPS, directiva ni agente.

• Aparecen en el árbol de navegación del sistema, pero no en la tabla Orígenes de datos.

• Comparten la misma directiva y los mismos derechos que el origen de datos principal.

• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.

Los orígenes de datos WMI cliente pueden tener zonas horarias independientes debido a que la consulta enviadaal servidor WMI determina la zona horaria.

Selección del método de recopilación de orígenes de datos Leer final dearchivosCuando agregue orígenes de datos, debe elegir un método de recopilación si selecciona Origen de archivo NFS uOrigen de archivo CIFS para la recuperación de datos.

Los métodos de recopilación son:

Complete your installationAdministración de orígenes de datos 6


• Copiar archivos: el sistema copia los registros completos desde el recurso compartido remoto al receptorpara su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentemente coninformación nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento.

• Leer final de archivos: los registros se leen de forma remota y solamente se leen los eventos nuevos. Cadavez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si el archivocambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el principio.



3 Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.

4 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en elcampo Recuperación de datos.

5 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes:

• Eventos multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una longituddinámica.

• Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y elcomienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de registro.

• El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe analizarcomo una expresión regular en lugar de como un valor estático.

• Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primeraejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los eventosnuevos.

• Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a losdirectorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión comodín. Sino se selecciona, solamente se buscan los archivos del directorio principal.

6 Rellene los campos restantes y haga clic en Aceptar.

Cómo funciona la correlación de fuentes de datosUn origen de datos de correlación analiza los datos de McAfee ESM, detecta patrones sospechosos y generaalertas de correlación, que se insertan en la base de datos de alerta del receptor. Solo se puede configurar unorigen de datos de correlación por cada receptor, de forma similar a la configuración de syslog u OPSEC.

Los datos interpretados por las reglas de directiva de correlación, que se pueden crear y modificar, representanun patrón sospechoso.

Después de configurar un origen de datos de correlación, puede realizar lo siguiente:

• Desplegar la directiva predeterminada de la correlación

• Editar las reglas básicas en la directiva predeterminada de esta correlación

• Agregar reglas personalizadas y componentes

• Desplegar la directiva

• Activar o desactivar cada regla

• Definir el valor de los parámetros definidos por el usuario en cada regla



Para agregar un origen de datos de correlación, seleccione McAfee como proveedor y Motor de correlación comomodelo.

Activar el origen de datos de correlación permite a McAfee ESM enviar alertas al motor de correlación delreceptor.

Set up data storage

Contenido Cómo funciona el almacenamiento de datos Configuración del almacenamiento de datos Configuración del almacenamiento de datos de máquinas virtuales Aumento de los índices de acumulación Configuración de límites de retención de datos Definición de los límites de asignación de datos Administración de la indización de acumulación Visualización del uso de memoria de la base de datos

Cómo funciona el almacenamiento de datosAlmacene y conserve grandes cantidades de datos a largo plazo mediante McAfee

®

Enterprise Log Manager ybusque rápidamente en los datos de registro almacenados con McAfee Enterprise Log Search.

Conservación de datos a largo plazo

McAfee®

Enterprise Log Manager le permite almacenar, administrar, acceder e informar de grandes cantidadesde datos de registro durante periodos prolongados de tiempo.

Organice los datos de McAfee®

Enterprise Log Manager en grupos de almacenamiento, cada uno compuestopor varios dispositivos de almacenamiento. Asocie los tiempos de retención con cada grupo dealmacenamiento para conservar los datos del grupo durante un periodo específico. Las normativasgubernamentales, del sector y de las empresas requieren que los registros se almacenen durante periodos detiempo diferentes.

Puede configurar trabajos de búsqueda y comprobación de integridad en McAfee®

Enterprise Log Manager.Cada trabajo accede a los registros almacenados y recupera o comprueba los datos definidos en el trabajo.Posteriormente, se pueden ver los resultados y exportar la información.

Para configurar un McAfee®

Enterprise Log Manager, debe conocer lo siguiente:

• Las fuentes de datos se asocian con cada dispositivo de McAfee® Enterprise Log Manager.

Puede asociar un origen de datos con un Enterprise Log Search o un McAfee®

Enterprise Log Manager, perono con ambos.

• Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos

• Los dispositivos de almacenamiento necesarios para almacenar los datos

Los grupos de almacenamiento requieren un 10 % del espacio asignado para la sobrecarga de duplicación.

Búsqueda de datos rápida

McAfee Enterprise Log Search retiene datos de registro sin comprimir durante períodos concretos, lo cualacelera las búsquedas en los datos almacenados desde el panel de McAfee ESM.

Complete your installationSet up data storage 6


Para configurar McAfee Enterprise Log Search, debe saber lo siguiente:

• Dispositivos de almacenamiento adicionales: determine junto con su equipo los requisitos dealmacenamiento apropiados para su entorno, tales como discos duros o almacenamiento en redadicionales.

• Directivas de retención: para determinar cuánto tiempo desea conservar datos sin comprimirdeterminados. Puede agregar hasta seis directivas de retención con una duración en años (365 días),trimestres (90 días) o meses (30 días).

• Orígenes de datos a asociar con cada dispositivo de Enterprise Log Search.

Puede asociar un origen de datos con un Enterprise Log Search o un McAfee®

Enterprise Log Manager, perono con ambos.

Configurar el almacenamiento de datos

El diagrama siguiente muestra los pasos para configurar los dispositivos de almacenamiento de datos.

1 Para permitir una comunicación segura y cifrada con McAfee ESM, aplique una clave a los dispositivos dealmacenamiento.

2 Para conectar dispositivos tanto físicos como virtuales a McAfee ESM, configure los dispositivos dealmacenamiento.

3 a Configure las directivas de conservación de datos que identifican durante cuánto tiempo se almacenanlos datos de registro en el dispositivo McAfee Enterprise Log Search.

b Establezca grupos de almacenamiento en el dispositivo McAfee®

Enterprise Log Manager.

4 a Asigne receptores a las directivas de conservación específicas.

b Asigne receptores a grupos de almacenamiento concretos.

5 a Busque rápidamente datos de registro almacenados mediante el dispositivo McAfee Enterprise LogSearch.

b Almacene grandes cantidades de datos de registro en el dispositivo McAfee®

Enterprise Log Manager.

6 Complete your installationSet up data storage


Tipos de dispositivos de almacenamiento

Tipo dedispositivo

Detalles

NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento que contiene labase de datos de administración de ELM, use la opción Migrar base de datos para mover labase de datos a un dispositivo de almacenamiento distinto. Podrá cambiar de forma segurael campo de punto de montaje remoto y mover la base de datos de vuelta al dispositivo dealmacenamiento actualizado.

CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.

iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.

• Intentar conectar varios dispositivos a un IQN puede provocar fuga de datos y otrosproblemas de configuración.

SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en McAfee® EnterpriseLog Manager y hay volúmenes SAN disponibles.

Local virtual Esta opción está disponible únicamente si se ha añadido un dispositivo local virtual en elMcAfee® Enterprise Log Manager virtual. Debe formatear el dispositivo antes de usarlo paraalmacenamiento.

Configuración del almacenamiento de datosSi tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipos pequeñosde Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS (Direct-attached storage,almacenamiento conectado directamente) conectado a McAfee ESM, puede configurarlo para elalmacenamiento de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos |

Archivado.

2 Haga clic en las fichas de dispositivo de almacenamiento de datos, seleccione una acción y rellene ladirección IP, el nombre y el puerto del dispositivo.

Las fichas disponibles dependen de los tipos de almacenamiento conectados a McAfee ESM.

3 Haga clic en Cancelar para cerrar la página.

Configuración del almacenamiento de datos de máquinas virtualesSi su máquina virtual de McAfee ESM tiene más de 4 CPU, puede utilizar almacenamiento adicional para elalmacenamiento de sistema, de datos y de alto rendimiento de la máquina virtual.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos

| Datos de máquina virtual.

2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo puedeseleccionar cada unidad una vez.


Complete your installationSet up data storage 6


Aumento de los índices de acumulaciónDebido al número de índices estándar activados en McAfee ESM, solo se pueden agregar cinco índices a uncampo de acumulación. Si necesita más de cinco, puede desactivar hasta 42 índices estándar no utilizados (porejemplo, los de ID de sesión, MAC de origen/destino, puerto de origen/destino, zona de origen/destino ogeolocalización de origen/destino).

Procedimiento

McAfee ESM emplea los índices estándar para generar consultas, informes, alarmas y vistas. Si desactiva uníndice, McAfee ESM le notificará cuando no pueda generar una consulta, informe, alarma o vista debido a uníndice desactivado, aunque no identificará qué índice está inactivo. Debido a esta limitación, no desactive índicesestándar a menos que sea necesario.


2 Haga clic en Base de datos.

3 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

4 En la lista Disponible, haga clic en Índices estándar y seleccione Mostrar índices estándar.

5 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para moverlos alárea Disponible.

El número de la indicación restante(s), situada en la esquina superior derecha de la página, aumentará concada índice estándar desactivado.

Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado.

Configuración de límites de retención de datosSi su configuración envía datos históricos al sistema, seleccione durante cuánto tiempo desea conservareventos y flujos, y si desea restringir los datos históricos.


| Retención de datos.

2 Seleccione el número máximo de eventos y flujos que desea conservar, y si desea restringir los datoshistóricos.


Definición de los límites de asignación de datosEl número máximo de registros de eventos y flujos que el sistema mantiene es un valor fijo. La asignación dedatos permite establecer cuánto espacio debe asignarse a cada uno y cuántos registros deben incluirse en lasbúsquedas para optimizar las consultas.


| Asignación de datos.

2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien hagaclic en las flechas de los campos Eventos y Flujos.


6 Complete your installationSet up data storage


Administración de la indización de acumulaciónSi hay campos personalizados que extraen datos numéricos de un origen, puede acumular varios eventos entresí y calcular su valor medio, o generar un valor de tendencia.

Antes de empezarCompruebe que existen tipos personalizados.


2 En el árbol de navegación del sistema, seleccione McAfee ESM y haga clic en el icono Propiedades .

3 Haga clic en Base de datos y, a continuación, en Configuración.

4 Seleccione un campo de acumulación en la lista desplegable Disponible.

5 Seleccione campos y muévalos a Activado.

6 Seleccione si realizar la acumulación a partir de ese momento o volver a generar datos pasados a partir dela fecha que especifique.

Visualización del uso de memoria de la base de datosVea e imprima tablas que detallan cómo el sistema utiliza la memoria de la base de datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos | Uso de

memoria.

Las tablas Eventos y Flujos incluyen el uso de memoria por parte de la base de datos.

2 Para imprimir los informes, haga clic en el icono Imprimir .

McAfee Enterprise Log Manager (ELM)McAfee Enterprise Log Manager (ELM) admite almacenar y administrar datos, acceder a ellos y generarinformes.

Los datos recibidos por ELM se organizan en grupos de almacenamiento, cada uno compuesto por variosdispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de almacenamiento ylos datos se conservan en el grupo durante el periodo especificado. Las normativas gubernamentales, delsector y de las empresas requieren que los registros se almacenen durante periodos de tiempo diferentes.

Puede configurar trabajos de búsqueda y comprobación de integridad en ELM. Cada trabajo accede a losregistros almacenados y recupera o comprueba los datos definidos en el trabajo. Posteriormente, se puedenver los resultados y exportar la información.

Para configurar un ELM, debe conocer lo siguiente:

Complete your installationMcAfee Enterprise Log Manager (ELM) 6


• Los orígenes que almacenan registros en el ELM

• Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos

• Los dispositivos de almacenamiento necesarios para almacenar los datos

Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos dealmacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento necesariosque contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:

1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.

Los grupos de almacenamiento de ELM requieren un 10 % del espacio asignado para la sobrecarga deduplicación. Al calcular el espacio necesario, tenga en cuenta este 10 %.

2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.

3 Revise los registros del ELM durante un período corto de tiempo.

4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las configuracionesdel dispositivo de almacenamiento para ajustarlas a los requisitos de almacenamiento de datos reales.

Configuración del registro de McAfee ESMSi tiene un dispositivo Enterprise Log Manager (ELM) en su sistema, configure el grupo de registropredeterminado para enviar datos de eventos internos que McAfee ESM genera para el dispositivo ELM.

Antes de empezarAgregue un dispositivo ELM al sistema.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM.

2 En la ficha Configuración, haga clic en Registro.

3 Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar datos deeventos internos y haga clic en Aceptar.

• Si dispone de más de un dispositivo ELM en el sistema, seleccione el ELM donde desee almacenar losdatos. Este dispositivo McAfee ESM siempre registrará los datos en el ELM seleccionado.

• Seleccione la dirección IP con la que desea que McAfee ESM se comunique con el ELM. El sistema lenotificará cuando el ELM seleccionado esté correctamente asociado al dispositivo.

• Si no se han configurado grupos de almacenamiento en el ELM, el sistema le informará de que debeagregar grupos de almacenamiento al ELM antes de activar el registro.

Administración de grupos de almacenamientoLos grupos de almacenamiento incluyen una o varias asignaciones de almacenamiento y un tiempo deretención de datos. Agréguelos al Enterprise Log Manager (ELM) para definir dónde se almacenan los registrosde ELM y durante cuánto tiempo deben retenerse.

Procedimiento


2 En el árbol de navegación del sistema, seleccione el ELM y haga clic en el icono Propiedades .

6 Complete your installationMcAfee Enterprise Log Manager (ELM)


3 Haga clic en Grupos de almacenamiento.

4 En la tabla inferior, haga clic en Agregar o seleccione un grupo de almacenamiento, haga clic en Editar, yconfigure el grupo de almacenamiento.


Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFS o iSCSI) requieren configuracionesespecíficas para funcionar de forma fiable (por ejemplo, estar en el mismo conmutador y tener una latenciabaja). Las especificaciones de red recomendadas son:

• Latencia total (servidor más red): 10 ms

• Rendimiento total (servidor más red): 20 Mb/s

• En la duplicación se supone un 100 % de disponibilidad para el recurso compartido.

• Las asignaciones de dispositivos de grupo de almacenamiento están limitadas a un terabytepor asignación. Si desea crear un grupo con más de un terabyte, deberá agregar variosdispositivos de un terabyte.

• Podrá eliminar un grupo de almacenamiento siempre que la base de datos y sus dispositivosasignados no almacenen datos.

Transferencia de grupos de almacenamientoCabe la posibilidad de mover grupos de almacenamiento de un dispositivo a otro.

Antes de empezarConfigure los dispositivos de almacenamiento a los que desea mover el grupo de almacenamientocomo duplicado del dispositivo que alberga actualmente el grupo.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de

almacenamiento y haga clic en el icono Propiedades .


3 Haga clic en los dispositivos duplicados que aparecen bajo el grupo que se va a mover.

4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el dispositivoque duplique el grupo de almacenamiento que desea mover.

Se convertirá entonces en el dispositivo de almacenamiento de datos principal.

5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la listadesplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.

Reducción del tamaño de asignación de almacenamientoSi un dispositivo de almacenamiento está lleno debido al espacio asignado a grupos de almacenamiento, puedereducir la cantidad de espacio definida en cada asignación. De ese modo, se asignará espacio de estedispositivo a más grupos de almacenamiento.

Si la reducción del tamaño de asignación afecta a los datos, el sistema los mueve a otras asignaciones del grupo(si hay espacio disponible). Si no hay espacio disponible, el sistema elimina los datos más antiguos.



Procedimiento




4 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.

5 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.

Duplicación del almacenamiento de datos de ELMConfigure un segundo dispositivo de almacenamiento de ELM para duplicar los datos recopilados en eldispositivo principal.

Si el dispositivo principal deja de funcionar, el dispositivo de copia de seguridad sigue almacenando los datos amedida que llegan. Cuando el dispositivo principal vuelva a funcionar, se sincronizará automáticamente con lacopia de seguridad y reanuda el almacenamiento de los datos según van llegando. Si el dispositivo principaldeja de funcionar de forma permanente, puede reasignar la copia de seguridad de forma que se convierta en eldispositivo principal en McAfee ESM y, a continuación, designar otro dispositivo para la duplicación.

Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado junto al dispositivo ELMen el árbol de navegación del sistema.

Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de almacenamiento. Lapérdida de conexión puede deberse a lo siguiente:

• El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.

• El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.

• Se ha eliminado accidentalmente un archivo de asignación.

Si surge un problema con el dispositivo de duplicación, los dispositivos de almacenamiento muestran un icono

de advertencia en la tabla Grupos de almacenamiento. Use la función Reconstruir para solucionarlo.

Adición de almacenamiento de datos de ELM duplicadoPuede utilizar cualquier dispositivo de almacenamiento para duplicar datos guardados en un dispositivo dealmacenamiento de Enterprise Log Manager (ELM).

Antes de empezarAgregue los dos dispositivos que desee usar para la duplicación recíproca en McAfee ESM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos dealmacenamiento.

2 Haga clic en Agregar.

3 Escriba la información solicitada y haga clic en Agregar para seleccionar el dispositivo de almacenamiento yel dispositivo de duplicación.

Puede asignar un dispositivo a más de un grupo de forma simultánea.

4 Haga clic dos veces en Aceptar.



Reconstrucción de grupos de almacenamiento duplicadoSi un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento, use lafunción Reconstruir para repararlo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de

almacenamiento.

2 Pase el ratón sobre los dispositivos duplicados con un icono de advertencia.

Un cuadro de información le indicará que la asignación de ELM se está reconstruyendo o que el dispositivoduplicado se debe reconstruir.

3 Haga clic en los dispositivos y, a continuación, en Reconstruir.

Desactivación de dispositivos de duplicaciónSi desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, seleccione otro dispositivopara sustituirlo o seleccione Ninguno.

Procedimiento1 En el árbol de navegación del sistema, seleccione el Enterprise Log Manager (ELM) que albergue

actualmente el grupo de almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo dealmacenamiento y haga clic en Editar.


• Si el dispositivo seleccionado en Dispositivo de almacenamiento de datos duplicado es el que deseadesactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto paraduplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno.

• Si el dispositivo seleccionado en Dispositivo de almacenamiento de datos es el que desea desactivar, hagaclic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para que actúe comodispositivo de almacenamiento de datos.


Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo dealmacenamiento.

Sustitución de una base de datos de administración de ELM duplicadaSi el dispositivo ELM de almacenamiento de la base de datos de administración duplicada tiene un problema,podría ser necesario sustituirlo.

Procedimiento1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de almacenamiento

de la base de datos de administración que tiene el problema y haga clic en el icono Propiedades .

2 Haga clic en Configuración de ELM y seleccione Migrar base de datos.



3 En Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista desplegable Dispositivode almacenamiento de datos duplicado.

4 Seleccione un nuevo dispositivo en Dispositivo de almacenamiento de datos duplicado o seleccione Ninguno paradetener la duplicación.

Si el dispositivo no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de almacenamiento.

Redundancia de ELMPuede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo principal de susistema.

Para activar la redundancia, defina las direcciones IP y el resto de información de la red en dos ELM. El ELM enespera debe disponer de dispositivos de almacenamiento con una cantidad de espacio combinado quecoincida con el espacio de almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELMse sincroniza y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos.

Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver a poneren servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en Propiedades de ELM |Redundancia de ELM .

Cambio

Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera pasaa estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las acciones deconfiguración se bloquean durante el proceso de cambio.

Nueva puesta en servicio

Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione de nuevo.Si no se detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta elmomento. En caso de que se detecten diferencias en los archivos, el proceso de redundancia continúa para losgrupos de almacenamiento que no tengan problemas, pero se devuelve un estado de error que indica que unoo varios grupos no están configurados. Deberá corregir esos grupos manualmente.

Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a aplicar laclave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELMen espera y la redundancia continúa como hasta el momento.

Suspensión

Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de hacerlopor cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores relativas a laredundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el proceso para volver aponerlo en servicio.

Desactivación de la redundancia en el ELM

Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia de losarchivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al activar laredundancia de ELM, se le preguntará si desea restaurar los archivos de configuración guardados.

Visualización del estado

Para ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo, seleccioneEstado.



Administración de la compresión de ELMPara ahorrar espacio en disco o procesar más registros por segundo, comprima los datos entrantes enEnterprise Log Manager (ELM).

Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada nivel.

Nivel Tasa de compresión Porcentaje de compresiónmáximo

Porcentaje de máximo de registrosprocesados por segundo

Baja 14:1 72 % 100 %

Media 17:1 87 % 75 %

Alta 20:1 100 % 50 %

Las tasas de compresión reales variarán en función del contenido de los registros.

• Para ahorrar espacio en disco, elija una compresión alta.

• Para procesar más registros por segundo, elija una compresión baja.

Restauración de datos de ELMSi desea reemplazar un Enterprise Log Manager (ELM), restaure la base de datos de administración y los datosde registro en el nuevo ELM.

Antes de empezarLos datos de registro y la base de datos de ELM deben estar duplicados.

Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM mediante el Asistente de adición dedispositivos.

Procedimiento1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM que

se va a reemplazar.

Una página de advertencia le informará de que el sistema no puede localizar el ELM.

2 Cierre la página de advertencia y haga clic en Conexión.

3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.

4 Introduzca la contraseña que desee asociar con este dispositivo y haga clic en Siguiente.

5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.

6 Resincronice cada dispositivo que inicie sesión en el ELM haciendo clic en Sincronizar ELM en Propiedades |Configuración para cada dispositivo.

Restaurar el almacenamiento de datos y la base de datos de administración de ELM en un nuevo ELM puedellevar varias horas.



Definición de una ubicación de almacenamiento alternativaPara almacenar registros de la base de datos de administración de Enterprise Log Manager (ELM) en unaubicación ajena al ELM, defina la ubicación de almacenamiento alternativa. También puede seleccionar unsegundo dispositivo para duplicar el contenido almacenando.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración

de ELM | Migrar base de datos.

2 Seleccione la ubicación donde desea almacenar la base de datos de administración y una segunda ubicaciónde almacenamiento para duplicar el dispositivo de almacenamiento de datos.

La primera vez que seleccione duplicar alguno de los dispositivos existentes, el proceso tardará más tiempo.


Visualización del uso de almacenamiento de ELMCompruebe el uso de almacenamiento de Enterprise Log Manager (ELM) para determinar la asignación deespacio en el dispositivo.



3 Haga clic en Administración de ELM.

4 Haga clic en Ver estadísticas y seleccione la ficha Uso de ELM.

Migración de la base de datos de ELMLa base de datos de administración de Enterprise Log Manager (ELM) almacena los registros de rastreoenviados al ELM. La cantidad de espacio en disco disponible en el dispositivo ELM para almacenar la base dedatos de administración depende del modelo.

Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco paraalmacenar los registros. El sistema podría pedirle que defina una ubicación alternativa para el almacenamientode la base de datos de administración. Si el dispositivo cuenta con espacio suficiente en el disco, pero prefiereguardar la base de datos en una ubicación alternativa, puede utilizar Migrar base de datos en la páginaPropiedades de ELM para establecer esa ubicación.

Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos deadministración una vez que contiene registros, la sesión de ELM permanece en espera durante varias horashasta que finaliza la migración, en función del número de registros que contenga. Se recomienda definir estaubicación alternativa al configurar el dispositivo por primera vez.

Configure ELM Storage

Contenido Desactivación del uso compartido de archivos en el Grupo Hogar Configuración del almacenamiento de datos externo Adición de dispositivos iSCSI Vinculación de dispositivos a grupos de almacenamiento

6 Complete your installationConfigure ELM Storage


Formateo de los dispositivos de almacenamiento SAN Configuración de un DAS para almacenar datos de un ESM de tipo todo en uno Configuración de una unidad local virtual para almacenar datos

Desactivación del uso compartido de archivos en el Grupo HogarWindows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona con otrosequipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7 como recursocompartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.

Procedimiento

1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.

2 Haga clic en Cambiar configuración de uso compartido avanzado.

3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.

4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.

5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y haga cliccon el botón derecho en ella.

6 Seleccione Propiedades y haga clic en la ficha Compartir.

7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.

8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.

Asegúrese de haber establecido los permisos como desea (marca de verificación en Cambiar = se puedeescribir). Si activa los recursos compartidos protegidos por contraseña, actualice la configuración paraasegurarse de que el usuario de Ubuntu está incluido en el permiso.

Configuración del almacenamiento de datos externoPuede configurar un almacenamiento externo (iSCSI, SAN, DAS y local virtual) para almacenar datos de ELM.Cuando conecte los tipos de almacenamiento externo al Enterprise Log Manager (ELM), configúrelos paraalmacenar los datos del ELM.

Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos.

El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichas correspondientes.

2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.

3 Haga clic en Aplicar o en Aceptar.

Adición de dispositivos iSCSISi desea agregar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar las conexionescon el dispositivo.

Procedimiento

1 En el árbol de navegación del sistema, seleccione el ELM y haga clic en el icono Propiedades.

2 Haga clic en Almacenamiento de datos.

3 En la ficha iSCSI, haga clic en Agregar.

Complete your installationConfigure ELM Storage 6


4 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.

Si la conexión es correcta, el sistema agregará el dispositivo y sus IQN a las listas Configuración iSCSI y Tipode dispositivo en Agregar dispositivo de almacenamiento.

Cuando un IQN empiece a almacenar registros de ELM, no podrá eliminar el destino iSCSI. Debido a estalimitación, configure el destino iSCSI con espacio suficiente para el almacenamiento de ELM.

5 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en Formato.

6 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.

7 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, a continuación, enDescubrir.

Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.

Vinculación de dispositivos a grupos de almacenamientoAgregue dispositivos de almacenamiento, que podrá vincular a grupos de almacenamiento.

Antes de empezarConfigure dispositivos de almacenamiento.

Cuando edite dispositivos de almacenamiento, puede aumentar el tamaño, pero no reducirlo. No puede eliminarun dispositivo que esté almacenando datos.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de

almacenamiento.

2 Haga clic en Agregar.

3 Rellene la información solicitada en Agregar dispositivo de almacenamiento y haga clic en Aceptar.

Opción Definición

Tipo de dispositivo Seleccione el tipo de dispositivo de almacenamiento. La migración de la base dedatos de ELM requiere un mínimo de 506 GB de espacio libre en el disco.

Nombre Introduzca un nombre para el dispositivo de almacenamiento.

Tamaño máx. Seleccione la cantidad máxima de espacio de almacenamiento que deseeasignar en el dispositivo.• Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor

predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio dealmacenamiento se reserva para la administración del almacenamientoremoto.

• Cuando se agrega un dispositivo de almacenamiento local virtual, el valorpredeterminado de Tamaño máx. es la capacidad total de almacenamiento deldispositivo. Se reservan 6 GB del espacio de almacenamiento para laadministración del almacenamiento virtual. No es posible ajustar este campo.

Dirección IP, Punto demontaje remoto, Rutaremota

Escriba esta información para el dispositivo NFS.



Opción Definición

Dirección IP, Nombre derecurso compartidoremoto, Ruta, Nombre deusuario, Contraseña

Escriba esta información para el dispositivo CIFS.

Dispositivo iSCSI Seleccione el dispositivo que ha agregado.

IQN de iSCSI Seleccione el IQN.

SAN Seleccione el volumen de SAN agregado.

Volumen local virtual Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo estádisponible cuando el tipo de dispositivo es Local virtual.

4 Defina los parámetros de conexión de un dispositivo de almacenamiento utilizados en un grupo dealmacenamiento para la retención de datos.

Opción Definición

Dispositivos dealmacenamiento de datos

Seleccione el dispositivo que desee agregar.

Puede asignar un dispositivo a más de un grupo de forma simultánea.

Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenardatos.

El sistema usa el 10 % del espacio del almacenamiento para sobrecargas.Por ejemplo, si selecciona 4 GB en el campo de espacio dealmacenamiento, realmente solo habrá 3,6 disponibles para almacenardatos.

Dispositivo de almacenamientode datos duplicado

Para duplicar datos en este dispositivo de almacenamiento con otrodispositivo, seleccione el segundo dispositivo de almacenamiento.

Formateo de los dispositivos de almacenamiento SANSi tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.

Antes de empezarCompruebe la existencia de una tarjeta SAN en su sistema.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos.

2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.

• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles en lapágina Agregar dispositivo de almacenamiento.

• Formato: el volumen se encuentra en proceso de formateo y no aparece en la lista de volúmenesdisponibles.

• Preparado: el volumen está formateado y su sistema de archivos es reconocible. Estos volúmenes sepueden usar para almacenar datos de ELM.

3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y, a continuación,en Formatear.

Al formatear un volumen, se eliminan todos los datos almacenados.

Complete your installationConfigure ELM Storage 6


4 Para comprobar si el formateo ha finalizado, haga clic en Actualizar.

Una vez finalizado el formateo, el sistema cambia el estado a Preparado.

5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.

Configuración de un DAS para almacenar datos de un ESM de tipo todoen uno

Antes de empezarConfigure dispositivos DAS.

Procedimiento1 En el árbol de navegación del sistema, seleccione McAfee ESM y haga clic en el icono Propiedades .

2 Haga clic en Base de datos y, a continuación, en Almacenamiento de datos.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de McAfeeESM.

4 Haga clic en Asignar y, a continuación, en Sí.

Una vez asignado un dispositivo, no se puede cambiar.

Configuración de una unidad local virtual para almacenar datosDetecte y formatee dispositivos de almacenamiento virtual en el Enterprise Log Manager (ELM) virtual. Podráutilizarlo para la migración de la base de datos y los grupos de almacenamiento.

Antes de empezarAgregue dispositivos de almacenamiento local virtual al ELM virtual desde su entorno virtual. Paraagregar el almacenamiento, consulte la documentación correspondiente al entorno de máquinavirtual.

Entornos virtuales compatibles

• VMware

• KVM

• Amazon Web Services

Formatos de unidad compatibles

• SCSI

• SATA

IDE no se admite.

Procedimiento1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades y

seleccione Almacenamiento de datos.

Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.



2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales disponibles.

La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.

3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos ext4al dispositivo.

El estado cambiará a Preparado.

Work in FIPS mode

Contenido Comprobación de integridad de FIPS Solución de problemas del modo FIPS

Complete your installationWork in FIPS mode 6


Comprobación de integridad de FIPSSi se utiliza el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del software de forma regular.Debe comprobar el sistema y cada dispositivo.

Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté

seleccionada la opción Información del sistema.

2 Realice cualquiera de las acciones que se indican a continuación.

En estecampo...

Haga lo siguiente...

Estado deFIPS

Visualice los resultados de la prueba automática de FIPS más reciente realizada en el McAfee ESM.

Prueba oPruebaautomáticade FIPS

Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmosutilizados en el archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de mensajes.

Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producidoalgún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.

Ver oIdentidadde FIPS

Abra la página Token de identidad de FIPS para realizar las pruebas de integridad del software de inicio.Compare este valor con la clave pública que aparece en esta página:

Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase encontacto con el Soporte de McAfee.

6 Complete your installationWork in FIPS mode


Solución de problemas del modo FIPSEs posible que surjan problemas al utilizar el McAfee ESM en el modo FIPS.

Problema Descripción y solución

No haycomunicación conMcAfee ESM

• Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si indicaError de FIPS, póngase en contacto con el Soporte de McAfee.

• Busque una situación de error en la interfaz HTTP; para ello, acceda a la página webPrueba automática de FIPS de McAfee ESM mediante un navegador.- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado unaprueba automática de FIPS, reinicie el dispositivo McAfee ESM para intentar corregirel problema. Si el fallo persiste, póngase en contacto con el servicio de Soporte paraobtener instrucciones adicionales.

- Si aparece únicamente el dígito 1, el problema de comunicación no se debe a unerror de FIPS. Póngase en contacto con el Soporte técnico para obtener instruccionesadicionales.

No haycomunicación con eldispositivo

• Si hay una marca de estado junto al dispositivo en el árbol de navegación del sistema,coloque el cursor sobre él. Si indica Error de FIPS, póngase en contacto con elSoporte de McAfee a través del portal de soporte.

• Siga la descripción correspondiente al problema No hay comunicación con el ESM.

Error El archivo no esválido al agregar undispositivo

No se puede exportar una clave de un dispositivo no FIPS e importarla a un dispositivoque funcione en el modo FIPS. De igual forma, no se puede exportar una clave de undispositivo FIPS e importarla a un dispositivo no FIPS. Este error aparece cuando seintenta cualquiera de estas dos cosas.

Complete your installationWork in FIPS mode 6


6 Complete your installationWork in FIPS mode


7 Troubleshooting

Cómo otorgar a McAfee acceso al sistemaCuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero desoporte técnico para que vea su sistema.


2 En el árbol de navegación del sistema, seleccione McAfee ESM y haga clic en el icono Propiedades .

3 Haga clic en Administración de ESM y seleccione la ficha Mantenimiento.

4 Haga clic en Conectar.

El botón cambia a Desconectar y el sistema muestra su dirección IP.

5 Informe de su dirección IP al servicio de soporte técnico.

El servicio de soporte técnico podría solicitar de información adicional, como la contraseña.

6 Haga clic en Desconectar para finalizar la conexión.

7


7 TroubleshootingCómo otorgar a McAfee acceso al sistema


Guía de instalación de McAfee Enterprise Security ... · Requisitos de la máquina virtual ... de...

Documents

Transcript of Guía de instalación de McAfee Enterprise Security ... · Requisitos de la máquina virtual ... de...