Guía del producto. McAfee Enterprise Security Manager 9.5.0

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Guía del producto. McAfee Enterprise Security Manager 9.5.0"

Transcripción

1 Guía del producto McAfee Enterprise Security Manager 9.5.0

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Enterprise Security Manager Guía del producto

3 Contenido Prefacio 9 Acerca de esta guía Destinatarios Convenciones Búsqueda de documentación de productos Introducción 11 Cómo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones Primeros pasos 13 Acerca del modo FIPS Información sobre el modo FIPS Selección del modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS Configuración evaluada según los Criterios comunes Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas Administración de un grupo en un tipo de pantalla personalizada Eliminación de un grupo o dispositivo Eliminación de dispositivos duplicados en el árbol de navegación del sistema Preferencias de la consola La consola de ESM Uso del tema de color de la consola Selección de las opciones de visualización de la consola Establecimiento del valor de tiempo de espera de la consola Selección de la configuración de usuario Configuración de credenciales para McAfee epo Configuración del ESM 31 Administración de dispositivos Visualización de estadísticas de dispositivo Adición de dispositivos a la consola de ESM Acerca de las claves de dispositivo Actualización del software en un dispositivo McAfee Enterprise Security Manager Guía del producto 3

4 Contenido Organización de los dispositivos Administración de varios dispositivos Administración de vínculos de URL para todos los dispositivos Visualización de informes de resumen de dispositivos Visualización de un registro de sistema o dispositivo Informes de estado de mantenimiento de los dispositivos Eliminación de un grupo o dispositivo Actualización de dispositivos Configuración de dispositivos Los dispositivos y sus funciones Configuración de Event Receiver Configuración de Enterprise Log Manager (ELM) Configuración de Advanced Correlation Engine (ACE) Configuración de Application Data Monitor (ADM) Configuración de Database Event Monitor (DEM) Configuración del ESM distribuido (DESM) Configuración de epolicy Orchestrator Configuración de Nitro Intrusion Prevention System (Nitro IPS) Configuración de McAfee Vulnerability Manager Configuración de McAfee Network Security Manager Configuración de los servicios auxiliares Información general del sistema Opciones de configuración del servidor de Remedy Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Configuración de las opciones de red Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP Administración de la base de datos Configuración del almacenamiento de datos de ESM Configuración del almacenamiento de datos de máquina virtual de ESM Aumento del número de índices de acumulación disponibles Configuración de un archivo de particiones inactivas Configuración de límites de retención de datos Definición de los límites de asignación de datos Administración de la configuración de índice de la base de datos Administración de la indización de acumulación Visualización de la utilización de memoria de la base de datos Uso de usuarios y grupos Adición de un usuario Selección de la configuración de usuario Configuración de la seguridad Configuración de credenciales para McAfee epo Desactivación o reactivación de usuarios Autenticación de usuarios mediante un servidor LDAP Configuración de grupos de usuarios Adición de un grupo con acceso limitado Copia de seguridad y restauración de la configuración del sistema Copias de seguridad de la configuración y los datos de sistema de ESM Restauración de la configuración de ESM Restauración de archivos de configuración con copias de seguridad Uso de los archivos de copia de seguridad en ESM Administración del mantenimiento de archivos ESM redundante McAfee Enterprise Security Manager Guía del producto

5 Contenido Administración de ESM Administración de registros Enmascaramiento de direcciones IP Configuración del registro de ESM Cambio de idioma de los registros de eventos Exportación y restauración de claves de comunicación Regeneración de una clave SSH Administrador de tareas de consultas Administración de consultas en ejecución en ESM Actualización de un ESM principal o redundante Acceso a un dispositivo remoto Utilización de comandos de Linux Comandos de Linux disponibles Uso de una lista negra global Establecimiento de una lista negra global Qué es el enriquecimiento de datos Adición de orígenes de enriquecimiento de datos Configuración del enriquecimiento de datos de McAfee Real Time for McAfee epo Adición de un origen de enriquecimiento de datos de Hadoop HBase Adición de un origen de enriquecimiento de datos de Hadoop Pig Adición de enriquecimiento de datos de Active Directory para nombres de usuario Administración de Cyber Threat 217 Configuración de la administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat Uso de paquetes de contenido 221 Importación de paquetes de contenido Uso de las alarmas 223 Funcionamiento de las alarmas en ESM Creación de una alarma Alarmas UCAPL Configuración de una alarma de correlación para la inclusión de eventos de origen Adición de una alarma de Coincidencia de campo Adición de una alarma a las reglas Creación de una captura SNMP a modo de acción en una alarma Adición de una alarma de notificación sobre fallos de alimentación Adición de una alarma de evento del monitor de estado Cómo copiar una alarma Activación o desactivación de la supervisión de alarmas Resumen personalizado para alarmas activadas y casos Administración de las plantillas de mensajes de alarma Administración de archivos de audio para las alarmas Administración de los destinatarios de alarmas Administración de alarmas Visualización de la cola de informes de alarma Administración de los archivos de informes de alarmas Uso de los eventos 245 Eventos, flujos y registros Configuración de descargas de eventos, flujos y registros Limitación del tiempo de recopilación de datos Definición de la configuración de umbral de inactividad Obtención de eventos y flujos Comprobación de eventos, flujos y registros McAfee Enterprise Security Manager Guía del producto 5

6 Contenido Definición de la configuración de geolocalización y ASN Obtención de eventos y flujos Agregación de eventos o flujos Configuración del reenvío de eventos Administración de informes Establecimiento del mes de inicio para los informes trimestrales Adición de un informe Adición de un diseño de informe Inclusión de una imagen en los PDF y los informes Adición de una condición de informe Visualización de los nombres de hosts en un informe Descripción de los filtros contains y regex Uso de las vistas de ESM Uso de las vistas de ESM Visualización de detalles de sesión Barra de herramientas de vistas Vistas predefinidas Adición de una vista personalizada Componentes de vista Uso del Asistente de consultas Administración de vistas Búsqueda alrededor de un evento Visualización de los detalles de dirección IP de un evento Cambio de la vista predeterminada Filtrado de vistas Listas de control Normalización de cadenas Filtros de tipos personalizados Creación de tipos personalizados Tabla de tipos personalizados predefinidos Adición de tipos personalizados de tiempo Tipos personalizados de nombre/valor Adición de un tipo personalizado de grupo de nombre/valor Administración de casos 299 Adición de un caso Creación de un caso a partir de un evento Adición de eventos a un caso existente Edición o cierre de un caso Visualización de detalles de casos Adición de niveles de estado de casos Envío de casos por correo electrónico Visualización de todos los casos Generación de informes de administración de casos Uso de Asset Manager 305 Administración de activos Definición de activos antiguos Establecimiento de la administración de configuración Administración de archivos de configuración recuperados Descubrimiento de la red Descubrimiento de red Administración de la lista de exclusiones de IP Descubrimiento de endpoints Visualización de un mapa de la red Cambio del comportamiento de Descubrimiento de red McAfee Enterprise Security Manager Guía del producto

7 Contenido Orígenes de activos Administración de orígenes de activos Administración de orígenes de evaluación de vulnerabilidades Administración de zonas Administración de las zonas Adición de una zona Exportación de la configuración de zonas Importación de la configuración de zonas Adición de una subzona Evaluación de activos, amenazas y riesgo Administración de amenazas conocidas Administración de directivas y reglas 315 Descripción del Editor de directivas El Árbol de directivas Administración de directivas en el Árbol de directivas Tipos de reglas y sus propiedades Variables Reglas de preprocesador Reglas de firewall Reglas de inspección profunda de paquetes (DPI) Reglas internas Reglas de filtrado Reglas de ASP Reglas de origen de datos Reglas de eventos de Windows Reglas de ADM Reglas de DEM Reglas de correlación Visualización de los detalles de las reglas de correlación Adición de reglas de correlación, base de datos o ADM personalizadas Reglas de ESM Normalización Activación de Copiar paquete Configuración de la directiva predeterminada Modo de solo alertas Configuración del modo de sobresuscripción Visualización del estado de actualización de directivas de los dispositivos Operaciones relacionadas con reglas Administración de reglas Importación de reglas Importación de variables Exportación de reglas Configuración de reglas para la inclusión automática en la lista negra Filtrado de reglas existentes Visualización de la firma de una regla Recuperación de actualizaciones de regla Borrado del estado de regla actualizado Comparación de archivos de regla Visualización del historial de cambios de reglas Creación de una nueva lista de vigilancia de reglas Adición de reglas a una lista de vigilancia Asignación de etiquetas a reglas o activos Modificación de la configuración de agregación Omisión de la acción en las reglas descargadas Ponderaciones de gravedad McAfee Enterprise Security Manager Guía del producto 7

8 Contenido Establecimiento de las ponderaciones de gravedad Visualización del historial de cambios de directiva Aplicación de cambios de directivas Administración del tráfico prioritario Índice McAfee Enterprise Security Manager Guía del producto

9 Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden acceder a todas o algunas de sus funciones. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Título de libro, término o énfasis Negrita Datos introducidos por el usuario, código, mensajes Texto de la interfaz Azul hipertexto Título de un libro, capítulo o tema; introducción de un nuevo término; énfasis. Texto que se enfatiza particularmente. Comandos u otro texto que escribe el usuario; un ejemplo de código; un mensaje que aparece en pantalla. Palabras de la interfaz del producto, como los nombres de opciones, menús, botones y cuadros de diálogo. Un vínculo a un tema o a un sitio web externo. Nota: Información adicional, como un método alternativo de acceso a una opción. Sugerencia: Sugerencias y recomendaciones. McAfee Enterprise Security Manager Guía del producto 9

10 Prefacio Búsqueda de documentación de productos Importante/atención: Consejo importante para proteger el sistema, la instalación del software, la red, la empresa o los datos. Advertencia: Consejo especialmente importante para prevenir daños físicos cuando se usa un producto de hardware. Búsqueda de documentación de productos Una vez que se lanza un producto, la información del producto se introduce en el Centro de conocimiento online de McAfee. 1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en 2 En el panel KnowledgeBase, haga clic en un origen de contenido: Documentación del producto para encontrar documentación del producto Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase 3 Seleccione No borrar mis filtros. 4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista con documentos. 10 McAfee Enterprise Security Manager Guía del producto

11 1 1 Introducción McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos, desde una única ubicación. Contenido Cómo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones Cómo funciona McAfee Enterprise Security Manager McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red, sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación con información contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona esta información para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, es posible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes. ESM consta de tres capas. Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conoce como consola de ESM). Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los servicios necesarios de manipulación de datos, tales como configuración, generación de informes, visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido (DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones. Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver (receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas funciones. Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través de canales de comunicación seguros. McAfee Enterprise Security Manager Guía del producto 11

12 1 Introducción Los dispositivos y sus funciones Los dispositivos y sus funciones El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de seguridad, así como interactuar con ellos. Véase también Configuración de Event Receiver en la página 59 Configuración de Enterprise Log Manager (ELM) en la página 115 Configuración de Application Data Monitor (ADM) en la página 134 Configuración de Database Event Monitor (DEM) en la página 150 Configuración de Advanced Correlation Engine (ACE) en la página 131 Configuración del ESM distribuido (DESM) en la página 158 Configuración de epolicy Orchestrator en la página 159 Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página McAfee Enterprise Security Manager Guía del producto

13 2 2 Primeros pasos Verifique que su entorno de ESM esté actualizado y listo para funcionar. Contenido Acerca del modo FIPS Configuración evaluada según los Criterios comunes Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Preferencias de la consola Acerca del modo FIPS FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento de la información) son estándares desarrollados y anunciados públicamente por el gobierno de los Estados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares, deberá utilizar este sistema en el modo FIPS. El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible cambiarlo posteriormente. Véase también Información sobre el modo FIPS en la página 14 Contenido Información sobre el modo FIPS Selección del modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS McAfee Enterprise Security Manager Guía del producto 13

14 2 Primeros pasos Acerca del modo FIPS Información sobre el modo FIPS Debido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones disponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estas funciones se indican a lo largo del presente documento y se enumeran aquí. Estado de función Funciones eliminadas Funciones solo disponibles en el modo FIPS Descripción Receptores de disponibilidad alta. Terminal de interfaz gráfica de usuario. Capacidad de comunicación con el dispositivo mediante el protocolo SSH. En la consola del dispositivo, el shell raíz se sustituye por un menú de administración de dispositivos. Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves y certificados. Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que permite verificar si el sistema funciona correctamente en el modo FIPS. Si se produce un error de FIPS, se agrega un indicador de estado al árbol de navegación del sistema para reflejar este fallo. Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre la página Token de identidad de FIPS. Esta página muestra un valor que se debe comparar con el valor mostrado en las secciones del documento mencionadas para asegurarse de que no hay riesgos en relación con FIPS. En Propiedades del sistema Usuarios y grupos Privilegios Editar grupo, la página incluye el privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la autorización para ejecutar pruebas automáticas de FIPS. Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS Administración de claves, es necesario seleccionar el tipo de clave que se desea importar o exportar. En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el puerto 22. El puerto SSH se puede cambiar. Selección del modo FIPS La primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en el modo FIPS o no. Una vez realizada la selección, no es posible cambiarla. 1 La primera vez que inicie sesión en ESM: a En el campo Nombre de usuario, escriba NGCP. b En el campo Contraseña, escriba security.4u. Se le pedirá que cambie su contraseña. 2 Introduzca y confirme la nueva contraseña. 14 McAfee Enterprise Security Manager Guía del producto

15 Primeros pasos Acerca del modo FIPS 2 3 En la página Activar FIPS, haga clic en Sí. La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el sistema funcione en el modo FIPS de forma permanente. 4 Haga clic en Sí para confirmar su selección. Comprobación de integridad de FIPS Si utiliza el sistema en el modo FIPS, FIPS requiere la comprobación de la integridad del software de forma regular. Esta comprobación se debe realizar en el sistema y en todos los dispositivos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Realice cualquiera de las acciones que se indican a continuación. En este campo... Estado de FIPS Prueba o Prueba automática de FIPS Ver o Identidad de FIPS Haga esto... Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM. Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmos utilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de mensajes. Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producido algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee. Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software. Compare el valor siguiente con la clave pública que aparece en esta página: Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en contacto con el Soporte de McAfee. McAfee Enterprise Security Manager Guía del producto 15

16 2 Primeros pasos Acerca del modo FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM. Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos. Terminología Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no se emplea con fines criptográficos. Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves autorizadas de un dispositivo. Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en un ESM a fin de establecer la conexión SSH con un dispositivo. ESM principal: el ESM utilizado originalmente para registrar el dispositivo. ESM secundario: un ESM adicional que se comunica con el dispositivo. Extensiones de archivo de los distintos archivos de exportación.exk: contiene la clave de dispositivo..puk: contiene la clave pública..prk: contiene la clave privada y la clave de dispositivo. Copia de seguridad y restauración de información de un dispositivo en modo FIPS Este método se emplea para crear copias de seguridad de la información de comunicación de un dispositivo y restaurarlas en el ESM. Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si la información de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no se podrá restablecer. Este método exporta e importa el archivo.prk. La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada. 16 McAfee Enterprise Security Manager Guía del producto

17 Primeros pasos Acerca del modo FIPS 2 Acción Exportar el archivo.prk del ESM principal Pasos 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo con la información de comunicación de la que desee crear una copia de seguridad y, después, haga clic en el icono Propiedades. 2 Seleccione Administración de claves y haga clic en Exportar clave. 3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo.prk creado por el ESM y cierre la sesión en el ESM principal. Agregar un dispositivo al ESM secundario e importar el archivo.prk 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en Siguiente. 5 Introduzca la dirección IP de destino del dispositivo, indique el puerto de comunicación FIPS y haga clic en Siguiente. 6 Haga clic en Importar clave, desplácese hasta el archivo.prk y haga clic en Cargar. Escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. Activación de la comunicación con varios dispositivos ESM en el modo FIPS Es posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación e importación de archivos.puk y.exk. En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESM principal para importar el archivo.puk exportado del dispositivo ESM secundario y enviar la clave pública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen con el dispositivo. En segundo lugar, el archivo.exk del dispositivo se exporta desde el ESM principal y se importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo. McAfee Enterprise Security Manager Guía del producto 17

18 2 Primeros pasos Acerca del modo FIPS Acción Exportar el archivo.puk del ESM secundario Pasos 1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de ESM. 2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el archivo.puk. 3 Haga clic en Guardar y cierre la sesión. Importar el archivo.puk al ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Administrar claves SSH. 4 Haga clic en Importar, seleccione el archivo.puk y haga clic en Cargar. 5 Haga clic en Aceptar y cierre la sesión en el ESM principal. Exportar el archivo.exk del dispositivo del ESM principal 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo que desee configurar. 2 Haga clic en el icono Propiedades y seleccione Administración de claves. 3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia de seguridad y haga clic en Siguiente. 4 Escriba y confirme una contraseña; a continuación, establezca la fecha de caducidad. Una vez que pasa la fecha de caducidad, la persona que importa la clave no se puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM. 5 Seleccione los privilegios del archivo.exk y haga clic en Aceptar. 6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESM principal. Importar el archivo.exk en el ESM secundario 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el nodo de nivel de sistema o grupo al que desee agregar el dispositivo. 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo. 3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente. 4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y haga clic en Siguiente. 5 Haga clic en Importar clave y busque el archivo.exk. 6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta clave inicialmente. 7 Cierre la sesión en el ESM secundario. 18 McAfee Enterprise Security Manager Guía del producto

19 Primeros pasos Configuración evaluada según los Criterios comunes 2 Solución de problemas del modo FIPS Es posible que surjan problemas al utilizar el ESM en el modo FIPS. Problema No hay comunicación con el ESM No hay comunicación con el dispositivo Error El archivo no es válido al agregar un dispositivo Descripción y solución Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee. Busque una situación de error en la interfaz HTTP; para ello, acceda a la página web Prueba automática de FIPS de ESM mediante un navegador. - Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado una prueba automática de FIPS, reinicie el dispositivo ESM para intentar corregir el problema. Si el fallo persiste, póngase en contacto con el servicio de Soporte para obtener instrucciones adicionales. - Si aparece únicamente el dígito 1, el problema de comunicación no se debe a un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtener instrucciones adicionales. Si hay una marca de estado junto al dispositivo en el árbol de navegación del sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee a través del portal de soporte. Siga la descripción correspondiente al problema No hay comunicación con el ESM. No se puede exportar una clave de un dispositivo no FIPS e importarla a un dispositivo que funcione en el modo FIPS. De igual forma, no se puede exportar una clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Este error aparece cuando se intenta cualquiera de estas dos cosas. Configuración evaluada según los Criterios comunes El dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que exista conformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a la hora de configurar el sistema. Tipo Físico Requisitos El dispositivo de McAfee debe: Estar protegido frente a modificaciones físicas no autorizadas. Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no autorizado. Utilización El dispositivo de McAfee debe: Tener acceso a todo el tráfico de red para realizar sus funciones. Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo de evaluación. Ser proporcionado con respecto al tráfico de red que supervisa. McAfee Enterprise Security Manager Guía del producto 19

20 2 Primeros pasos Inicio y cierre de sesión Tipo Personal Otros Requisitos Deben existir una o varias personas competentes encargadas de la administración del dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros de McAfee proporcionan asistencia in situ para la instalación y la configuración, así como formación sobre el funcionamiento del dispositivo en las instalaciones para todos los clientes de McAfee. Los administradores autorizados no deben ser descuidados, negligentes ni de trato difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación correspondiente al dispositivo de McAfee. Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee. Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios protejan todas las credenciales de acceso de forma coherente con la seguridad de TI. No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaría una configuración distinta de la correspondiente a la evaluada según los Criterios comunes. Póngase en contacto con el Soporte de McAfee para obtener actualizaciones certificadas. En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzar omisión en la página Configuración de la interfaz de red provoca una configuración distinta de la evaluada según los Criterios comunes. En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta de supresión provoca una configuración diferente de la evaluada según los Criterios comunes. La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca una comunicación segura. El entorno de TI proporciona una transmisión segura de datos entre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUS puede proporcionar los servicios de autenticación externa. El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point no forma parte del objetivo de evaluación. El uso de Snort Barnyard no forma parte del objetivo de evaluación. El uso del cliente de MEF no forma parte del objetivo de evaluación. El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación. Inicio y cierre de sesión Tras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera vez. 1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la interfaz de red. 2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la contraseña predeterminados. Nombre de usuario predeterminado: NGCP Contraseña predeterminada: security.4u 20 McAfee Enterprise Security Manager Guía del producto

21 Primeros pasos Personalización de la página de inicio de sesión 2 3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar. 4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar. 5 Indique si desea activar o no el modo FIPS. En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo. Para obtener más información, consulte Información sobre el modo FIPS. 6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para acceder a las actualizaciones de reglas. 7 Lleve a cabo la configuración inicial de ESM: a Seleccione el idioma que se utilizará para los registros del sistema. b c Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con esta cuenta; después, haga clic en Siguiente. Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono Mostrar Ayuda de cada página para obtener instrucciones. 8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a las funciones nuevas disponibles en esta versión de ESM. 9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos: Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema, situada en la esquina superior derecha de la consola. Si hay alguna página abierta, cierre el navegador. Véase también Acerca del modo FIPS en la página 13 Personalización de la página de inicio de sesión Es posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo las políticas de seguridad de la empresa o su logotipo. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Configuración personalizada. 2 Realice cualquiera de las acciones siguientes: McAfee Enterprise Security Manager Guía del producto 21

22 2 Primeros pasos Actualización del software de ESM Para... Agregar texto personalizado Haga esto... 1 Haga clic en el cuadro de texto situado en la parte superior de la página. 2 Escriba el texto que desee agregar a la página Inicio de sesión. 3 Seleccione Incluir texto en pantalla de inicio de sesión. Agregar una imagen personalizada 1 Haga clic en Seleccionar imagen. 2 Cargue la imagen que desee utilizar. 3 Seleccione Incluir imagen en pantalla de inicio de sesión. Si sigue apareciendo el logotipo anterior en la página Inicio de sesión tras cargar un nuevo logotipo personalizado, borre la caché del navegador. Eliminar una imagen personalizada Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado. Actualización del software de ESM Es posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través de un ingeniero de seguridad y, después, cargarlas en el ESM. Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Actualizar ESM. 3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar. El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la actualización. Véase también Actualización de un ESM principal o redundante en la página 209 Obtención y adición de credenciales de actualización de reglas ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato de mantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes. 22 McAfee Enterprise Security Manager Guía del producto

23 Primeros pasos Comprobación de la existencia de actualizaciones de reglas 2 1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico a con la siguiente información: Número de concesión de McAfee Nombre de cuenta Dirección Nombre de contacto Dirección de correo electrónico de contacto 2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema Información del sistema Actualización de reglas en el árbol de navegación del sistema. 3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña. 4 Haga clic en Validar. Comprobación de la existencia de actualizaciones de reglas El equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráfico de red actualiza constantemente estas firmas, las cuales están disponibles para su descarga mediante el servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de forma automática o manual. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la opción Información del sistema. 2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado. Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas. 3 Si la licencia es válida, haga clic en Actualización de reglas. 4 Seleccione una de estas opciones: Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia de actualizaciones automáticamente con la frecuencia seleccionada. Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente. Actualización manual, para actualizar las reglas desde un archivo local. 5 Haga clic en Aceptar. Véase también Obtención y adición de credenciales de actualización de reglas en la página 22 McAfee Enterprise Security Manager Guía del producto 23

24 2 Primeros pasos Cambio de idioma de los registros de eventos Cambio de idioma de los registros de eventos Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Administración de ESM. 2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar. Conexión de los dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según su zona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin de continuar con su organización. Contenido Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas Administración de un grupo en un tipo de pantalla personalizada Eliminación de un grupo o dispositivo Eliminación de dispositivos duplicados en el árbol de navegación del sistema Adición de dispositivos a la consola de ESM Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM. Antes de empezar Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise Security Manager). 1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo. 2 En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo. 3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente. 4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente. 24 McAfee Enterprise Security Manager Guía del producto

25 Primeros pasos Conexión de los dispositivos 2 5 Proporcione la información solicitada. Dispositivos McAfee epo: seleccione un receptor, escriba las credenciales necesarias para iniciar sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para la comunicación con la base de datos. Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombre de usuario y contraseña para el dispositivo. Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después, indique un número de puerto SSH de destino válido para su uso con la dirección IP. 6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y, después, haga clic en Siguiente. 7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo. Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la 8.3.x no emplean el modelo de comunicación correspondiente a la versión Tras la ampliación, se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la versión o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM de la versión o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo, tales como el privilegio Configurar dispositivos virtuales. 8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente. El ESM probará la comunicación con el dispositivo e informará del estado de la conexión. Selección de un tipo de pantalla Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema. Antes de empezar Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase Administración de tipos de pantallas personalizadas). 1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización. 2 Seleccione uno de los tipos de pantalla. La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo seleccionado para la sesión de trabajo en curso. Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. McAfee Enterprise Security Manager Guía del producto 25

26 2 Primeros pasos Conexión de los dispositivos 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: Para... Agregar un tipo de pantalla personalizada Editar un tipo de pantalla personalizada Haga esto... 1 Haga clic en Agregar pantalla. 2 Rellene los campos y haga clic en Aceptar. 1 Haga clic en el icono Editar situado junto al tipo de pantalla que desee editar. 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Administración de un grupo en un tipo de pantalla personalizada Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en agrupaciones lógicas. Antes de empezar Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas personalizadas). 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione la pantalla personalizada y haga una de estas cosas: 26 McAfee Enterprise Security Manager Guía del producto

27 Primeros pasos Conexión de los dispositivos 2 Para... Agregar un nuevo grupo Haga esto... 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo de la barra de herramientas de acciones. 2 Rellene los campos y haga clic en Aceptar. 3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo. Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de sistemas. Editar un grupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la página Propiedades de grupo. Eliminar un grupo Seleccione el grupo y haga clic en el icono Eliminar grupo. El grupo y los dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los dispositivos no se eliminarán del sistema. Véase también Administración de tipos de pantallas personalizadas en la página 25 Eliminación de un grupo o dispositivo Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol de navegación del sistema. 1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga clic en el icono Eliminar de la barra de acciones. 2 Cuando se le solicite confirmación, haga clic en Aceptar. Eliminación de dispositivos duplicados en el árbol de navegación del sistema Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados. 3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar. Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente. McAfee Enterprise Security Manager Guía del producto 27

28 2 Primeros pasos Preferencias de la consola Preferencias de la consola Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración predeterminadas. Las credenciales de McAfee epolicy Orchestrator (McAfee epo ) se pueden configurar también. La consola de ESM La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así como acceso rápido a notificaciones de alarmas y casos asignados. 1 Barra de navegación del sistema para las funciones de configuración generales. 2 Iconos para acceder a páginas de uso frecuente. 3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar cada dispositivo. 4 Panel de navegación del sistema para ver los dispositivos del sistema. 5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados. 6 Panel de vistas para los datos de eventos, flujos y registro. 7 Barra de herramientas de vistas para crear, editar y administrar las vistas. 8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos. 28 McAfee Enterprise Security Manager Guía del producto

29 Primeros pasos Preferencias de la consola 2 Uso del tema de color de la consola Es posible personalizar la consola de ESM mediante la selección de un tema de color existente o el diseño de uno propio. También es posible editar o eliminar temas de color personalizados. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado. 3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en Aceptar. Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un tema. 4 Haga clic en Aceptar para guardar la configuración. Selección de las opciones de visualización de la consola Establezca la configuración predeterminada para las vistas de la consola de ESM. En esta página, puede establecer el sistema para que haga lo siguiente: actualizar los datos automáticamente en una vista abierta; cambiar las vistas que se abren de forma predeterminada al iniciar el sistema; cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar. Establecimiento del valor de tiempo de espera de la consola La sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definir la cantidad de tiempo de inactividad necesaria para que se cierre la sesión. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Seguridad de inicio de sesión. 2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir de inactividad y, después, haga clic en Aceptar. Si selecciona cero (0), la consola permanecerá abierta indefinidamente. Selección de la configuración de usuario La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos. McAfee Enterprise Security Manager Guía del producto 29

30 2 Primeros pasos Preferencias de la consola 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Verifique que esté seleccionada la opción Configuración de usuario. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. La consola cambiará de aspecto en función de la configuración establecida. Configuración de credenciales para McAfee epo Es posible limitar el acceso a un dispositivo McAfee epo mediante la configuración de credenciales de usuario. Antes de empezar El dispositivo McAfee epo no debe estar configurado para requerir la autenticación de usuario global (véase Configuración de la autenticación de usuarios global). 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione Credenciales de epo. 2 Haga clic en el dispositivo y, después, en Editar. Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo (véase Cambio de la conexión con ESM). 3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar. Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña agregados. 30 McAfee Enterprise Security Manager Guía del producto

31 3 3 Configuración del ESM El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el ciclo de vida de administración de la seguridad de la organización. Contenido Administración de dispositivos Configuración de dispositivos Configuración de los servicios auxiliares Administración de la base de datos Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema Administración de ESM Uso de una lista negra global Qué es el enriquecimiento de datos Administración de dispositivos El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se McAfee Enterprise Security Manager Guía del producto 31

32 3 Configuración del ESM Administración de dispositivos pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas existentes. Tabla 3-1 Definiciones de las funciones Esta función... 1 Barra de herramientas de acciones Icono de propiedades Icono de adición de dispositivos Marcas de estado Administración de varios dispositivos Obtener eventos y flujos Permite... Seleccionar una acción para realizarla en los dispositivos del árbol de navegación del sistema. Configurar las opciones del sistema o el dispositivo seleccionados en el árbol de navegación del sistema. Agregar dispositivos al árbol de navegación del sistema. Ver alertas de estado de dispositivo. Iniciar, detener, reiniciar y actualizar varios dispositivos de forma individual. Recuperar eventos y flujos de los dispositivos seleccionados. Eliminar un dispositivo Actualizar Eliminar el dispositivo seleccionado. Actualizar los datos de todos los dispositivos. 32 McAfee Enterprise Security Manager Guía del producto

33 Configuración del ESM Administración de dispositivos 3 Tabla 3-1 Definiciones de las funciones (continuación) Esta función... Permite... 2 Tipo de pantalla Seleccionar la forma en que se desea organizar los dispositivos del árbol. El ESM incluye tres tipos predefinidos. Pantalla física: se muestran los dispositivos de forma jerárquica. El primer nivel corresponde a nodos del sistema (pantalla física, ESM local y dispositivo de base del ESM local). El segundo nivel corresponde a los dispositivos individuales, mientras que el resto de niveles son los orígenes que se agregan a los dispositivos (origen de datos, dispositivo virtual, etc.). Los dispositivos de base se agregan automáticamente bajo los nodos de ESM local, origen de datos, dispositivo virtual y servidor de base de datos. Cuentan con un icono atenuado y se muestran entre paréntesis. Pantalla de tipos de dispositivo: los dispositivos se agrupan por tipo de dispositivo (Nitro IPS, ADM, DEM, etc.). Pantalla de zonas: los dispositivos se organizan según la zona, la cual se define mediante la función Administración de zonas. También es posible agregar tipos de pantallas personalizados (véase Organización de los dispositivos). 3 Búsqueda rápida Llevar a cabo una búsqueda rápida de un dispositivo en el árbol de navegación del sistema. 4 Árbol de navegación del sistema Ver los dispositivos del sistema. Véase también Organización de los dispositivos en la página 37 Informes de estado de mantenimiento de los dispositivos en la página 55 Administración de varios dispositivos en la página 53 Visualización de estadísticas de dispositivo Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos. Antes de empezar Verifique que dispone del permiso Administración de dispositivo. 1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono de propiedades. 2 Navegue por las opciones y las fichas hasta llegar a Ver estadísticas. 3 Haga clic en Ver estadísticas. Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada. Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica correspondiente. McAfee Enterprise Security Manager Guía del producto 33

34 3 Configuración del ESM Administración de dispositivos Adición de dispositivos a la consola de ESM Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM. Antes de empezar Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise Security Manager). 1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo. 2 En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo. 3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente. 4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en Siguiente. 5 Proporcione la información solicitada. Dispositivos McAfee epo: seleccione un receptor, escriba las credenciales necesarias para iniciar sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para la comunicación con la base de datos. Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de nombre de usuario y contraseña para el dispositivo. Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después, indique un número de puerto SSH de destino válido para su uso con la dirección IP. 6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y, después, haga clic en Siguiente. 7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo. Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la 8.3.x no emplean el modelo de comunicación correspondiente a la versión Tras la ampliación, se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la versión o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM de la versión o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo, tales como el privilegio Configurar dispositivos virtuales. 8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente. El ESM probará la comunicación con el dispositivo e informará del estado de la conexión. Acerca de las claves de dispositivo Para que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clave de comunicación creada al aplicar la clave a dicho dispositivo. Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña. Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso de que se produzca una emergencia, o bien para exportar una clave a otro dispositivo. Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está comunicando correctamente con ese dispositivo. 34 McAfee Enterprise Security Manager Guía del producto

35 Configuración del ESM Administración de dispositivos 3 Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la comunicación con el dispositivo. Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la administración de directivas, el registro y la administración de ELM, y la configuración de origen de datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro ESM. Aplicación de la clave a un dispositivo Tras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación. La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentes externas de comunicación. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Administración de claves Aplicar clave a dispositivo. Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el Asistente para aplicar clave a dispositivo. 3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente. 4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si no va a realizar la exportación en este momento. Exportación de una clave Tras aplicar la clave a un dispositivo, expórtela a un archivo. Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con clave aplicada en el modo FIPS para conocer el proceso correcto. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Administración de claves Exportar clave. McAfee Enterprise Security Manager Guía del producto 35

36 3 Configuración del ESM Administración de dispositivos 3 Defina la configuración en la página Exportar clave y haga clic en Aceptar. El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla. 4 Haga clic en Sí y seleccione dónde quiere guardar el archivo. Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada como No caduca nunca que incluya todos los privilegios. Importación de una clave Es posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarla en otro ESM o consola heredada. Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la versión 8.5 o posterior. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Administración de claves Importar clave. 3 Ubique y seleccione el archivo de clave guardado. 4 Haga clic en Cargar y escriba la contraseña establecida al exportar la clave. Una vez que la clave se importa correctamente, aparece una página con el estado. Administración de claves SSH Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que necesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se elimina la clave. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Administración de claves y, después, en Administrar claves SSH. La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el dispositivo. 3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los sistemas de la lista. 4 Confirme la eliminación y haga clic en Aceptar. 36 McAfee Enterprise Security Manager Guía del producto

37 Configuración del ESM Administración de dispositivos 3 Actualización del software en un dispositivo Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un archivo en el ESM o su equipo local. Antes de empezar Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de credenciales de actualización de reglas). Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una actualización certificada. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 En el dispositivo, haga clic en Administración Actualizar dispositivo. 3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local. El dispositivo se reiniciará con la versión de software actualizada. Organización de los dispositivos El árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puede seleccionar la forma de visualizarlos mediante la función de tipo de pantalla. A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera lógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en varias ubicaciones, podría ser mejor mostrar los dispositivos según su zona. Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la organización de los dispositivos. Configuración del control de tráfico de la red en un dispositivo Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS, ADM y DEM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. McAfee Enterprise Security Manager Guía del producto 37

38 3 Configuración del ESM Administración de dispositivos 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último, haga clic en la ficha Tráfico. La tabla presenta una lista de los controles existentes. 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. Configuración del dispositivo La página Configuración de cada dispositivo proporciona opciones que permiten llevar a cabo la configuración del dispositivo, como en el caso de la interfaz de red, las notificaciones SNMP, la configuración de NTP y el registro de ELM. Configuración de interfaces de red La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas opciones para cada dispositivo. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces. 3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar. Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso. Administración de interfaces de red La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección IP. Interfaz de administración Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo requieren el uso de una interfaz de administración: Control completo de las tarjetas de red de omisión Uso de la sincronización de hora NTP 38 McAfee Enterprise Security Manager Guía del producto

39 Configuración del ESM Administración de dispositivos 3 Syslog generado por dispositivo Notificaciones SNMP Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la comunicación hacia otra dirección IP o nombre de host de destino. No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y su seguridad podría ponerse en peligro. En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo. NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión (véase Configuración de NIC de omisión). Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Adición de rutas estáticas Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Interfaces. 3 Junto a la tabla Rutas estáticas, haga clic en Agregar. 4 Introduzca la información y, a continuación, haga clic en Aceptar. NIC de omisión En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. McAfee Enterprise Security Manager Guía del producto 39

40 3 Configuración del ESM Administración de dispositivos Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión. Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de NIC de omisión En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase todo el tráfico. Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de omisión, pero no cambiar la configuración. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Interfaces. 3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte inferior. 4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración. 5 Haga clic en Aceptar. Adición de VLAN y alias Es posible agregar redes de área local virtuales (VLAN) y alias (pares asignados de dirección IP y máscara de red que se agregan si hay algún dispositivo de red con más de una dirección IP) a una interfaz de ACE o ELM. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración correspondiente al dispositivo, después en Interfaces y, por último, en Opciones avanzadas. 3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar. 4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias. 5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Configuración de notificaciones SNMP Para configurar las notificaciones SNMP generadas por el dispositivo, es necesario definir qué capturas se deben enviar y sus destinos. 40 McAfee Enterprise Security Manager Guía del producto

41 Configuración del ESM Administración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración SNMP. 3 Defina la configuración y haga clic en Aceptar. Configuración de NTP en un dispositivo Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP (Network Time Protocol). 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración NTP. 3 Rellene la información solicitada y, después, haga clic en Aceptar. s Visualización del estado de los servidores NTP en la página 174 Es posible ver el estado de todos los servidores NTP del ESM. Sincronización del dispositivo con ESM Si tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar la configuración. Si no dispone de una copia de seguridad de la base de datos actualizada, también deberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base de datos con ESM para que puedan reanudar la extracción de eventos. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Sincronizar dispositivo. 3 Una vez completada la sincronización, haga clic en Aceptar. Configuración de la comunicación con ELM Si pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y Sincronizar ELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizar el ELM con el dispositivo. McAfee Enterprise Security Manager Guía del producto 41

42 3 Configuración del ESM Administración de dispositivos 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración y realice una de las acciones siguientes: Haga clic en... Para... IP de ELM Sincronizar ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberá hacer esto si cambia la dirección IP del ELM o la interfaz de administración de ELM a través de la cual este dispositivo se comunica con el ELM. Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar esta función, la comunicación SSH entre ambos dispositivos se restablece por medio de la clave del nuevo dispositivo y la configuración anterior. Establecimiento del grupo de registro predeterminado Si tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos de eventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registro predeterminado. El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Registro. 3 Realice las selecciones adecuadas en las páginas que se abrirán. Se le informará cuando se active el registro de datos de este dispositivo en el ELM. Información y configuración generales de los dispositivos Cada dispositivo cuenta con una página que proporciona información general, como por ejemplo el número de serie y la versión del software. Esta página también permite definir la configuración del dispositivo, como seleccionar la zona y sincronizar el reloj. Visualización de registros de mensajes y estadísticas del dispositivo Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del dispositivo o descargar un archivo.tgz con información de estado sobre el dispositivo. 42 McAfee Enterprise Security Manager Guía del producto

43 Configuración del ESM Administración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones: Opción Ver registro Ver estadísticas Datos de dispositivo Descripción Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el archivo para descargar los datos a un archivo. Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz Ethernet, ifconfig y el filtro iptables. Permite descargar un archivo.tgz con datos sobre el estado del dispositivo. Le resultará útil si colabora con el Soporte de McAfee para solucionar un problema del sistema. Actualización del software en un dispositivo Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un archivo en el ESM o su equipo local. Antes de empezar Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de credenciales de actualización de reglas). Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una actualización certificada. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 En el dispositivo, haga clic en Administración Actualizar dispositivo. 3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local. El dispositivo se reiniciará con la versión de software actualizada. Introducción de comandos Linux en un dispositivo Utilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función está destinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. McAfee Enterprise Security Manager Guía del producto 43

44 3 Configuración del ESM Administración de dispositivos 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 En el dispositivo, haga clic en Administración Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux, exporte el archivo o transfiera archivos. 5 Haga clic en Cerrar. Otorgar acceso al sistema Cuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero de soporte técnico para que vea su sistema. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 En el dispositivo, haga clic en Administración Conectar. El botón cambiará a Desconectar y se le proporcionará la dirección IP. 3 Informe de la dirección IP al ingeniero de soporte técnico. Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña. 4 Haga clic en Desconectar para finalizar la conexión. Supervisión del tráfico Si necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 En el dispositivo, haga clic en Administración. 3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la instancia. Visualización de información de dispositivo Es posible ver información general sobre un dispositivo. Abra la página Información del dispositivo para ver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc. 44 McAfee Enterprise Security Manager Guía del producto

45 Configuración del ESM Administración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Vea la información disponible y, a continuación, haga clic en Aceptar. Inicio, detención, reinicio o actualización de un dispositivo Es posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después, haga clic en Iniciar, Detener, Reiniciar o Actualizar. Cambio del nombre del dispositivo Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la descripción, o bien visualice el número de ID de dispositivo. 3 Haga clic en Aceptar. Adición de vínculos de URL Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo vista., situado en la parte inferior de los componentes de la 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Nombre y descripción y escriba la URL. 3 Haga clic en Aceptar para guardar los cambios. McAfee Enterprise Security Manager Guía del producto 45

46 3 Configuración del ESM Administración de dispositivos Cambio de la conexión con el ESM Cuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe la posibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar el estado de la conexión. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el ESM se comunica con el dispositivo. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Conexión y realice los cambios. 3 Haga clic en Aplicar. Eventos, flujos y registros Los dispositivos IPS, ADM y Event Receiver recopilan eventos, flujos y registros; los dispositivos ACE y DEM recopilan eventos y registros; y, por último, los dispositivos ELM recopilan solo registros. Configure cada dispositivo para que los busque de forma automática o manual. Además, es posible agregar los eventos o los flujos generados por un dispositivo. Configuración de descargas de eventos, flujos y registros Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo de forma que lo haga automáticamente. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros. 3 Configure las descargas y haga clic en Aplicar. Definición de la configuración de geolocalización y ASN La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica de forma exclusiva cada una de las redes de Internet. Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible recopilar datos de geolocalización de origen y destino para los eventos. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización. 3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar. 46 McAfee Enterprise Security Manager Guía del producto

47 Configuración del ESM Administración de dispositivos 3 Es posible filtrar los datos de eventos mediante esta información. Agregación de eventos o flujos Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o flujo con un recuento que indica el número de veces que se ha producido. El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas para las cuales se haya activado la agregación en el Editor de directivas. Dirección IP de destino origen y destino Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" en lugar de " " en todos los conjuntos de resultados. Por ejemplo: ::ffff: se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es ). ::0000: sería Eventos y flujos agregados Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Total contiene el valor 30. Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas individuales (véase Administración de las excepciones de agregación de eventos). La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo. Cambio de la configuración de agregación de eventos o flujos La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en la página Agregación. Antes de empezar Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración. La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras que la agregación de flujos lo está en los receptores y los dispositivos IPS. McAfee Enterprise Security Manager Guía del producto 47

48 3 Configuración del ESM Administración de dispositivos 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Agregación de eventos o Agregación de flujos. 3 Defina la configuración y haga clic en Aceptar. Administración de las excepciones de agregación de eventos Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe la posibilidad de editar o eliminar una excepción. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla. 3 Realice los cambios necesarios y haga clic en Cerrar. Adición de excepciones a la configuración de agregación de eventos La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por una regla. 1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción. 2 Haga clic en el icono Menú y seleccione Modificar configuración de agregación. 3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación de eventos definida para el dispositivo. 4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar. 5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos. 6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados. La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios. 48 McAfee Enterprise Security Manager Guía del producto

49 Configuración del ESM Administración de dispositivos 3 Dispositivos virtuales Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de supervisar el tráfico, comparar patrones de tráfico y generar informes. Finalidad y ventajas Los dispositivos virtuales se pueden usar para diversos propósitos: Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas. Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado. Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de acuerdo con directivas distintas. Número máximo de dispositivos por modelo El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo: Máximo de dispositivo Modelo 2 APM-1225 NTP-1225 APM-1250 NTP APM-2230 NTP-2230 NTP-2600 APM-3450 NTP NTP-2250 NTP-4245 NTP APM-VM NTP-VM Utilización de las reglas de selección Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará un dispositivo virtual. Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los dispositivos virtuales. McAfee Enterprise Security Manager Guía del producto 49

50 3 Configuración del ESM Administración de dispositivos Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4: Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual situado antes en la lista. Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo virtual. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último. Orden de los dispositivos virtuales El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes que llegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivo virtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega a las reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de selección del primero. Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de ADM Dispositivos virtuales Editar) y utilice las flechas para colocarlos en el orden correcto. Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales (Propiedades de IPS Dispositivos virtuales). Dispositivos ADM virtuales Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtros de interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual ADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista de filtros disponibles hasta que se elimina de ese dispositivo. Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían haber ido a un dispositivo ADM virtual. Administración de reglas de selección Las reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivo virtual. Es posible agregar, editar y eliminar reglas de selección. El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento. 50 McAfee Enterprise Security Manager Guía del producto

51 Configuración del ESM Administración de dispositivos 3 1 Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades. 2 Haga clic en Dispositivos virtuales y, después, en Agregar. Se abrirá la ventana Agregar dispositivo virtual. 3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden. Adición de un dispositivo virtual Es posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas de selección que determinan qué paquetes procesará cada dispositivo. Antes de empezar Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado (véase Acerca de los dispositivos virtuales). 1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono Propiedades. 2 Haga clic en Dispositivos virtuales Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. 4 Haga clic en Escribir para agregar la configuración al dispositivo. Administración de tipos de pantallas personalizadas Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas. 1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de pantalla. 2 Siga uno de estos procedimientos: McAfee Enterprise Security Manager Guía del producto 51

52 3 Configuración del ESM Administración de dispositivos Para... Agregar un tipo de pantalla personalizada Editar un tipo de pantalla personalizada Haga esto... 1 Haga clic en Agregar pantalla. 2 Rellene los campos y haga clic en Aceptar. 1 Haga clic en el icono Editar situado junto al tipo de pantalla que desee editar. 2 Realice cambios en la configuración y después haga clic en Aceptar. Eliminar un tipo de pantalla personalizada Haga clic en el icono Eliminar desee eliminar. situado junto al tipo de pantalla que Selección de un tipo de pantalla Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del sistema. Antes de empezar Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase Administración de tipos de pantallas personalizadas). 1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de visualización. 2 Seleccione uno de los tipos de pantalla. La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo seleccionado para la sesión de trabajo en curso. Administración de un grupo en un tipo de pantalla personalizada Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en agrupaciones lógicas. Antes de empezar Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas personalizadas). 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione la pantalla personalizada y haga una de estas cosas: 52 McAfee Enterprise Security Manager Guía del producto

53 Configuración del ESM Administración de dispositivos 3 Para... Agregar un nuevo grupo Haga esto... 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el icono Agregar grupo de la barra de herramientas de acciones. 2 Rellene los campos y haga clic en Aceptar. 3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo. Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de sistemas. Editar un grupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la página Propiedades de grupo. Eliminar un grupo Seleccione el grupo y haga clic en el icono Eliminar grupo. El grupo y los dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los dispositivos no se eliminarán del sistema. Véase también Administración de tipos de pantallas personalizadas en la página 25 Eliminación de dispositivos duplicados en el árbol de navegación del sistema Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones. 1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla. 2 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados. 3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar. Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente. Administración de varios dispositivos La opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez, así como actualizar el software en ellos. 1 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar. 2 Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones. 3 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a continuación, haga clic en Iniciar. McAfee Enterprise Security Manager Guía del producto 53

54 3 Configuración del ESM Administración de dispositivos Administración de vínculos de URL para todos los dispositivos Es posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos en una dirección URL. Antes de empezar Configure el sitio de la dirección URL para el dispositivo. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada Vínculos de dispositivo. 2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL. El campo de URL tiene un límite de 512 caracteres. 3 Haga clic en Aceptar. Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo Análisis de eventos y Análisis de flujos de cada dispositivo. en la parte inferior de las vistas Visualización de informes de resumen de dispositivos Los informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, así como la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar con formato de valores separados por comas (CSV). 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema Ver informes. 2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento. 3 Haga clic en Aceptar. Visualización de un registro de sistema o dispositivo Los registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos. Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y el último evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registro del sistema o Registro de dispositivo. 1 Visualización de un resumen de datos de eventos: Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema. Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo. 2 A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver. Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el intervalo de tiempo especificado. 54 McAfee Enterprise Security Manager Guía del producto

55 Configuración del ESM Administración de dispositivos 3 Informes de estado de mantenimiento de los dispositivos Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco (informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos de sistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la página Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier problema. Una marca en este tipo de nodo... Sistema o grupo Dispositivo Abre... La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de estado correspondientes a los dispositivos asociados con el sistema o el grupo. Puede mostrar las siguientes alertas de estado: Partición eliminada: una tabla de base de datos que contiene los datos de eventos, flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a fin de agregar espacio para los registros nuevos. Los datos de eventos, flujos y registro se pueden exportar para evitar su pérdida permanente. Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto podría incluir el disco duro del ESM, el ESM redundante o el punto de montaje remoto. Crítico: el dispositivo no funciona bien y se debe arreglar. Advertencia: algo no funciona en el dispositivo como debería. Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado. Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de base de datos del ESM no está sincronizada con el dispositivo. Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que se ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo los antiguos. Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijado como umbral de inactividad. Desconocido: el ESM no ha podido conectar con el dispositivo. Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrar marcando las casillas de verificación situadas junto a los indicativos y haciendo clic en Borrar selección o Borrar todo. La página Alertas de estado de dispositivo, que contiene botones para acceder a las ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes botones: Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo muestran un resumen de todas las acciones que han tenido lugar en el sistema o el dispositivo. Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual permite comprobar la existencia de problemas. Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento en el intervalo de tiempo especificado. Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia o crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo. McAfee Enterprise Security Manager Guía del producto 55

56 3 Configuración del ESM Administración de dispositivos Estado Modo de omisión No se está ejecutando la inspección profunda de paquetes (DPI) El programa de alerta de firewall (ngulogd) no se está ejecutando La base de datos no se está ejecutando Modo de sobresuscripción El canal de control no funciona Los programas RDEP o Syslog no se están ejecutando El monitor de estado no se puede comunicar con el programa controlador de inspección profunda de paquetes (DPI) El registrador del sistema no se está ejecutando Queda poco espacio libre en la partición del disco duro Alerta de velocidad de ventilador Alerta de temperatura Errores de red Problema en un punto de montaje remoto Descripción e instrucciones La interfaz de red (NIC) está en el modo de omisión. Entre las causas posibles están el fallo de un proceso de sistema crítico, el establecimiento manual del dispositivo en el modo de omisión o un fallo de otro tipo. Si desea sacar el dispositivo del modo de omisión, acceda en el dispositivo a Propiedades Configuración Interfaces. Se ha producido un fallo de inspección profunda de paquetes (DPI). Podría recuperarse sin necesidad de intervención. Si no es así, reinicie el dispositivo. Se ha producido un fallo de funcionamiento del agregador de alertas de firewall (FAA). Podría recuperarse sin necesidad de intervención. Si no es así, reinicie el dispositivo. Se ha producido un fallo de funcionamiento en el servidor de McAfee Extreme Database (EDB). Puede que el problema se resuelva reiniciando el dispositivo, pero cabe la posibilidad de que la base de datos necesite reconstrucción. Si la red supervisada tiene un tráfico superior al que Nitro IPS puede gestionar, los paquetes de red podrían no inspeccionarse. El monitor de estado genera una alerta que indica que existe sobresuscripción en el dispositivo Nitro IPS. De forma predeterminada, el valor del modo de sobresuscripción está configurado para la supresión. Si desea cambiar este valor, acceda a Editor de directivas, haga clic en Variable en el panel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredar para la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso y Supresión para esta variable. El proceso que proporciona el canal de comunicación con el ESM ha fallado. El problema se podría solucionar reiniciando el dispositivo. Si existe un fallo de funcionamiento en el subsistema que gestiona los orígenes de datos de terceros (como Syslog o SNMP), se genera una alerta crítica. Se genera una alerta de nivel de advertencia si el recopilador no ha recibido datos del origen de datos de tercero durante una cantidad de tiempo concreta. Esto indica que el origen de datos podría no estar funcionando o no estar enviando datos al receptor como se esperaba. El monitor de estado no es capaz de comunicarse con la inspección profunda de paquetes (DPI) para recuperar su estado. Esto podría indicar que el programa de control no se está ejecutando y que el tráfico de red podría no estar pasando por Nitro IPS. Es posible que el problema se solucione volviendo a aplicar la directiva. El registrador del sistema no responde. El problema se podría solucionar con el reinicio del dispositivo. La cantidad de espacio libre es crítica. El ventilador gira muy lentamente o no se mueve en absoluto. Hasta que se pueda reemplazar el ventilador, mantenga el dispositivo en una sala con aire acondicionado a fin de evitar daños. La temperatura de los componentes críticos supera un cierto umbral. Mantenga el dispositivo en una habitación con aire acondicionado para evitar daños permanentes. Compruebe si hay algo bloqueando el flujo de aire en el dispositivo. Existen errores en la red o un exceso de colisiones en ella. La causa podría ser un dominio con mucha colisión o fallos en los cables de red. Existe un problema en un punto de montaje remoto. 56 McAfee Enterprise Security Manager Guía del producto

57 Configuración del ESM Configuración de dispositivos 3 Estado Poco espacio de disco libre en punto de montaje remoto Todos los recopiladores de origen de datos que no han recibido comunicación de un origen de datos durante al menos diez minutos El recopilador de orígenes de datos no funciona El monitor de estado no puede obtener un estado válido de un subsistema Recuperación de un subsistema de un estado de advertencia o crítico Descripción e instrucciones Queda poco espacio libre en el disco del punto de montaje remoto. El receptor no ha recibido comunicación alguna de un origen de datos durante un mínimo de diez minutos. Existe un fallo de funcionamiento en el subsistema que controla los orígenes de datos de terceros (como Syslog o SNMP). El recopilador no ha recibido ningún dato del origen de datos de terceros en una cantidad de tiempo concreta. Puede que el origen de datos no esté funcionando o no esté enviando datos al receptor como se esperaba. El monitor de estado no ha podido obtener un estado válido para un subsistema. Cuando se inicia y se detiene el monitor de estado, se genera una alerta informativa. Si el monitor de estado tiene problemas de comunicación con otros subsistemas del dispositivo, también se genera una alerta. Es posible que el registro de eventos proporcione detalles sobre las causas de las alertas de advertencia y críticas. Eliminación de un grupo o dispositivo Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol de navegación del sistema. 1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga clic en el icono Eliminar de la barra de acciones. 2 Cuando se le solicite confirmación, haga clic en Aceptar. Actualización de dispositivos Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la del ESM. En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos. Configuración de dispositivos Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes de conformidad en tiempo real. Contenido Los dispositivos y sus funciones Configuración de Event Receiver Configuración de Enterprise Log Manager (ELM) Configuración de Advanced Correlation Engine (ACE) Configuración de Application Data Monitor (ADM) McAfee Enterprise Security Manager Guía del producto 57

58 3 Configuración del ESM Configuración de dispositivos Configuración de Database Event Monitor (DEM) Configuración del ESM distribuido (DESM) Configuración de epolicy Orchestrator Configuración de Nitro Intrusion Prevention System (Nitro IPS) Configuración de McAfee Vulnerability Manager Configuración de McAfee Network Security Manager Los dispositivos y sus funciones El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de seguridad, así como interactuar con ellos. Véase también Configuración de Event Receiver en la página 59 Configuración de Enterprise Log Manager (ELM) en la página 115 Configuración de Application Data Monitor (ADM) en la página 134 Configuración de Database Event Monitor (DEM) en la página 150 Configuración de Advanced Correlation Engine (ACE) en la página 131 Configuración del ESM distribuido (DESM) en la página 158 Configuración de epolicy Orchestrator en la página 159 Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página McAfee Enterprise Security Manager Guía del producto

59 Configuración del ESM Configuración de dispositivos 3 Configuración de Event Receiver Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sflow, etc. Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución única que se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores, tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos en dispositivos Nitro IPS y enrutadores que envían datos al receptor. Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor principal (A), y los cambios de configuración o de información de directiva se envían a ambos dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A como principal. Visualización de eventos de transmisión El Visor de transmisiones muestra una lista de los eventos que va generando McAfee epo, McAfee Network Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista. 1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic en el icono Ver eventos de transmisión en la barra de herramientas de acciones. 2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla. 3 Seleccione cualquiera de las acciones disponibles en el visor. 4 Haga clic en Cerrar. Receptores de disponibilidad alta Los receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que el receptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla. Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece un único receptor. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el secundario determina que el principal ha fallado, lo detiene y asume su función. Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta. McAfee Enterprise Security Manager Guía del producto 59

60 3 Configuración del ESM Configuración de dispositivos Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta: ERC-1225-HA ERC-1250-HA ERC-2230-HA ERC-1260-HA ERC-2250-HA ERC-2600-HA ERC-4245-HA ERC-4600-HA ERC-4500-HA Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4 NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los receptores de disponibilidad alta). Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación con el ESM, así como una NIC de origen de datos para recopilar datos. Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo siguiente: Los receptores se comunican constantemente a través de la NIC de latido y la NIC de administración dedicadas. Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par. Todos los orígenes de datos utilizan la NIC de origen de datos. Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC. El ESM se comunica con los receptores periódicamente para determinar su estado. La información de configuración nueva se envía a los dos receptores, el principal y el secundario. El ESM también envía la directiva a los dos receptores. Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado. En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta experimenta problemas. Fallo del receptor principal El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe determinar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce la conmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivo principal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y la tasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrar cuidadosamente para optimizar la disponibilidad de los datos. Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal. El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los recopiladores. 60 McAfee Enterprise Security Manager Guía del producto

61 Configuración del ESM Configuración de dispositivos 3 Fallo del receptor secundario El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la comunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptor secundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración y latido. Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario como fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo. Problema de estado del dispositivo principal El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una base de datos que no responde, una interfaz de origen de datos que no responde y un número excesivo de errores de disco. Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones, pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor secundario. Problema de estado del dispositivo secundario Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente: El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los procesos de Corosync y Pacemaker. Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja de estar disponible en caso de fallo del receptor principal. El problema de estado se analiza y se intenta repararlo. Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal mediante el procedimiento Nueva puesta en servicio. Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido. Nueva puesta en servicio Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo de alimentación, reparación del hardware o reparación de la red), ocurre lo siguiente: Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el inicio. Permanecen en modo secundario hasta que se establecen como principal. El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el dispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y a recopilar datos. Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido. McAfee Enterprise Security Manager Guía del producto 61

62 3 Configuración del ESM Configuración de dispositivos Ampliación de receptor de disponibilidad alta El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Ocurre de la siguiente forma: 1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario. 2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el principal y el que no se ha ampliado aún sea el secundario. 3 El archivo de ampliación se aplica al nuevo receptor secundario. 4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptores asuman de nuevo sus funciones originales. A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido. Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración de receptor principal preferido de nuevo. Puertos de red de los receptores de disponibilidad alta Estos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta. ERC-1250-HA/1260-HA 1 IPMI 6 Admin. 2 2 Admin. 2 7 Admin. 3 3 Admin. 1 8 Fuente de datos 4 NIC IPMI 9 IP Admin. 1 5 Latido (Heartbeat) 62 McAfee Enterprise Security Manager Guía del producto

63 Configuración del ESM Configuración de dispositivos 3 ERC-2600-HA y ERC-4600-HA 1 NIC IPMI 6 Datos 2 Latido 7 IPMI 3 Admin. 2 8 Admin. 1 4 Admin. 3 9 Fuente de datos 5 Admin. Configuración de dispositivos receptores de disponibilidad alta Defina la configuración de los dispositivos receptores de disponibilidad alta. Antes de empezar Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la consola de ESM). Debe disponer de tres o más NIC. La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. McAfee Enterprise Security Manager Guía del producto 63

64 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad alta principal y haga clic en el icono Propiedades. 2 Haga clic en Configuración del receptor y, después, en Interfaz. 3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad. 4 Rellene la información solicitada y, después, haga clic en Aceptar. Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica globals.conf y sincroniza ambos receptores. Reinicialización del dispositivo secundario Si se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de volver a instalarlo. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor principal y, después, haga clic en Configuración del receptor Interfaz Receptor de disponibilidad alta. 2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria. 3 Haga clic en Reinicializar secundario. El ESM llevará a cabo los pasos necesarios para reinicializar el receptor. Restablecimiento de dispositivos de disponibilidad alta Si necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antes de configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con los receptores, en el menú de la pantalla LCD. Siga uno de estos procedimientos: 64 McAfee Enterprise Security Manager Guía del producto

65 Configuración del ESM Configuración de dispositivos 3 Para... Restablecer un receptor en la consola de ESM Haga esto... 1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y, después, haga clic en Configuración del receptor Interfaz. 2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar. 3 Haga clic en Sí en la página de advertencia y, después, en Cerrar. Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco minutos a fin de devolver las direcciones MAC a sus valores originales. Restablecer el receptor principal o secundario en el menú de la pantalla LCD 1 En el menú LCD del receptor, pulse X. 2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar disponibilidad alta). 3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary (Desactivar principal) en la pantalla LCD. 4 Para restablecer el receptor principal, pulse la marca de verificación. 5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una vez y, después, la marca de verificación. Intercambio de funciones de receptores de disponibilidad alta Este proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los receptores principal y secundario. Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para devolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la cantidad de datos perdidos. Si un recopilador (incluido el dispositivo correspondiente a McAfee epo) está asociado con un receptor de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede tardar desde unos minutos a varios días, en función de la configuración de la red. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades. 2 Seleccione Disponibilidad alta Conmutación en caso de error. Ocurrirá lo siguiente: El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida y recopile datos. El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de intercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores. El ESM extrae todos los datos de alertas y flujos del receptor principal. El ESM marca el receptor secundario como principal y el principal como secundario. McAfee Enterprise Security Manager Guía del producto 65

66 3 Configuración del ESM Configuración de dispositivos Ampliación de los receptores de disponibilidad alta El proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente, empezando por el secundario. Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los dispositivos y producirse un periodo de inactividad. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y haga clic en el icono Propiedades. 2 Amplíe el receptor secundario: a b Haga clic en Administración del receptor y seleccione Secundario. Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga clic en Aceptar. El receptor se reiniciará y se actualizará la versión del software. c d En Propiedades de receptor, haga clic en Disponibilidad alta Volver a poner en servicio. Seleccione el receptor secundario y haga clic en Aceptar. 3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta Conmutación en caso de error. 4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2. Comprobación del estado de receptores de disponibilidad alta Es posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabo una ampliación. 1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta principal y haga clic en el icono Propiedades. 2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta del dispositivo: online. 66 McAfee Enterprise Security Manager Guía del producto

67 Configuración del ESM Configuración de dispositivos 3 3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el otro. Tiene un aspecto similar a este: OK hostname=mcafee1 mode=primary McAfee1=online McAfee2=online sharedip=mcafee1 stonith=mcafee2 corosync=running hi_bit=no 4 Compruebe lo siguiente en la información anterior: La primera línea de la respuesta es OK. El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos menos el número de modelo del receptor. El valor de mode es primary si el valor de sharedip coincide con el nombre de host de este receptor; de lo contrario, el modo será secondary. Las siguientes dos líneas muestran los nombres de host de los receptores del par de disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos es online. La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que debería ser running. El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o de otro. Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit. Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. 5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute el comando ifconfig en la interfaz de línea de comandos de ambos. McAfee Enterprise Security Manager Guía del producto 67

68 3 Configuración del ESM Configuración de dispositivos 6 Compruebe lo siguiente en los datos generados: Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores. El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tiene dirección IP en eth1. Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal configurada. Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones IP, lo que implica que los dispositivos se pueden ampliar. Sustitución de un receptor con problemas Si un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesario sustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos en la Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cables conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor de disponibilidad alta y, después, haga clic en Configuración del receptor Interfaz. 2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar alta disponibilidad. 3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario. El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta. Solución de problemas en un receptor fallido Si un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla la escritura de orígenes de datos, opciones de configuración global, opciones de configuración de agregación, etc., y aparece un error de SSH. De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un error cuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no se despliega. En esta situación, existen las siguientes opciones: Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva. Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos. Archivado de datos de receptor sin procesar Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo. Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common Internet File System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan, en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados al receptor por orígenes de datos que emplean protocolos de correo electrónico, estream, HTTP, SNMP, SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de 68 McAfee Enterprise Security Manager Guía del producto

69 Configuración del ESM Configuración de dispositivos 3 la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno de ellos para el archivado de datos. Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX. Definición de la configuración de archivado A fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar las opciones empleadas por el receptor para el archivado. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Configuración del receptor Archivado de datos. 2 Seleccione el tipo de recurso compartido e introduzca la información solicitada. Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el recurso compartido SMB para el establecimiento de una conexión SMB. 3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar. Visualización de los eventos de origen de los eventos de correlación Es posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos. Antes de empezar Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de correlación y Adición de un origen de datos). 1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación. 2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos. 3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de correlación. Solo aparecerá el signo más si el evento de correlación tiene eventos de origen. Los eventos de origen aparecen debajo del evento de correlación. Visualización de estadísticas de rendimiento del receptor Es posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y salida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24 horas. Antes de empezar Verifique que dispone del privilegio Administración de dispositivo. McAfee Enterprise Security Manager Guía del producto 69

70 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de propiedades. 2 Haga clic en Administración del receptor Ver estadísticas Rendimiento. 3 Vea las estadísticas del receptor. Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica (en las últimas 24 horas) o como advertencia (en la última hora). 4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia. 5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por número de registros. 6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación Actualizar automáticamente. 7 Para ordenar los datos, haga clic en el título de columna relevante. Orígenes de datos de receptor McAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS, NetFlow, sflow, etc. Los orígenes de datos se emplean para controlar qué datos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen los datos requeridos. La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo receptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de importarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios y cliente. Adición de un origen de datos Es necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar al receptor a fin de recopilar datos. 1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de datos y haga clic en el icono Propiedades. 2 En Propiedades de receptor, haga clic en Orígenes de datos Agregar. 3 Seleccione el proveedor y el modelo. Los campos que hay que rellenar dependen de las selecciones realizadas. 4 Rellene la información solicitada y, después, haga clic en Aceptar. El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de navegación del sistema, debajo del receptor seleccionado. 70 McAfee Enterprise Security Manager Guía del producto

71 Configuración del ESM Configuración de dispositivos 3 Procesamiento de un origen de datos mediante una captura SNMP La funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar de cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas SNMP. Las capturas estándar son: Error de autenticación Vínculo inactivo Inicio en frío Vínculo activo e Inicio en caliente Pérdida de vecino de EGP A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección de conversión IPv4. Por ejemplo, la conversión de a IPv6 tiene este aspecto: 2001:470:B:654:0:0: o 2001:470:B:654::A000:0254. Si selecciona Captura SNMP, existen tres opciones: Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP, donde podrá seleccionar el perfil que desee utilizar. Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un nuevo perfil. Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de origen de datos. Administración de orígenes de datos Es posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregar orígenes de datos secundarios y cliente en la página Orígenes de datos. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones disponibles a fin de administrarlos. 3 Haga clic en Aplicar o en Aceptar. SIEM Collector SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión cifrada. Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para que no se pueda usar WMI. El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros. Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de McAfee epolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de McAfee existentes. McAfee Enterprise Security Manager Guía del producto 71

72 3 Configuración del ESM Configuración de dispositivos Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas. Otras funciones disponibles son: Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con SQL Server y Oracle). Complemento para analizar los eventos de Windows exportados en formato.evt o.evtx. Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato.trc). Integración de datos de evaluación de vulnerabilidades La evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos que se pueden recuperar de diversos proveedores de evaluación de vulnerabilidades. Estos datos se pueden usar de varias formas. Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho evento. Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema operativo y servicios detectados). Crear y manipular la pertenencia a los grupos de activos definidos por el usuario. Acceder a información detallada y de resumen sobre los activos de la red. Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se descubre un activo que ejecuta MySQL. Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son: Vistas de panel Panel de vulnerabilidad de activos Vistas de conformidad PCI Prueba de procesos y sistemas de seguridad Análisis de vulnerabilidad de red Vistas ejecutivas Vulner. críticas en activos regulados Para crear una vista personalizada, véase Adición de una vista personalizada. Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo). El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure (CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se incluyen en esta versión. Definición de un perfil de sistema de evaluación de vulnerabilidades Cuando se agrega un origen eeye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece la opción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesario definir antes el perfil. 72 McAfee Enterprise Security Manager Guía del producto

73 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades. 2 Haga clic en Evaluación de vulnerabilidades Agregar. 3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eeye REM. 4 Haga clic en Usar perfil del sistema. 5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil. 6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil. Los campos de la página se activan según la versión seleccionada. 7 Rellene la información solicitada y haga clic en Aceptar. Adición de un origen de evaluación de vulnerabilidades A fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cada origen al sistema, configurar los parámetros de comunicación correspondientes al proveedor de evaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación de datos y modificar los cálculos de gravedad de eventos. 1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic en el icono Propiedades. 2 Haga clic en Evaluación de vulnerabilidades. 3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los cambios realizados en el dispositivo. 4 Haga clic en Aplicar o en Aceptar. Recuperación de datos de evaluación de vulnerabilidades Una vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existen dos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de forma planificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenes de evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic en Evaluación de vulnerabilidades. 2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones. McAfee Enterprise Security Manager Guía del producto 73

74 3 Configuración del ESM Configuración de dispositivos Para... Recuperar inmediatamente Planificar recuperación Haga esto... Haga clic en Recuperar. El trabajo se ejecutará en segundo plano y se le informará si la recuperación ha sido correcta (véase Solución de problemas de recuperación de evaluación de vulnerabilidades en caso contrario). 1 Haga clic en Editar. 2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccione la frecuencia. 3 Haga clic en Aceptar. 4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir los cambios en el dispositivo. 3 Haga clic en Aceptar. 4 Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager Evaluación de vulnerabilidades. y seleccione la ficha Solución de problemas de recuperación de evaluación de vulnerabilidades Cuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirse algún error. A continuación se enumeran algunas de las razones que producen errores de recuperación. Este recurso... Nessus, OpenVAS y Rapid7 Metasploit Pro Qualys, FusionVM y Rapid7 Nexpose Nessus Provoca... Directorio vacío. Error de configuración. Los datos del directorio ya se recuperaron, por lo que no están actualizados. Los datos del directorio ya se recuperaron, por lo que no están actualizados. Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de Nessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la recuperación de evaluación de vulnerabilidades, no se devuelven datos porque se perciben como datos antiguos. Para evitar esta situación, elimine el archivo de Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice un nombre distinto para el archivo que cargue. Proveedores de evaluación de vulnerabilidades disponibles El ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades. Proveedor de evaluación de vulnerabilidades Versión Digital Defense Frontline eeye REM (servidor de eventos de REM) McAfee Enterprise Security Manager Guía del producto

75 Configuración del ESM Configuración de dispositivos 3 Proveedor de evaluación de vulnerabilidades eeye Retina Versión , auditorías: 2400 El origen de evaluación de vulnerabilidades eeye Retina es similar al origen de datos Nessus. Puede elegir entre usar archivos scp, ftp, nfs o cifs para obtener los archivos.rtd. Es necesario copiar manualmente los archivos.rtd en un recurso compartido scp, ftp o nfs antes de extraerlos. Los archivos.rtd suelen estar ubicados en el directorio Scans de Retina. McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM LanGuard 10.2 Lumension ncircle Nessus NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro Saint Se puede reducir la gravedad de un exploit de Metasploit que empieza por el nombre Nexpose mediante la adición de un origen de evaluación de vulnerabilidades Rapid7 al mismo receptor. Si no se puede deducir, la gravedad predeterminada es 100. Creación automática de orígenes de datos Compatible con PatchLink Security Management Console o posterior Compatible con Tenable Nessus versiones y 4.2, así como los formatos de archivo NBE,.nessus (XMLv2) y.nessus (XMLv1); también el formato XML de OpenNessus Update 1, formato de archivo XML Es posible configurar el receptor para la creación automática de orígenes de datos mediante las cinco reglas estándar incluidas en el receptor o las reglas que se creen. Antes de empezar Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo Eventos, flujos y registros (Propiedades del sistema Eventos, flujos y registros), o bien haga clic en el icono Obtener eventos y flujos de la barra de herramientas de acciones a fin de extraer eventos, flujos o ambas cosas. McAfee Enterprise Security Manager Guía del producto 75

76 3 Configuración del ESM Configuración de dispositivos 1 En Propiedades de receptor, haga clic en Orígenes de datos Aprendizaje automático. 2 En la ventana Aprendizaje automático, haga clic en Configurar. 3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que desee que emplee el receptor para crear los orígenes de datos de forma automática. 4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático existentes y, después, haga clic en Cerrar. Adición de nuevas reglas de creación automática Es posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes de datos de forma automática. 1 En Propiedades de receptor, haga clic en Orígenes de datos Aprendizaje automático Configurar Agregar. 2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la regla y haga clic en Aceptar. La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando los datos de aprendizaje automático cumplan los criterios definidos en la regla. Establecimiento del formato de fecha para los orígenes de datos Seleccione el formato de las fechas incluidas en los orígenes de datos. 1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de datos. 2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas: Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día). Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el formato de fecha del origen de datos principal. Mes antes del día: el mes aparece antes que el día (04/23/2014). Día antes del mes: el día aparece antes que el mes (23/04/2014). 3 Haga clic en Aceptar. 76 McAfee Enterprise Security Manager Guía del producto

77 Configuración del ESM Configuración de dispositivos 3 Orígenes de datos no sincronizados Como resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder la sincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece una marca roja junto al receptor en el árbol de navegación del sistema. Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puede administrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véase Administración de orígenes de datos no sincronizados). Los eventos no sincronizados pueden ser eventos antiguos o futuros. Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM. 1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de usuario). 2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un origen de datos). 3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado. 4 Ha configurado el sistema de esa forma a propósito. 5 El sistema no está conectado a Internet. 6 El evento está desincronizado al llegar al receptor. Véase también Adición de un origen de datos en la página 70 Administración de orígenes de datos no sincronizados en la página 77 Selección de la configuración de usuario en la página 29 Administración de orígenes de datos no sincronizados Si tiene orígenes de datos que no estén sincronizados con el ESM, puede configurar una alarma para que se le notifique la generación de eventos por parte de estos orígenes de datos. Después, puede ver una lista de los orígenes de datos, editar su configuración y exportar la lista. 1 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado por un origen de datos que no está sincronizado con el ESM. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. b c d Haga clic en Alarmas Agregar, escriba la información solicitada en la ficha Resumen y haga clic en la ficha Condición. Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe existir para que se active la alarma. Rellene la información en el resto de fichas. McAfee Enterprise Security Manager Guía del producto 77

78 3 Configuración del ESM Configuración de dispositivos 2 Vea, edite o exporte los orígenes de datos que no están sincronizados. a b En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono de Propiedades. Haga clic en Administración del receptor y seleccione Diferencia de tiempo. Adición de un origen de datos secundario Es posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes de datos. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno secundario. 3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de datos principal. 4 Haga clic en Aceptar. El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en la tabla y en el árbol de navegación del sistema. Orígenes de datos cliente Es posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición de orígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF, MEF, NPP y WMI, es posible agregar hasta clientes de origen de datos. Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datos WMI y se ha seleccionado Usar RPC, esta opción no estará disponible. Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el número de puerto para diferenciarlos. Esto permite separar los datos utilizando un puerto distinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayan llegado. Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de un origen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principal u otro puerto. Los orígenes de datos cliente tienen las características siguientes: No disponen de derechos de VIPS, directiva ni agente. No aparecen en la tabla Orígenes de datos. Aparecen en el árbol de navegación del sistema. 78 McAfee Enterprise Security Manager Guía del producto

79 Configuración del ESM Configuración de dispositivos 3 Comparten la misma directiva y los mismos derechos que el origen de datos principal. Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal. Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria se determina en la consulta enviada al servidor WMI. Adición de un origen de datos cliente Puede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes de datos permitidos en el receptor. Antes de empezar Agregue el origen de datos al receptor (véase Adición de un origen de datos). 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. 2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes. La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de datos seleccionado. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo, supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP y otro con la dirección IP /24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con , se dirige al primer cliente porque es más específico. Localización de un cliente La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de ser necesario. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos Clientes. 2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar. Importación de una lista de orígenes de datos La opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardada en formato.csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de forma individual. Existen dos situaciones en las que se emplea esta opción: McAfee Enterprise Security Manager Guía del producto 79

80 3 Configuración del ESM Configuración de dispositivos Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretende hacer, véase Traslado de orígenes de datos a otro sistema. Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos existentes. Si es lo que necesita hacer, siga este procedimiento. 1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b c Haga clic en Exportar y, después, en Sí para confirmar la descarga. Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. Se guardará la lista de orígenes de datos existentes. d Acceda a este archivo y ábralo. Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos). 2 Agregue, edite o elimine orígenes de datos en esta lista. a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar, editar o quitar. b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja de cálculo. No es posible editar la directiva ni el nombre del origen de datos. c Guarde los cambios realizados en la hoja de cálculo. No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario. 3 Importe la lista al receptor. a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos. b Haga clic en Importar, seleccione el archivo y haga clic en Cargar. No es posible cambiar la directiva ni el nombre del origen de datos. Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo. c Para importar los cambios, haga clic en Aceptar. Los cambios con el formato correcto se agregarán. d e Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes. Haga clic en Descargar todo el archivo y, después, en Sí. 80 McAfee Enterprise Security Manager Guía del producto

81 Configuración del ESM Configuración de dispositivos 3 f g Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y haga clic en Guardar. Abra el archivo descargado. En él se indican los orígenes de datos con errores. h i Corrija los errores y, después, guarde y cierre el archivo. Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en Importar y seleccione el archivo guardado. En Importar orígenes de datos se indican los orígenes de datos corregidos. j Haga clic en Aceptar. Campos de la hoja de cálculo para la importación de orígenes de datos La hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunas de las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos. Campos obligatorios para todos los orígenes de datos Columna Descripción op Operación que hay que realizar en el origen de datos Detalles Introduzca una de estas funciones en la columna op: adición = Agregar un origen de datos. editar = Modificar un origen de datos existente. eliminación = Eliminar sin volver a asignar. Si esta columna se deja en blanco, no se realiza ninguna acción en el origen de datos. rec_id ID de receptor Este número de ID de dispositivo se puede consultar en la página Nombre y descripción del receptor. dsname Nombre del origen de datos Debe ser exclusivo en el receptor. McAfee Enterprise Security Manager Guía del producto 81

82 3 Configuración del ESM Configuración de dispositivos Campos utilizados por todos los orígenes de datos Columna Descripción Detalles ip Dirección IP válida del origen de datos Es obligatoria excepto si el protocolo es "corr". Solo se lleva a cabo la validación para los orígenes de datos activados. Exclusiones: Protocolos: cifs, nfs, ftp, scp y http Recopilador: "curl" o "mount" SNMPTrap: no válido si otros orígenes de datos usan capturas SNMP y el valor de IPAddress coincide nfxsql: no válido si se encuentra la combinación de IPAddress, "dbname" y "port" netflow u opsec: no válidos si se encuentra la combinación de IPAddress y "port" mef es el recopilador (si el analizador es mef, el recopilador es mef de forma automática): no es válido si se encuentran mef y el protocolo model (modelo) vendor (proveedor) parent_id child_type match_type parsing ID del origen de datos principal Tipo de elemento secundario de origen de datos Coincidencia de cliente Indicador de activación del origen de datos La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). La entrada debe coincidir exactamente, excepto en el caso de los clientes con MatchByFlag = 1 (coincidencia según IPAddress). Necesario si se trata de un agente o un cliente. Si este ID es un nombre, se intenta encontrar el elemento principal del origen de datos con este nombre que sea un elemento secundario del receptor especificado. Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 = cliente Obligatoria cuando se agregan o editan orígenes de datos: 1 = coincidencia por dirección IP, 2 = coincidencia por tipo de terceros. Indicador de activación (yes/no); el valor predeterminado es yes. Campos utilizados por orígenes de datos que no son clientes Columna Descripción Detalles snmp_trap_id ID de perfil de la captura SNMP El valor predeterminado es 0. elm_logging Registrar en ELM (yes/no) El valor predeterminado es no. pool Nombre del grupo de ELM El valor predeterminado es en blanco. meta-vendor meta-product meta_version El valor predeterminado es en blanco. El valor predeterminado es en blanco. El valor predeterminado es en blanco. url URL de detalles de evento El valor predeterminado es en blanco. 82 McAfee Enterprise Security Manager Guía del producto

83 Configuración del ESM Configuración de dispositivos 3 Columna Descripción Detalles parser collector Método de análisis del formato de datos Método de recuperación de datos El valor predeterminado es Predeterminado. El valor predeterminado es Predeterminado. Si parser es mef, collector se define como mef. Se pueden emplear scp, http, ftp, nfs y cifs si el formato de archivo plano es compatible con el protocolo. Campos obligatorios si el formato es CEF o MEF Columna Descripción Detalles encrypt hostname Marca de cifrado del origen de datos Nombre o ID de host aggregate Retransmisión de syslog El valor predeterminado es F. También se usa si Format (Formato) es Default (Predeterminado), Retrieval (Recuperación) es mef (mef) y Protocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismo para todos los MEF con la misma dirección IP. El valor predeterminado es en blanco. Es opcional si Protocolo es gsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas. Los valores válidos son en blanco y syslogng (syslogng). El valor predeterminado es en blanco. También se usa si Format (Formato) es Default (Predeterminado), Retrieval (Recuperación) es Default (Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog). tz_id ID de zona horaria El valor predeterminado es en blanco. También se emplea si el Formato es Predeterminado y se cumple alguna de estas condiciones: El Protocolo es syslog y el Modelo no es Adiscon Windows Events. El Protocolo es nfxsql. El Protocolo es nfxhttp. El Protocolo es correo electrónico. El Protocolo es estream. También se usa para la compatibilidad con algunos formatos de archivo plano. Otros campos Columna Descripción Detalles profile_id Nombre o ID del perfil El valor predeterminado es en blanco. Si el nombre del perfil no puede encontrar el registro del perfil, se registra un error. exportmcafeefile exportprofileid mcafee_formated_file Indicador de transporte del origen de datos Nombre de perfil del recurso compartido remoto Indicador de análisis de datos sin procesar mcafee_formated_file_xsum Usar el indicador de suma de comprobación mcafee_formated_file_ipsid El ID original de Nitro IPS El valor predeterminado es no. En caso de usar yes, el origen de datos se incluye en el transporte de origen de datos. El valor predeterminado es en blanco. El valor predeterminado es no. Si se utiliza yes, el método de análisis emplea el archivo de datos sin procesar. El valor predeterminado es no. Si el valor es yes, use la suma de comprobación antes de analizar el archivo de datos sin procesar. Obligatoria si se emplea el archivo de datos sin procesar. McAfee Enterprise Security Manager Guía del producto 83

84 3 Configuración del ESM Configuración de dispositivos Columna Descripción Detalles zoneid Nombre de la zona El valor predeterminado es en blanco. Policy_Name Nombre o ID de la directiva El valor predeterminado es en blanco. Solo se usa cuando se agregan orígenes de datos nuevos. Este valor no se actualiza en una operación de edición. Campos validados para protocolos específicos El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default (Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF (MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan según el protocolo especificado en caso de no indicarse el perfil. Tabla 3-2 Campos de Netflow Inicio en columna AF Columna Descripción Detalles netflow_port El valor predeterminado es netflow_repeat_enabled Reenvío activado El valor predeterminado es F. netflow_repeat_ip Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valor predeterminado es en blanco. netflow_repeat_port Puerto de reenvío El valor predeterminado es Tabla 3-3 Campos de rdep Inicio en columna AJ Columna Descripción Detalles rdep_sdee_username rdep_sdee_password rdep_sdee_interval Obligatoria. Obligatoria. Tabla 3-4 Campos de Opsec Inicio en columna AM Columna Descripción Detalles opsec_parent opsec_authentication Indicador de principal (tipo de dispositivo) Indicador de uso de autenticación El valor predeterminado es 60 segundos. Obligatoria (T/F). T = el origen de datos es principal. F = el origen de datos no es principal. Se emplea si el principal es T; el valor predeterminado es F. opsec_appname Nombre de aplicación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_actkey Clave de activación Obligatoria si authentication = T, opcional si es F; el valor predeterminado es en blanco. opsec_parent_id opsec_port opsec_encryption Nombre del elemento principal del origen de datos Indicador de uso de cifrado El nombre del elemento principal es necesario si parent = F. Se registra un error si el nombre del elemento principal del origen de datos no puede encontrar el origen de datos principal. Se emplea si el principal es T; el valor predeterminado es Se emplea si el principal es T; el valor predeterminado es F. 84 McAfee Enterprise Security Manager Guía del producto

85 Configuración del ESM Configuración de dispositivos 3 Tabla 3-4 Campos de Opsec Inicio en columna AM (continuación) Columna Descripción Detalles opsec_comm_method opsec_server_entity_dn Método de comunicación Nombre distintivo de entidad de servidor opsec_collect_audit_events Tipo de recopilación de OPSEC "Eventos de auditoría" opsec_collect_log_events Marca de tipo de recopilación de eventos de eventos de registro Se emplea si el principal T; el valor predeterminado es en blanco. Debe ser un valor válido: '' (en blanco) "asym_sslca" "asym_sslca_com p" "asym_sslca_rc4" "asym_sslca_rc4_ comp" "ssl_clear" "sslca" "sslca_clear" "sslca_comp" "sslca_rc4" "sslca_rc4_comp" El valor predeterminado es en blanco. Se emplea si el principal es T. Obligatoria si el tipo de dispositivo es servidor de registro/clm o SMS/CMA secundario. Se emplea si el principal es T; el valor predeterminado es "yes". Se emplea si el principal es T; el valor predeterminado es "yes". opsec_type Tipo de dispositivo Obligatorio. Los valores válidos para este campo son: Valor Nombre en lista desplegable del cliente ligero 0 SMS/CMA 1 Dispositivo de seguridad 2 Servidor de registro/clm 3 SMS/CMA secundario Tabla 3-5 Campos de WMI Inicio en columna AY Columna Descripción Detalles wmi_use_rpc Marca de uso de RPC El valor predeterminado es no. wmi_logs Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY. wmi_nbname Nombre de NetBIOS Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_username Nombre de usuario Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_password Contraseña Obligatoria si Recuperación = Predeterminado; de lo contrario, es opcional. El valor predeterminado es en blanco. wmi_interval El valor predeterminado es 600. wmi_version El valor predeterminado es 0. McAfee Enterprise Security Manager Guía del producto 85

86 3 Configuración del ESM Configuración de dispositivos Tabla 3-6 Campos de gsyslog Inicio en columna BF Columna Descripción Detalles gsyslog_autolearn Marca de compatibilidad con syslogs genéricos Los valores válidos son: T, F, RECUENTO. El valor predeterminado es F. gsyslog_type Asignación de regla genérica Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es gsyslog_mask Tabla 3-7 Campo de corr Columna BI Se usa si Recuperación = Predeterminado. El valor predeterminado es 0. Columna Descripción corr_local Marca de uso de datos locales Detalles El valor predeterminado es F. Si el modelo de receptor es ERC-VM-25 o ERC-VM-500, el origen de datos no se agrega. De lo contrario, no puede haber otros orígenes de datos que empleen este protocolo. Tabla 3-8 Campos de sdee Inicio en columna BJ Columna sdee_username sdee_password sdee_uri sdee_interval Descripción Detalles Obligatoria. Obligatoria. El valor predeterminado es cgi-bin/sdee-server. El valor predeterminado es 600 segundos. sdee_port El valor predeterminado es 443. sdee_proxy_port El valor predeterminado es sdee_use_ssl El valor predeterminado es T. sdee_proxy_ip sdee_proxy_username sdee_proxy_password Obligatoria si use_proxy = T. El valor predeterminado es en blanco. Obligatoria si use_proxy = T. El valor predeterminado es en blanco. Obligatoria si use_proxy = T. El valor predeterminado es en blanco. sdee_use_proxy El valor predeterminado es F. Tabla 3-9 Campos de mssql Inicio en columna BU Columna Descripción Detalles mssql_parent Tipo de dispositivo El valor predeterminado es T. Servidor = T. Dispositivo gestionado = F mssql_port mssql_interval mssql_username mssql_password mssql_parent_id Nombre del elemento principal Se emplea si el principal = T. El valor predeterminado es Se emplea si el principal = T. El valor predeterminado es 600 segundos. Obligatoria si el principal = T. El valor predeterminado es en blanco. Obligatoria si el principal = T. El valor predeterminado es en blanco. Se requiere si parent = F. Se registra un error si el nombre del principal no puede encontrar el origen de datos. 86 McAfee Enterprise Security Manager Guía del producto

87 Configuración del ESM Configuración de dispositivos 3 Tabla 3-10 Campos de syslog Inicio en columna CA Columna Descripción Detalles syslog_untrust_iface syslog_burb syslog_sg_mc syslog_nsm syslog_wmi_syslog_format syslog_wmi_version syslog_aruba_version Interfaz de menos confianza Nombre de grupo de interfaces de Internet Marca de centro de administración Marca de administrador de seguridad Obligatoria si el Proveedor es CyberGuard. Obligatoria si el Proveedor es McAfee y el Modelo es McAfee Firewall Enterprise. Opcional si el Proveedor es Stonesoft Corporation; el valor predeterminado es no. Opcional si el Proveedor es Juniper Networks y el modelo es Netscreen Firewall/Security Manager o Netscreen IDP; el valor predeterminado es no. Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es 0. Opcional si el Proveedor es Microsoft y el modelo es Adiscon Windows Events; el valor predeterminado es Windows Opcional si el Proveedor es Aruba; el valor predeterminado es 332. syslog_rev_pix_dir Invertir valores de red Opcional si el Proveedor es Cisco y el modelo es PIX/ASA o Firewall Services Module; el valor predeterminado es no. syslog_aggregate Retransmisión de syslog Los valores válidos son en blanco y Proveedor. El valor predeterminado es en blanco. syslog_require_tls T/F Indica si se está usando TLS para este origen de datos. syslog_syslog_tls_port syslog_mask Máscara de dirección IP El puerto que se debe usar para TLS si se utiliza con syslog. (Opcional) Permite aplicar una máscara a una dirección IP de forma que se acepte un intervalo de direcciones IP. Un cero (0) en el campo significa que no se usa ninguna máscara. El valor predeterminado es 0. McAfee Enterprise Security Manager Guía del producto 87

88 3 Configuración del ESM Configuración de dispositivos Tabla 3-11 Campos de nfxsql Inicio en columna CM Columna Descripción Detalles nfxsql_port El valor predeterminado depende del proveedor y el modelo: Predeterminado Proveedor Modelo 9117 Enterasys Networks Dragon Sensor o Dragon Squire 1433 IBM ISS Real Secure Desktop Protector, ISS Real Secure Network o ISS Real Secure Server Sensor 1433 McAfee epolicy Orchestrator, firewall de epolicy Orchestrator o sistema de prevención de intrusiones en host de epolicy Orchestrator 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 Otros nfxsql_userid nfxsql_password nfxsql_dbname nfxsql_splevel nfxsql_version Nombre de la base de datos Nivel de Service Pack Obligatoria. Obligatoria. (Opcional) El valor predeterminado es en blanco. Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector), ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure Server Sensor (ISS Real Secure Server Sensor). El valor predeterminado es SP4 (SP4). (Opcional) El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es McAfee y Model (Modelo) es epolicy Orchestrator, Firewall de epolicy Orchestrator o Host IPS de epolicy Orchestrator. nfxsql_logtype nfxsql_sid Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA, GA o ambas). SID de base de datos Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor predeterminado es en blanco. 88 McAfee Enterprise Security Manager Guía del producto

89 Configuración del ESM Configuración de dispositivos 3 Tabla 3-12 Campos de nfxhttp Inicio en columna CU Columna Descripción Detalles nfxhttp_port El valor predeterminado es 433. nfxhttp_userid Obligatoria. nfxhttp_password Obligatoria. nfxhttp_mode El valor predeterminado es secure. Tabla 3-13 Campos de Inicio en columna CY Columna Descripción Detalles _port El valor predeterminado es _mailbox Protocolo de correo El valor predeterminado es imap pop3. _connection Tipo de conexión El valor predeterminado es ssl clear. _interval El valor predeterminado es 600 segundos. _userid Obligatoria. _password Obligatoria. Tabla 3-14 Campos de estream Inicio en columna DE Columna Descripción Detalles Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación, de forma que actualmente se omiten. jestream_port jestream_password jestream_estreamer_cert_file jestream_collect_rna El valor predeterminado es 993. Obligatoria. Obligatoria. Tabla 3-15 Campos de origen de archivos Inicio en columna DI Columna Descripción Detalles Se emplea para los protocolos cifs, ftp, http, nfs y scp. fs_record_lines Número de líneas por registro Se usa si existe compatibilidad con formato de archivo plano. El valor predeterminado es 1. fs_file_check Intervalo El valor predeterminado es 15 minutos. fs_file_completion fs_share_path fs_filename Expresión comodín Obligatoria. fs_share_name fs_username fs_password fs_encryption El valor predeterminado es 60 segundos. El valor predeterminado es en blanco. Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se usa). Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. Se emplea si el Protocolo es cifs, ftp o scp. El valor predeterminado es en blanco. Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. McAfee Enterprise Security Manager Guía del producto 89

90 3 Configuración del ESM Configuración de dispositivos Tabla 3-15 Campos de origen de archivos Inicio en columna DI (continuación) Columna Descripción Detalles fs_port fs_verify_cert fs_compression Verificar certificado SSL Se emplea si el Protocolo es ftp; el valor predeterminado es 990. Se emplea si el Protocolo es http; el valor predeterminado es 443. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. El valor predeterminado es 80. Se emplea si el Protocolo es ftp o http. El valor predeterminado es no. También se usa si hay compatibilidad con formato de archivo plano y el Protocolo es ftp. Se emplea si el Protocolo es scp o sftp. El valor predeterminado es no. fs_login_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_copy_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1 segundo. fs_wmi_version fs_aruba_version fs_rev_pix_dir fs_untrust_iface fs_burb fs_nsm fs_autolearn fs_type fs_binary fs_protocol fs_delete_files Invertir valores de red Interfaz de menos confianza Nombre de grupo de interfaces de Internet Marca de administrador de seguridad Admitir syslogs genéricos Asignación de regla genérica Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Microsoft y el Modelo es Adiscon Windows Events. El valor predeterminado es Windows Se emplea si hay compatibilidad con formato de archivo plano y el Proveedor es Aruba. El valor predeterminado es 332. Se emplea si hay compatibilidad con formato de archivo plano, el Proveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module. El valor predeterminado es no. Obligatoria si hay compatibilidad con formato de archivo plano y el Proveedor es CyberGuard. Obligatoria si hay compatibilidad con formato de archivo plano, el Proveedor es McAfee y el Modelo es McAfee Firewall Enterprise. Opcional si hay compatibilidad con formato de archivo plano, el Proveedor es Juniper Networks y el Modelo es Netscreen Firewall/ Security Manager o Netscreen IDP. El valor predeterminado es no. Opcional si hay compatibilidad con formato de archivo plano y la Recuperación es gsyslog. Los valores válidos son: T, F y RECUENTO. El valor predeterminado es F. Obligatoria si autolearn = T; de lo contrario es opcional. El valor predeterminado es El valor predeterminado es no. Tabla 3-16 Campos de sql_ms Inicio en columna EH Columna Descripción Detalles El valor predeterminado es ''. Se emplea si el analizador es el predeterminado y el recopilador es un origen de archivos nfs. sql_ms_port El valor predeterminado es sql_ms_userid sql_ms_password sql_ms_dbname Nombre de la base de datos Obligatoria. Obligatoria. 90 McAfee Enterprise Security Manager Guía del producto

91 Configuración del ESM Configuración de dispositivos 3 Tabla 3-17 Campo de nas Columna EL Columna Descripción Detalles nas_type Tabla 3-18 Campo de ipfix Columna EM El valor predeterminado es (Definido por el usuario 1). Este campo solo se utiliza para orígenes de datos de McAfee/PluginProtocol. Columna ipfix_transport Descripción Detalles Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminado es TCP. Tabla 3-19 Campos de snmp Inicio en columna EN Columna Descripción Detalles snmp_authpass Contraseña de autenticación Obligatoria si: traptype = v3trap y seclevel = authpriv o authnopriv. traptype = v3inform y seclevel = authpriv o authnopriv. snmp_authproto Protocolo de autenticación Los valores válidos son MD5 o SHA1. Obligatoria si: traptype = v3trap y seclevel = authpriv o authnopriv. traptype = v3inform y seclevel = authpriv o authnopriv con otros tipos de capturas. El valor predeterminado es MD5. snmp_community Nombre de comunidad snmp_engineid snmp_privpass Contraseña de privacidad Obligatoria si traptype = v1trap, v2trap, v2inform. Obligatoria si traptype = v3trap. Obligatoria si: traptype = snmpv3trap y seclevel = authpriv. traptype = snmpv3inform y seclevel = authpriv. snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si: traptype = snmpv3trap y seclevel = authpriv. traptype = snmpv3inform y seclevel = authpriv. Para otros tipos de traptype, el valor predeterminado es DES. snmp_seclevel Nivel de seguridad Los valores válidos son: noauthnopriv, authnopriv y authpriv. Obligatoria si traptype = v3trap o v3inform. Para otros tipos de traptype, el valor predeterminado es noauthnopriv. snmp_traptype snmp_username type snmp_version Asignación de regla predeterminada Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform, v3trap y v3inform. Obligatoria si traptype = snmpv3 o snmpv3inform. Obligatoria. El valor predeterminado es Se rellena automáticamente. McAfee Enterprise Security Manager Guía del producto 91

92 3 Configuración del ESM Configuración de dispositivos Tabla 3-20 sql_ws Inicio en columna EY Columna Descripción Detalles sql_ws_port sql_ws_userid sql_ws_password sql_ws_dbname sql_ws_db_instance Nombre de instancia de la base de datos Tabla 3-21 sql Inicio en columna FD (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es Obligatoria. Obligatoria. (Opcional) El valor predeterminado es en blanco. Obligatoria. Columna Descripción Detalles sql_port sql_userid sql_password sql_dbinstance sql_config_logging sql_protocol sql_dbname Puerto utilizado para conectar con la base de datos ID de usuario de la base de datos Contraseña de la base de datos Nombre de la instancia de la base de datos Nombre de la base de datos Tabla 3-22 oracleidm Inicio en columna FK Los valores válidos son 0 (para Base de datos de SQL Server Express) y 1 (para Base de datos SQL) Si el valor de sql_config_logging es 1, el de esta columna es gsql. Columna Descripción Detalles oracleidm_port oracleidm_userid oracleidm_password Puerto usado para conectar con la base de datos de Oracle Identity Manager. ID de usuario de la base de datos de Oracle Identity Manager. Contraseña de la base de datos de Oracle Identity Manager oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager oracleidm_dpsid Nombre TNS de la conexión utilizada Tabla 3-23 text Inicio en columna FP Columna Descripción Detalles Estos campos se utilizan con el origen de datos epolicy Orchestrator. text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos de epolicy Orchestrator. text_dbname text_password text_port text_userid Nombre de la base de datos de epolicy Orchestrator Contraseña de la base de datos de epolicy Orchestrator Puerto utilizado para conectar con la base de datos de epolicy Orchestrator ID de usuario de la base de datos de epolicy Orchestrator 92 McAfee Enterprise Security Manager Guía del producto

93 Configuración del ESM Configuración de dispositivos 3 Tabla 3-24 gsql Inicio en columna FU Columna Descripción Detalles gsql_port gsql_userid gsql_password gsql_dbname gsql_db_instance Nombre de instancia de la base de datos (Opcional) El valor predeterminado depende del proveedor. El valor predeterminado para Websense es Obligatoria. Obligatoria. (Opcional) El valor predeterminado es en blanco. Obligatoria. gsql_nsmversion Versión de NSM Obligatoria. Si se deja en blanco, el valor predeterminado es la versión 6.x. Migración de orígenes de datos a otro receptor Es posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema. Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar los orígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevo receptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos del receptor actual al nuevo. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al receptor y haga clic en Orígenes de datos. 2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar. 3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar. Traslado de orígenes de datos a otro sistema A fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesario seleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar en una ubicación remota y finalmente importarlos al otro receptor. Antes de empezar Para llevar a cabo esta función es necesario disponer de derechos de administración de dispositivos en ambos receptores. Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación segura a un receptor situado en una ubicación no segura. Existen limitaciones a la hora de exportar información de orígenes de datos: McAfee Enterprise Security Manager Guía del producto 93

94 3 Configuración del ESM Configuración de dispositivos No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sflow). Los eventos de origen de los eventos correlacionados no se muestran. Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde el archivo. Para... Seleccionar los orígenes de datos y la ubicación remota Haga esto... 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Origen de datos. 2 Seleccione el origen de datos y haga clic en Editar. 3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile. Los datos se exportarán a una ubicación remota y se configurarán mediante un perfil. 4 Haga clic en Aceptar. A partir de este momento, los datos sin procesar generados por este origen de datos se copiarán en la ubicación remota. Crear el archivo de datos sin procesar Crear un archivo que describa los orígenes de datos 1 Acceda a la ubicación remota donde están almacenados los datos sin procesar. 2 Guarde los datos sin procesar generados en una ubicación que permita mover el archivo al segundo receptor (como una memoria extraíble que se pueda transportar a la ubicación no segura). 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Origen de datos Importar. 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil. 4 Haga clic en Aceptar. Los orígenes de datos se agregarán al segundo receptor y se accederá a los datos sin procesar a través del perfil de recurso compartido remoto. Importar archivos de datos sin procesar y archivos de orígenes de datos 1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo receptor y haga clic en Importar. 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página Importar orígenes de datos muestra los orígenes de datos que se importarán. 3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de recurso compartido remoto y agregue el perfil (véase Configuración de perfiles). 4 Haga clic en Aceptar. Administración del aprendizaje automático de orígenes de datos Es posible configurar el ESM para el aprendizaje automático de direcciones IP. Antes de empezar Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase Configuración de interfaces). 94 McAfee Enterprise Security Manager Guía del producto

95 Configuración del ESM Configuración de dispositivos 3 El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de orígenes de datos. Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras ella a fin de recopilar los resultados de nuevo. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en Orígenes de datos Aprendizaje automático. 2 Defina la configuración según proceda y haga clic en Cerrar. Visualización de los archivos generados por los orígenes de datos A fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Ver archivos. No es posible acceder a ellos mediante una vista de ESM. 1 En el árbol de navegación del sistema, seleccione el origen de datos de McAfee. 2 En la barra de herramientas de acciones, haga clic en el icono Ver archivos. 3 Siga uno de estos procedimientos: Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivo concreto. Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos generados durante ese intervalo. Haga clic en Actualizar para actualizar la lista de archivos. Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo. 4 Haga clic en Cancelar para cerrar la página. Tipos de orígenes de datos definidos por el usuario En esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada, que se muestra en el editor de orígenes de datos. ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas User Defined 1 N/D syslog UserDefined1_ Generic User Defined 2 N/D syslog UserDefined2_ Generic User Defined 3 N/D syslog UserDefined3_ Generic User Defined 4 N/D syslog UserDefined4_ Generic User Defined 5 N/D syslog UserDefined5_ Generic User Defined 6 N/D syslog UserDefined6_ Generic User Defined 7 N/D syslog UserDefined7_ Generic User Defined 8 N/D syslog UserDefined8_ Generic McAfee Enterprise Security Manager Guía del producto 95

96 3 Configuración del ESM Configuración de dispositivos ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de regla Tipo de editor de reglas User Defined 9 N/D syslog UserDefined9_ Generic User Defined 10 N/D syslog UserDefined10_ Generic Orígenes de datos admitidos McAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptores pueden tener un máximo de 2000, 200 o 50 orígenes de datos. Para consultar la lista de orígenes de datos compatibles actualmente, véase https://kc.mcafee.com/ corporate/index?page=content&id=pd Estos dispositivos pueden tener 2000 orígenes de datos asociados: ERC-1225 ENMELM-5600 ERC-1250 ENMELM-5750 ERC-2230 ENMELM-6000 ERC-2250 ELMERC-2230 ERC-2600 ELMERC-2250 ERC-3450 ELMERC-2600 ERC-4245 ELMERC-4245 ERC-4600 ELMERC-4600 ENMELM-2250 ESMREC-4245 ENMELM-4245 ESMREC-5205 ENMELM-4600 ESMREC-5510 ENMELM-5205 El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200. Estas son las correspondencias de los intervalos de orígenes de datos: Tipos de orígenes de datos: Tipos definidos por el usuario: Reservado para McAfee (por ejemplo, grupos de reglas): Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de datos de McAfee. Configuración para orígenes de datos específicos Algunos orígenes de datos requieren más información y opciones de configuración especiales. Véanse las secciones siguientes en este apéndice para obtener detalles al respecto. Check Point Big Fix IBM Internet Security Systems SiteProtector Formato de evento común McAfee epolicy Orchestrator ArcSight 96 McAfee Enterprise Security Manager Guía del producto

97 Configuración del ESM Configuración de dispositivos 3 epolicy Orchestrator 4.0 Security Device Event Exchange NSM-SEIM Analizador de syslog avanzado Compatibilidad con la retransmisión de syslog Registro de eventos de WMI Adiscon WMI Event Log WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según la definición de Distributed Management Task Force (DMTF). Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite el uso compartido de la información de administración por parte de las aplicaciones de administración. La capacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMI resulte útil. WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función. Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos. El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows. De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la tabla de eventos. Se necesitan privilegios de administrador u operador de copia de seguridad para los registros de eventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos como el usuario están correctamente configurados (véase Configuración para la extracción de registros de seguridad de Windows). Se admiten estos dispositivos adicionales del origen de datos de WMI: McAfee Antivirus Microsoft SQL Server Windows RSA Authentication Manager Microsoft ISA Server Symantec Antivirus Microsoft Active Directory Microsoft Exchange Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte Configuración de Adiscon. Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log. Configuración para la extracción de registros de seguridad de Windows Cuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración pueden extraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y el usuario estén bien configurados. McAfee Enterprise Security Manager Guía del producto 97

98 3 Configuración del ESM Configuración de dispositivos 1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de eventos. 2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows. 3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos). 4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar. Origen de datos de correlación Un origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patrones sospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones e inserta estas alertas en la base de datos de alertas del receptor. Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva de correlación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes y distintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican su comportamiento. Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a la configuración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación de un receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de base de la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizados para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas y establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre la directiva de correlación, consulte Reglas de correlación. Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es Correlation Engine. Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del receptor. 98 McAfee Enterprise Security Manager Guía del producto

99 Configuración del ESM Configuración de dispositivos 3 Asociación de gravedades y acciones Los parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos es asociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema. severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor gravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, el dispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno y diez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar como gravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedente de McAfee IntruShield que muestra la gravedad en forma de texto. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la asociación de gravedad está en negrita solo para resaltarla): alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+ ([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un formato que se puede utilizar. setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la gravedad. Todos los modificadores de setparm funcionan de esta forma. action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from port ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+(\s+)(\s+(\s+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones que se pueden utilizar. 0 = nulo 20 = detención 1 = paso 21 = Detección 2 = rechazo 22 = De confianza 3 = supresión 23 = No fiable 4 = sdrop 24 = Falso positivo 5 = alerta 25 = alerta-rechazo 6 = predeterminado 26 = alerta-supresión 7 = fallo 27 = alerta-sdrop McAfee Enterprise Security Manager Guía del producto 99

100 3 Configuración del ESM Configuración de dispositivos 8 = correcto 28 = reinicio 9 = error 29 = bloqueo 10 = emergencia 30 = limpieza 11 = crítico 31 = limpieza-error 12 = advertencia 32 = continuación 13 = informativo 33 = infectado 14 = depuración 34 = movimiento 15 = estado 35 = movimiento-error 16 = adición 36 = cuarentena 17 = modificación 37 = cuarentena-error 18 = eliminación 38 = eliminación-error 19 = inicio 39 = denegado En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema interpreta como Error. A continuación se ofrece un desglose de la estructura de una regla. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (if you need it); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Analizador de syslog avanzado El analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidos en mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP cómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones. El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la página Agregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente los mensajes o interprete completamente puntos de datos relacionados con los eventos recibidos. También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX. Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas para su entorno Linux o UNIX. Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la dirección IP del receptor. Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar datos de eventos de forma genérica. Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor. La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea un formato muy similar al de Snort. 100 McAfee Enterprise Security Manager Guía del producto

101 Configuración del ESM Configuración de dispositivos 3 ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) Al concatenar un valor literal con una subcaptura de PCRE en las versiones y posteriores, coloque los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las referencias a subcapturas de PCRE sin entrecomillar. Las reglas se definen como sigue. Sección Campo Descripción Encabezado de regla El encabezado de la regla contiene la acción Alert y el formato any any any. La regla es: ALERT any any any -> any any Acción Qué hacer con el evento cuando se produzca una coincidencia. Las opciones son: ALERT: registrar el evento DROP: registrar el evento pero no reenviarlo SDROP: no registrar el evento ni reenviarlo PASS: reenviarlo si se ha definido, pero no registrarlo Cuerpo de la regla Protocol Src/Dst IP Src/Dst Port msg content procname adsid sid Si el evento define un protocolo, se filtra la coincidencia efectiva en función del protocolo. Si el evento define una dirección IP de origen o destino, se filtra la coincidencia efectiva en función de la dirección. Si el evento define un puerto de origen o destino, se filtra la coincidencia efectiva en función del puerto. El cuerpo de la regla contiene la mayoría de los criterios de coincidencia y define cómo se deben analizar y registrar los datos en la base de datos de ESM. Los elementos del cuerpo de la regla se definen mediante pares de palabra clave-opción. Algunas palabras clave no tienen opción. (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadena mostrada en el cliente ligero de ESM con fines de generación de informes a menos que se omita mediante un mensaje pcre/setparm detectado (véase más adelante). La primera tarea de msg es el nombre de la categoría seguido por el mensaje en sí (msg: "mensaje de regla de categoría"). (Opcional, una o varias instancias) La palabra clave content es un calificador de texto sin caracteres comodín para el filtrado previo de eventos a medida que pasan por el grupo de reglas y que puede contener espacios (por ejemplo, content: "búsqueda 1"; content "algo más"). En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID) forma parte de un encabezado de mensaje syslog estandarizado. La palabra clave procname se puede utilizar a fin de filtrar las coincidencias de eventos para la regla. Se emplea para excluir o filtrar coincidencias de eventos en las que dos procesos de un servidor Linux o UNIX pueden tener un texto de mensaje idéntico o similar. El ID de origen de datos que utilizar. Este valor omite el de Asignación de regla predeterminada del editor de orígenes de datos. ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente ligero de ESM a menos que se omita mediante un sid pcre/setparm detectado. McAfee Enterprise Security Manager Guía del producto 101

102 3 Configuración del ESM Configuración de dispositivos Sección Campo Descripción Etiqueta rev severity pcre nocase nomatch raw setparm Descripción Revisión de la regla. Se emplea para rastrear los cambios. Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se asigna a los eventos que coinciden con la regla. La palabra clave PCRE es una expresión regular compatible con Perl que se compara con los eventos entrantes. La palabra clave PCRE se delimita mediante comillas, y todas las apariciones de "/" se consideran caracteres normales. El contenido entre paréntesis se reserva para el uso de la palabra clave setparm. La palabra clave PCRE puede modificarse mediante las palabras clave nocase, nomatch, raw y setparm. Hace que el contenido de PCRE provoque coincidencia aunque el uso de mayúsculas y minúsculas no sea igual. Invierte la coincidencia de PCRE (equivale a!~ en Perl). Compara la PCRE con todo el mensaje de syslog, incluidos los datos del encabezado (función, daemon, fecha, host/ip, nombre de proceso e ID de proceso). Normalmente, el encabezado no se utiliza en la coincidencia de PCRE. Puede aparecer más de una vez. A cada conjunto de paréntesis de la PCRE se le asigna un número por orden de aparición. Esos números se pueden asignar a etiquetas de datos (por ejemplo: setparm:username=1). Se toma el texto capturado en el primer conjunto de paréntesis y se asigna a la etiqueta de datos de nombre de usuario. Las etiquetas reconocidas se enumeran en la tabla siguiente. * sid Este parámetro capturado omite el sid de la regla coincidente. * msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente. * action Este parámetro capturado indica qué acción realizó el dispositivo de terceros. * protocol * src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada para un evento. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid Se emplea para modificar el sid almacenado en la base de datos, que se usa para las coincidencias de snort ajenas a McAfee en los preprocesadores snort. * url Reservada y sin uso por ahora. * src_username Primer nombre de usuario/nombre de usuario de origen. * username Nombre alternativo para src_username. * dst_username Segundo nombre de usuario/nombre de usuario de destino. * domain * hostname * application 102 McAfee Enterprise Security Manager Guía del producto

103 Configuración del ESM Configuración de dispositivos 3 Etiqueta Descripción * severity Debe ser un número entero. * action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted)\s +password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones para obtener detalles. * severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee. Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted)\s+password\s+for\s+(\s+)\s+from\s+ (\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?: \x3d \x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones para obtener detalles. * var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que capture solo una pequeña porción de la cadena en lugar de una PCRE larga con varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de usuario y un dominio, además de crear una dirección de correo electrónico a fin de almacenarla en el campo objectname. Sintaxis = var:field=${pcre:capture} PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos PCRE, sería la PCRE 1 o 2. Captura = no la captura real, sino su número (primera, segunda o tercera captura [1,2,3]). Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee. PCRE: (Jim).*?(McAfee) Regla: alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; raw; classtype:unknown; adsid:190; sev: 25; sid: ; rev:1; normid: ; gensys:t;) Usuario de origen asignado: Jim Dominio asignado: McAfee objectname asignado: * sessionid Se trata de un entero. * commandname Se trata de un valor de cadena. * objectname Se trata de un valor de cadena. * event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puede usar event_action y action_map en la misma regla. Por ejemplo, si obtiene un evento a partir de un inicio de sesión correcto, podría utilizar la etiqueta event_action y hacer que la acción de inicio de sesión correcto sea la predeterminada (por ejemplo, event_action:8;). McAfee Enterprise Security Manager Guía del producto 103

104 3 Configuración del ESM Configuración de dispositivos Etiqueta Descripción * firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos. * lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos. Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o setparm:lasttime="1"). Por ejemplo: alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h: %M:%S.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) Para conocer los formatos admitidos actualmente, véase pubs.opengroup.org/onlinepubs/ /functions/strptime.html a fin de obtener más detalles. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y es el año con cuatro dígitos %m es el número correspondiente al mes (1-12) %d es la fecha (1-31) %H corresponde a la hora (1-24) %M son los minutos (0-60) %S son los segundos (0-60) %b es la abreviatura del mes (feb, may) A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario: alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s +port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) Para consultar recursos sobre PCRE online, visite Adición de un origen de datos ASP con codificación diferente ESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP que genere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos. 104 McAfee Enterprise Security Manager Guía del producto

105 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen de datos. 2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog avanzado en el campo Modelo de origen de datos. 3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación. Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los reciba. Security Device Event Exchange (SDEE) El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos de dispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportan mediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionar información sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores de las solicitudes HTTP se denominan clientes SDEE. Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor puede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de intrusiones de Cisco. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un origen de datos). El receptor es capaz de extraer esta información de un evento SDEE/CIDEE: Direcciones IP de origen y destino Puertos de origen y destino Protocolo Hora del evento Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor respeta) ID de firma e ID secundario El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE mediante la siguiente fórmula: ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de evento de ESMI sería VLAN McAfee Enterprise Security Manager Guía del producto 105

106 3 Configuración del ESM Configuración de dispositivos Gravedad Descripción del evento Contenido del paquete (si está disponible) Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los eventos desde la última extracción correcta. Configuración de epolicy Orchestrator 4.0 El origen de datos McAfee Event Receiver para epolicy Orchestrator admite ahora epolicy Orchestrator 4.0. epolicy Orchestrator 4.0 almacena eventos en la base de datos de SQL Server. El origen de datos epolicy Orchestrator conecta con esta base de datos de SQL Server a través de JDBC a fin de extraer información sobre eventos. Es necesario crear un nombre de usuario (ID) y una contraseña nuevos en la base de datos de epolicy Orchestrator para su uso junto con el origen de datos para epolicy Orchestrator. 1 Inicie una sesión en el servidor de base de datos de epolicy Orchestrator. 2 Ejecute el Administrador corporativo de SQL Server mediante la selección de Inicio Todos los programas Microsoft SQL Server Administrador corporativo. 3 Amplíe el nodo raíz de la consola varias veces para ver los elementos situados bajo la carpeta Seguridad. 4 Haga clic con el botón derecho en el icono Inicios de sesión y seleccione Nuevo inicio de sesión en el menú. 5 En la página Nuevo inicio de sesión de las propiedades de inicio de sesión de SQL Server, indique lo siguiente en la ficha General: a b c En el campo Nombre, escriba el nombre de usuario que desee usar para que el origen de datos de epolicy Orchestrator conecte con la base de datos de epolicy Orchestrator (por ejemplo, nfepo). En Autenticación, seleccione Contraseña de autenticación de SQL Server y escriba la contraseña. En Valores predeterminados, seleccione la base de datos de epolicy Orchestrator (epo4_<nombre_host>) en la lista desplegable Base de datos. Si se deja la Base de datos predeterminada como principal, el origen de datos para epolicy Orchestrator no puede extraer los eventos. 6 En la ficha Acceso a base de datos, seleccione la opción Permitir correspondiente a la base de datos de epolicy Orchestrator. 7 En Permitir en la función de base de datos, seleccione db_datareader y haga clic en Aceptar. 8 Confirme la nueva contraseña y haga clic en Aceptar. Adición de un origen de datos de ArcSight Es posible agregar orígenes de datos para un dispositivo ArcSight. 106 McAfee Enterprise Security Manager Guía del producto

107 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione el nodo del receptor. 2 Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones. 3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común en el campo Modelo de origen de datos. 4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight. 5 Rellene el resto de campos (véase Adición de un origen de datos). 6 Haga clic en Aceptar. 7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight. Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM. Formato de evento común (CEF) ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común (CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que generan registros o eventos. Contiene la información más relevante sobre el dispositivo, además de facilitar el análisis y la utilización de los eventos. No es necesario que el causante del evento genere de forma explícita el mensaje de evento. El formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por barras ( ). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la extensión se especifican campos adicionales. El formato es: CEF:Versión Proveedor de dispositivo Producto de dispositivo Versión de dispositivo IDClaseEventoDispositivo Nombre Gravedad Extensión La parte del mensaje correspondiente a la extensión es un marcador de posición para campos adicionales. A continuación se ofrecen las definiciones de los campos de prefijo: Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos utilizan esta información para determinar lo que representan los campos. Actualmente, solo está establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La adición de formatos nuevos se gestiona a través del organismo de estandarización. Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos. IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de dispositivos, y ayuda a los motores de correlación a manipular los eventos. Nombre es una cadena que representa una descripción legible y comprensible para los usuarios sobre el evento. El nombre del evento no debe contener información específicamente mencionada en otros campos. Por ejemplo: "Barrido de puertos desde con destino en " no es un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es redundante y se puede obtener en los otros campos. McAfee Enterprise Security Manager Guía del producto 107

108 3 Configuración del ESM Configuración de dispositivos Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del 0 al 10, donde el 10 indica el evento de mayor importancia. Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo: filename=c:\archivos de programa\arcsight es un token válido. Este es un mensaje de muestra para ilustrar el aspecto final: Sep 19 08:26:10 zurich CEF:0 security threatmanager worm successfully stopped 10 src= dst= spt=1232 Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor. De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto: CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/ Service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt". Configuración de Adiscon Se admite el uso de WMI y syslog a través de Adiscon. Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos de eventos de Windows de Adiscon para Microsoft funcione correctamente: %sourceproc%,%id%,%timereported:::uxtimestamp%,%user%,%category%,%param0%;%param1%; %Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%; %Param11%;%Param12%;%Param13%;%Param14%;%Param15% Compatibilidad con la retransmisión de syslog El reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al receptor requiere algunas tareas adicionales. Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de datos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los orígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta situación: 108 McAfee Enterprise Security Manager Guía del producto

109 Configuración del ESM Configuración de dispositivos 3 1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog 2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA 3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort 4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog, habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de retransmisión de syslog. La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog. El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo: 1 <123> 345 Oct 7 12:12: mcafee.com httpd[123] Donde: 1 = Versión de syslog (opcional) 345 = Longitud de syslog (opcional) <123> = Función (opcional) Oct 7 12:12: = mcafee.com httpd = Fecha; se admiten cientos de formatos (obligatorio) Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio) Nombre de aplicación (opcional) [123] PID de aplicación (opcional) : = Dos puntos (opcional) El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se puede delimitar entre corchetes [ ]. Ejecución de la herramienta de configuración de NSM-SIEM Antes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuración de NSM-SIEM. 1 Descargue la herramienta de configuración. a b c d e Acceda al sitio web de descarga de productos de McAfee. Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro de búsqueda Descargar mis productos. Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de descarga de MFE <nombre_producto> <versión>. Lea el EULA de McAfee y haga clic en Acepto. Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM. McAfee Enterprise Security Manager Guía del producto 109

110 3 Configuración del ESM Configuración de dispositivos 2 Ejecute la herramienta de configuración en el servidor de NSM. La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso contrario, acceda a ella. 3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSM introducidos durante la instalación de NSM. 4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del receptor al que se agregará el origen de datos. Estos datos se introducen en la pantalla del origen de datos. Configuración de epolicy Orchestrator Es posible configurar varios orígenes de datos de epolicy Orchestrator que apunten a una misma dirección IP con nombres distintos en el campo de nombre de la base de datos. Esto permite configurar tantos orígenes de datos de epolicy Orchestrator como se desee y que todos apunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseña con la información que proporciona acceso a la base de datos de epolicy Orchestrator, y el campo Versión con la versión del dispositivo epolicy Orchestrator. El puerto predeterminado es El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión, deberá delimitar el nombre mediante corchetes (por ejemplo, [epo4_win ]). La opción Consulta de epo permite realizar una consulta en el dispositivo epolicy Orchestrator y crear orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar orígenes de datos cliente y se hace clic en Consulta de epo, se consulta el dispositivo epolicy Orchestrator y cualquier producto compatible con epolicy Orchestrator se agrega a modo de origen de datos cliente. Se admiten los siguientes productos si están completamente integrados en epolicy Orchestrator: ANTISPYWARE MNAC DLP POLICYAUDITOR EPOAGENT SITEADVISOR GSD VIRUSCAN GSE SOLIDCORE HOSTIPS Si se selecciona Hacer coincidir en IP, se consulta el dispositivo epolicy Orchestrator y se crean orígenes de datos cliente para todos los endpoints de la base de datos de epolicy Orchestrator. Si existen más de 256 endpoints en la base de datos de epolicy Orchestrator, se crean varios orígenes de datos con clientes. La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de epolicy Orchestrator. Es posible especificar varios servidores de epolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consulta de base de datos procedente de la base de datos de SQL Server de epolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de epolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. 110 McAfee Enterprise Security Manager Guía del producto

111 Configuración del ESM Configuración de dispositivos 3 Al agregar un origen de datos de epolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de correlación de riesgos (véase Adición de un administrador de correlación de riesgos). SiteProtector de IBM Internet Security Systems El receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet Security Systems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Server utilizada por SiteProtector para almacenar sus eventos. Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, la recuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base de datos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez que se recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos de eventos del receptor, listos para su recuperación por parte del ESM. Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para recopilar eventos de un servidor de SiteProtector. Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado seleccionado. La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento común (CEF). Esta configuración es opcional. Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar conexiones del protocolo TCP/IP. Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433). Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos que se han producido tras el último evento recuperado correctamente. El receptor extrae esta información de un evento de SiteProtector: Direcciones IP de origen y destino (IPv4) Recuento de eventos Puertos de origen y destino VLAN Protocolo Gravedad Hora del evento Descripción del evento McAfee Enterprise Security Manager Guía del producto 111

112 3 Configuración del ESM Configuración de dispositivos Configuración de Check Point Es posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor parte de entornos Check Point estándar. El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen de datos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datos principal no actúa como servidor de registro y se dispone de un servidor de registro dedicado. Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentra en un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cada SMS/CMA secundario. 1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal. OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta función (véase el Apéndice A). 2 Haga clic en Opciones. 3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivo de entidad de servidor de este origen de datos. 4 Haga clic dos veces en Aceptar. 5 Haga lo siguiente, si procede: 112 McAfee Enterprise Security Manager Guía del producto

113 Configuración del ESM Configuración de dispositivos 3 Si recibe este error... SIC Error for lea: Client could not choose an authentication method for service lea (Error SIC para lea: el cliente no pudo elegir un método de autenticación para lea) Haga lo siguiente... 1 Compruebe que seleccionó la configuración correcta para Usar autenticación y Usar cifrado al agregar el origen de datos de Check Point. Si seleccionó solamente Usar autenticación, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca_clear". Si seleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "sslca". Si no seleccionó ninguna de estas opciones, el cliente OPSEC intenta comunicarse con el servidor de registro mediante "none". SIC Error for lea: Peer sent wrong DN: <expected dn> (Error SIC para lea: el componente envió un nombre distintivo incorrecto: <nombre distintivo esperado>) 2 Compruebe que la aplicación OPSEC que está utilizando para comunicarse con el servidor de registro de Check Point tenga LEA seleccionado en la sección Client Entities (Entidades cliente). 3 Si verifica que ambos pasos son correctos, localice el archivo sic_policy.conf en la instalación del servidor de registro de Check Point. Por ejemplo, en un sistema R65 basado en Linux, este archivo se encuentra en /var/opt/cpshrd-r65/conf. 4 Cuando determine qué método de comunicación (método de autenticación del archivo) permite el método de comunicación de LEA con el servidor de registro, seleccione dicho método en la página Configuración avanzada como Método de comunicación. Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de servidor mediante la introducción de la cadena que representa "<DN esperado>" en el mensaje de error. Una alternativa es localizar el nombre distintivo del servidor de registro de Check Point consultando el objeto network del servidor de registro de Check Point en la interfaz de usuario de SmartDashboard. El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC, basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo, supongamos que el nombre distintivo de la aplicación OPSEC es CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3. 6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA secundario administrado por el origen de datos principal configurado (véase Adición de un origen de datos secundario). El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola de informes principal es, de forma predeterminada, el origen de datos principal. Grupos de reglas de McAfee Esta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo. ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas Firewall Firewall personalizado Firmas personalizadas Interno Vulnerabilidad y exploit 2 N/D McAfee Enterprise Security Manager Guía del producto 113

114 3 Configuración del ESM Configuración de dispositivos ID de origen de datos Nombre de pantalla RSID correspondiente Intervalo de reglas Contenidos para adultos 5 N/D Chat 8 N/D Directiva 11 N/D Peer to Peer 14 N/D Multimedia 17 N/D Alfa 25 N/D Virus 28 N/D Aplicación de perímetro seguro 31 N/D Gateway 33 N/D Malware 35 N/D SCADA 40 N/D MCAFEESYSLOG 41 N/D Orígenes de activos de receptor Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. También permite manipular los activos de aprendizaje automático de un proveedor de evaluación de vulnerabilidades. La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si está disponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante la selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario de origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad para satisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptores pueden tener varios orígenes de activos. Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades y Descubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridad agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad, el que descubra el activo en último lugar tiene prioridad sobre el primero. Adición de un origen de activos A fin de recuperar datos de Active Directory, es necesario configurar un receptor. 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de activos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos. 114 McAfee Enterprise Security Manager Guía del producto

115 Configuración del ESM Configuración de dispositivos 3 Configuración de Enterprise Log Manager (ELM) El ELM admite el almacenamiento y la administración de los datos de registro, así como el acceso a ellos y la generación de informes al respecto. Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto de varios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de almacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativas gubernamentales, del sector y de las empresas requieren que los registros se almacenen durante periodos de tiempo diferentes. El ELM permite configurar trabajos de comprobación de integridad y de búsqueda. Cada uno de estos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el trabajo. Posteriormente, es posible ver los resultados y exportar la información, si procede. La información proporcionada se aplica a todos estos modelos de dispositivos ELM: ENMELM-5205 (combinación de ESM/Log Manager) ENMELM-5510 (combinación de ESM/Log Manager) ENMELM-4245 (combinación de ESM/Log Manager) ELM-5205 ELM-5510 ELM-5750 ELMERC-4245 (combinación de Event Receiver/Log Manager) ELMERC-2250 (combinación de Event Receiver/Log Manager) LMERC 2230 (combinación de Event Receiver/Log Manager) Para configurar un ELM, debe conocer lo siguiente: Los orígenes que almacenan registros en el ELM Los grupos de almacenamiento necesarios y sus tiempos de retención de datos Los dispositivos de almacenamiento necesarios para almacenar los datos Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de almacenamiento necesarios. No obstante, no se conocen los dispositivos de almacenamiento necesarios que almacenan los datos. El mejor enfoque para hacer frente a esta incertidumbre es: 1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento. A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el espacio necesario. 2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados. 3 Adquiera los registros en el ELM durante un periodo corto de tiempo. 4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de almacenamiento de datos reales. McAfee Enterprise Security Manager Guía del producto 115

116 3 Configuración del ESM Configuración de dispositivos Preparativos para almacenar datos en el ELM Existen varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacene datos. Paso Acción 1 Definir los tiempos de retención de datos 2 Definir los orígenes de datos de registro Descripción Según los requisitos de instalación de ELM, defina el número de tiempos de retención distintos necesarios. Los tiempos habituales de retención de datos son: SOX 7 años PCI 1 año GLBA 6 años Directiva de conservación de datos de la UE 2 años Basilea II 7 años HIPAA 6 o 7 años NERC 3 años FISMA 3 años El objetivo aquí es definir todos los orígenes de los registros almacenados en el ELM y calcular el promedio de tamaño en bytes de los registros y el promedio de registros generados por día en cada caso. Basta con que se trate de un cálculo estimativo. Puede que resulte más fácil estimar el promedio de tamaño en bytes de los registros y el promedio de registros generados al día por cada tipo de origen (como por ejemplo firewall, enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de orígenes de cada tipo. El siguiente paso requiere la asociación de cada origen con un tiempo de retención definido en el Paso 1, así que asegúrese de tener esto en cuenta a la hora de calcular los tipos de orígenes (por ejemplo, firewall SOX o DEM PCI). 3 Definir los grupos de almacenamiento En función de los requisitos de instalación de ELM, asocie cada origen u origen de registros con un tiempo de retención de datos y defina el conjunto de grupos de almacenamiento necesarios para la instalación de ELM. 116 McAfee Enterprise Security Manager Guía del producto

117 Configuración del ESM Configuración de dispositivos 3 Paso Acción 4 Estimar los requisitos de tamaño de los grupos de almacenamiento Descripción Por cada grupo de almacenamiento, calcule los requisitos de almacenamiento mediante una de las ecuaciones siguientes. Con orígenes individuales: ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días SUM() = La suma de todos los orígenes de datos PBOD = Promedio de bytes de origen de datos por registro PRODD = Promedio de registros de origen de datos por día Con tipos de orígenes: ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024) Donde: ARIGB = Almacenamiento requerido inicial en gigabytes TRDD = Tiempo de retención de datos en días NOD = Número de orígenes de datos de un tipo SUM() = La suma de todos los tipos de orígenes de datos PBTOD = Promedio de bytes de tipo de origen de datos por registro PRTODD = Promedio de registros de tipo de origen de datos por día 5 Crear dispositivos de almacenamiento inicial 6 Cree grupos de almacenamiento 7 Iniciar el registro de datos Cree uno o varios dispositivos de almacenamiento ELM de forma que sean suficientemente grandes como para almacenar los datos de cada ARIGB (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo de almacenamiento de ELM con el tiempo retención asociado del Paso 1, los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento asociados del Paso 5 (véase Adición de un grupo de almacenamiento). Configure los orígenes para que envíen sus registros al ELM, y deje que lo hagan durante uno o dos días. 8 Ajustar las estimaciones sobre requisitos de tamaño de los grupos de almacenamiento 9 Modificar o crear dispositivos de almacenamiento 10 Modificar los grupos de almacenamiento Por cada grupo de almacenamiento creado en el Paso 6, ajuste la estimación sobre los requisitos de almacenamiento mediante la ecuación siguiente: ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024) Donde: ARGB = Almacenamiento requerido en gigabytes TRDD = Tiempo de retención de datos en días PTBGAD = Valor de promedio de tasa de bytes del grupo de almacenamiento diario del informe estadístico correspondiente Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de almacenamiento ELM para que tengan capacidad de almacenar los datos de ARGB. Si fuera necesario, modifique cada uno de los grupos de almacenamiento creados en el Paso 6 mediante la adición de los dispositivos de almacenamiento creados en el Paso 9, o bien aumente la asignación de los dispositivos de almacenamiento existentes. McAfee Enterprise Security Manager Guía del producto 117

118 3 Configuración del ESM Configuración de dispositivos Configuración del almacenamiento de ELM A fin de almacenar registros, el ELM debe tener acceso a uno o varios dispositivos de almacenamiento. El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de datos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisito de almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vida de una instalación de ELM. Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema, véase Configuración de ELM. Terminología de almacenamiento de ELM Repase estos términos para trabajar con el almacenamiento de ELM: Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede acceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado, otros cuentan con capacidad de conexión SAN, y otros tienen ambas opciones. Todos los modelos de ELM ofrecen capacidad de conexión NAS. Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un dispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento NAS). Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro. Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican una cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el número máximo de días que se almacena un registro. Origen de registro: cualquier origen de registros almacenados por ELM. Tipos de dispositivos de almacenamiento de ELM Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de dispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo. Tipo de dispositivo NFS CIFS iscsi SAN Detalles Si necesita editar el punto de montaje remoto del dispositivo de almacenamiento que contiene la base de datos de administración de ELM, use la opción Migrar base de datos para mover la base de datos a un dispositivo de almacenamiento distinto (véase Migración de la base de datos de ELM). Entonces, es posible cambiar de forma segura el campo de punto de montaje remoto y mover la base de datos de vuelta al dispositivo de almacenamiento actualizado. El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba posteriores a la 3.2 puede provocar la fuga de datos. Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña. Si emplea un equipo Windows 7 como recurso compartido CIFS, véase Desactivación del uso compartido de archivos en el Grupo Hogar. Al conectar con un recurso compartido iscsi, no utilice comas en la contraseña. El intento de conectar varios dispositivos a un IQN puede provocar la fuga de datos y otros problemas de configuración. La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y hay volúmenes SAN disponibles. 118 McAfee Enterprise Security Manager Guía del producto

119 Configuración del ESM Configuración de dispositivos 3 Desactivación del uso compartido de archivos en el Grupo Hogar Windows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona con otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7 como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar. 1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos. 2 Haga clic en Cambiar configuración de uso compartido avanzado. 3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual. 4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública. 5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y haga clic con el botón derecho en ella. 6 Seleccione Propiedades y haga clic en la ficha Compartir. 7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta. 8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos. Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = se puede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá que modificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en el permiso. Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, es necesario definir sus parámetros. Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo. Un dispositivo no se puede eliminar si está almacenando datos. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla superior. 3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada. 4 Haga clic en Aceptar para guardar la configuración. El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles. Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos de almacenamiento. Adición o edición de un grupo de almacenamiento Un grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo de retención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros de ELM y cuánto tiempo deben conservarse. McAfee Enterprise Security Manager Guía del producto 119

120 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información solicitada. 3 Haga clic en Aceptar. Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre que este y los dispositivos que tiene asignados no estén almacenando datos. Traslado de un grupo de almacenamiento Cabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro. Antes de empezar Configure el dispositivo de almacenamiento al que desee mover el grupo de almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo (véase Adición de almacenamiento de datos de ELM duplicado). 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de almacenamiento y haga clic en el icono Propiedades. 2 Haga clic en Grupos de almacenamiento. 3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el grupo que se va a mover. 4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el dispositivo que duplique el grupo de almacenamiento que desea mover. Se convertirá entonces en el dispositivo de almacenamiento de datos principal. 5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la lista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar. Reducción del tamaño de asignación de almacenamiento Si un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos de almacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación. Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos de almacenamiento o para el indizador de texto completo. Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos. 120 McAfee Enterprise Security Manager Guía del producto

121 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño. 3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar. Duplicación del almacenamiento de datos de ELM Es posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datos recopilados en el dispositivo principal. Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridad sigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar, se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datos según van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posible reasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y, después, designar un dispositivo distinto para la duplicación. Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado dispositivo ELM en el árbol de navegación del sistema. junto al Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de almacenamiento. La pérdida de conexión puede deberse a lo siguiente: El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado. El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento. Se ha eliminado accidentalmente un archivo de asignación. Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento muestran un icono de advertencia la función Reconstruir para repararlo. en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizar Adición de almacenamiento de datos de ELM duplicado Cualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con el espacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo de almacenamiento ELM. Antes de empezar Agregue los dos dispositivos que desee usar para duplicar los datos al ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de almacenamiento. 2 Haga clic en Agregar junto a la tabla inferior. McAfee Enterprise Security Manager Guía del producto 121

122 3 Configuración del ESM Configuración de dispositivos 3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación. Un dispositivo se puede asignar a más de un grupo de forma simultánea. 4 Haga clic dos veces en Aceptar. Reconstrucción de un grupo de almacenamiento duplicado Si un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento, puede emplear la función Reconstruir para repararlo. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de almacenamiento. 2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia. Un cuadro de información sobre herramientas le indicará que la asignación de ELM se está reconstruyendo o que el dispositivo duplicado se debe reconstruir. 3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir. Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta. Desactivación de un dispositivo de duplicación Si desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegir otro dispositivo para sustituirlo o seleccionar Ninguno. 1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de almacenamiento y haga clic en el icono Propiedades. 2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de almacenamiento y haga clic en Editar. 3 Siga uno de estos procedimientos: Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno. Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto para que actúe como dispositivo de almacenamiento de datos. 4 Haga clic en Aceptar para guardar los cambios. Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo de almacenamiento. Configuración del almacenamiento de datos externo Existen tres tipos de almacenamiento externo que se pueden configurar para almacenar datos de ELM: iscsi, SAN y DAS. Una vez conectados estos tipos de almacenamiento externo al ELM, es posible configurarlos para almacenar los datos del ELM. 122 McAfee Enterprise Security Manager Guía del producto

123 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 Haga clic en la ficha iscsi, SAN o DAS y realice los pasos necesarios. 3 Haga clic en Aplicar o en Aceptar. Adición de un dispositivo iscsi Si desea usar un dispositivo iscsi para el almacenamiento de ELM, es necesario configurar las conexiones con el dispositivo. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 En la ficha iscsi, haga clic en Agregar. 3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iscsi como a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). Una vez que un IQN empieza a almacenar registros de ELM, el destino iscsi no se puede eliminar. Debido a esta limitación, asegúrese de configurar el destino iscsi con espacio suficiente para el almacenamiento de ELM. 4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en Formato. 5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado. 6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iscsi y, después, en Descubrir. Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos. Aplicación de formato a un dispositivo de almacenamiento para datos de ELM Si tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM. Antes de empezar Instale una tarjeta SAN en el sistema (véase Instalación del adaptador SAN qlogic 2460 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el Soporte de McAfee). McAfee Enterprise Security Manager Guía del producto 123

124 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de datos. 2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados. Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles en la página Agregar dispositivo de almacenamiento. Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista de volúmenes disponibles. Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes se pueden usar para almacenar datos de ELM. 3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y, después, en Formato. Al formatear un volumen, se eliminan todos los datos almacenados. 4 Para comprobar si el formato está completo, haga clic en Actualizar. Si ha finalizado la aplicación de formato, el estado cambia a Preparado. 5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen. Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM. Asignación de un dispositivo DAS para almacenar datos Es posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM. Antes de empezar Configure dispositivos DAS. 1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga clic en el icono Propiedades. En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic en el icono Propiedades. 2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS. La tabla DAS incluye los dispositivos disponibles para el almacenamiento. 3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de ELM o ESM. 4 Haga clic en Asignar y, después, en Sí en la página de advertencia. Una vez asignado un dispositivo, no se puede cambiar. El ELM se reiniciará. 124 McAfee Enterprise Security Manager Guía del producto

125 Configuración del ESM Configuración de dispositivos 3 Redundancia de ELM Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo principal de su sistema. Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM (véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de almacenamiento con una cantidad de espacio combinado que coincida con el espacio de almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la página Propiedades de ELM Redundancia de ELM. Cambio Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las acciones de configuración se bloquean durante el proceso de cambio. Nueva puesta en servicio Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione de nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia se mantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el proceso de redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero se devuelve un estado de error que indica que uno o varios grupos no están configurados. Deberá corregir esos grupos manualmente. Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a aplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de configuración con el ELM en espera y la redundancia continúa como hasta el momento. Suspensión Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el proceso para volver a ponerlo en servicio. Desactivación de la redundancia en el ELM Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia de los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al activar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuración guardados. Visualización del estado Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo; para ello, seleccione la opción Estado. McAfee Enterprise Security Manager Guía del producto 125

126 3 Configuración del ESM Configuración de dispositivos Configuración de la redundancia de ELM Si dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el registro mediante la adición de un ELM en espera. Antes de empezar Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de fábrica. 1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades. 2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar. 3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar. 4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté seleccionada la ficha Activo. 5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento). 6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo. 7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo de almacenamiento). La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de los datos entre ambos dispositivos. Administración de la compresión de ELM Comprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros por segundo. Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada nivel. Nivel Tasa de compresión Porcentaje de compresión máximo Baja 14:1 72 % 100 % Media 17:1 87 % 75 % Alta 20:1 100 % 50 % Porcentaje de máximo de registros procesados por segundo Las tasas de compresión reales variarán en función del contenido de los registros. 126 McAfee Enterprise Security Manager Guía del producto

127 Configuración del ESM Configuración de dispositivos 3 Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se procesan por segundo, elija la compresión alta. Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el disco, elija la compresión baja. Establecimiento de la compresión de ELM Seleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más registros. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM Compresión. 2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar. Se le notificará cuando se actualice el nivel. Visualización de los resultados de una búsqueda o una comprobación de integridad Cuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los resultados. Antes de empezar Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad. 3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver. Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM. Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda de ELM. Creación de copias de seguridad y restauración de ELM Si se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad de la configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración, incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se incluyen en la copia de seguridad. Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de copias de seguridad de los datos de registro en tiempo real. McAfee Enterprise Security Manager Guía del producto 127

128 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM. 2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y restauración. 3 Siga uno de estos procedimientos: Para... Crear copia de seguridad de ELM ahora Crear copia de seguridad de la configuración de ELM automáticamente Restaurar una copia de seguridad ahora Haga esto... Proporcione la información solicitada y haga clic en Hacer una copia de seguridad ahora. Seleccione la frecuencia y proporcione la información necesaria. Haga clic en Restaurar copia de seguridad. La base de datos de ELM se restaurará a la configuración de una copia de seguridad anterior. Restauración de los datos de registro y la base de datos de administración de ELM Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse. Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el Asistente de adición de dispositivos. 1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM que se va a reemplazar. Una página de advertencia le informará de que el sistema no puede localizar el ELM. 2 Cierre la página de advertencia y haga clic en Conexión. 3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves Aplicar clave a dispositivo. Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta. 4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente. 5 Haga clic en Información de ELM Copia de seguridad y restauración Restaurar ELM. 6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM de la página Propiedades Configuración de cada dispositivo. La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en el nuevo ELM. Este proceso puede durar varias horas. 128 McAfee Enterprise Security Manager Guía del producto

129 Configuración del ESM Configuración de dispositivos 3 Búsquedas de ELM más rápidas El motor de indización de texto completo indiza los registros de ELM. Cuando está activado, proporciona mayores velocidades de búsqueda de ELM porque limita el número de archivos en los que buscar. Antes de empezar Defina el dispositivo de almacenamiento y el espacio asignado al indizador. El número de registros de ELM que se pueden indizar varía en función del espacio asignado al indizador. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM Índice de texto completo. 2 Realice las selecciones necesarias en la página Seleccionar ubicación de indizador de texto completo. 3 Haga clic en Aceptar para guardar la configuración. Visualización del uso de almacenamiento de ELM La visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre la asignación de espacio en el dispositivo. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de ELM. 2 Haga clic en Ver uso. Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los grupos y el dispositivo de almacenamiento de ELM. 3 Haga clic en Aceptar. Migración de la base de datos de ELM La base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM. La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos de administración depende del modelo. Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco para almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para el almacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficiente en el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrar base de datos en la página Propiedades de ELM para establecer esa ubicación. Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias horas hasta que finaliza la migración, en función del número de registros que contenga. Se recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez. McAfee Enterprise Security Manager Guía del producto 129

130 3 Configuración del ESM Configuración de dispositivos Definición de una ubicación de almacenamiento alternativa A fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajena al ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionar un segundo dispositivo para duplicar lo que se almacene. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en Configuración de ELM Migrar base de datos. 2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación. 3 Haga clic en Aceptar. Sustitución de una base de datos de administración de ELM duplicada Si el dispositivo de almacenamiento de la base de datos de administración duplicada tiene un problema, podría ser necesario sustituirlo. 1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de almacenamiento de la base de datos de administración que tiene el problema y haga clic en el icono Propiedades. 2 Haga clic en Configuración de ELM y seleccione Migrar base de datos. 3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista desplegable Dispositivo de almacenamiento de datos duplicado. 4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bien seleccione Ninguno para detener la duplicación. Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de almacenamiento. Recuperación de datos de ELM Para recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridad en la página Datos. Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alterados desde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada de archivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestran qué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sido correcta. El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridad simultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puede realizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo la nueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar los trabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevar a cabo su búsqueda. Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de comprobar el estado, que aparece en la tabla Resultados de la búsqueda. 130 McAfee Enterprise Security Manager Guía del producto

131 Configuración del ESM Configuración de dispositivos 3 Creación de un trabajo de búsqueda Para buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo de búsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en el menor tiempo. La velocidad de búsqueda de ELM ha aumentado en la versión Para que este aumento surta efecto al ampliar a las versiones posteriores a la desde versiones anteriores a la 9.2.0, es necesario activar el sistema indizador de texto completo (FTI). 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar. Creación de un trabajo de comprobación de integridad Es posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente a través de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de los campos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menor tiempo. 1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos. 2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar. Configuración de Advanced Correlation Engine (ACE) McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real mediante la lógica basada tanto en reglas como en el riesgo. Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores específicos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las reproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense. El ACE se puede configurar con los modos en tiempo real o histórico. Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección inmediata de riesgos y amenazas. Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado, permitiendo así la detección de amenazas subzero-day. Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM, ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. McAfee Enterprise Security Manager Guía del producto 131

132 3 Configuración del ESM Configuración de dispositivos Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja en función de la actividad en tiempo real. Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis e investigaciones sobre la situación de las amenazas a lo largo del tiempo. Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos tradicional basada en reglas para analizar la información recopilada en tiempo real. El ACE correlaciona todos los registros, eventos y flujos de red junto con información contextual como identidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza mayor. Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACE complementa esta capacidad y proporciona un recurso de procesamiento dedicado para correlacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes de correlación existentes o para sustituirlos por completo. Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y directivas. Selección del tipo de datos para el ACE ESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar al ACE. La opción predeterminada es enviar solo datos de eventos. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE. 2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos. 3 Haga clic en Aceptar. Adición de un administrador de correlación Para utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación de reglas o riesgos. Antes de empezar Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de ESM). 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de correlación. 2 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar. 132 McAfee Enterprise Security Manager Guía del producto

133 Configuración del ESM Configuración de dispositivos 3 3 Si ha seleccionado Correlación de reglas, complete las fichas Principal y Filtros. Si ha seleccionado Correlación de riesgos, complete las fichas Principal, Campos, Umbrales y Filtros. 4 Haga clic en Finalizar. Adición de un administrador de correlación de riesgos Es necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para los campos designados. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas. 3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo. Adición de una calificación de correlación de riesgos Es necesario agregar sentencias condicionales que asignen una calificación a un campo de destino. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de correlación de riesgos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Utilización de la correlación histórica La opción de correlación histórica permite correlacionar los eventos pasados. Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registros históricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de red fácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas de Correlación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual es posible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puede resultar útil en las siguientes situaciones: No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuenta de que la correlación podría haber revelado información valiosa. Está configurando una nueva correlación en función de los eventos activados en el pasado y desea probarla para confirmar que ofrece los resultados esperados. Tenga en cuenta lo siguiente cuando utilice la correlación histórica: La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. La distribución de riesgo se verá distorsionada por la agregación de eventos. Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, es necesario ajustar los umbrales. McAfee Enterprise Security Manager Guía del producto 133

134 3 Configuración del ESM Configuración de dispositivos Para configurar y ejecutar la correlación histórica es necesario: 1 Agregar un filtro de correlación histórica. 2 Ejecutar una correlación histórica. 3 Descargar y ver los eventos históricos correlacionados. Adición y ejecución de una correlación histórica A fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y, después, ejecutar la correlación. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica. 2 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. 3 Seleccione Activar correlación histórica y haga clic en Aplicar. La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica. 4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora. El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables. Descarga y visualización de los eventos de correlación histórica Una vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado. 1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros Obtener eventos. Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM. 2 Cierre la ventana Propiedades de ACE. 3 Para ver los datos: a b En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba de ejecutar los datos históricos. En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas, seleccione el periodo especificado al configurar la ejecución. Los resultados de la consulta aparecerán en el panel de visualización. Configuración de Application Data Monitor (ADM) McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en la red mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido de las aplicaciones. Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su uso en la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoría de conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que se enmascaran como aplicaciones legítimas. 134 McAfee Enterprise Security Manager Guía del producto

135 Configuración del ESM Configuración de dispositivos 3 ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a fin de conservar una traza de auditoría. ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación. Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente) Correo electrónico: SMTP, POP3, NNTP, MAPI Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail P2P: Gnutella, bittorrent Shell: SSH (solo detección), Telnet ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete de la tabla de consultas. ADM puede generar los siguientes tipos de eventos. Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos. Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en los módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o para contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no válido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla de eventos. Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla que detectan anomalías en los metadatos generados por el motor de Internet Communications Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos. La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes, donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento. La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la tabla de eventos. McAfee Enterprise Security Manager Guía del producto 135

136 3 Configuración del ESM Configuración de dispositivos La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de contenido o el protocolo completo. Configuración de la zona horaria de ADM El dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que el dispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean el activador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera. El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a la hora de evaluar las reglas. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. 2 Haga clic en Zona horaria y seleccione su zona horaria. 3 Haga clic en Aceptar. Visualización de contraseñas en el Visor de sesión El Visor de sesión permite ver los detalles de las últimas consultas del ADM de una sesión. Las reglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada, no se muestran. 1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM. La opción Contraseñas indica que el registro está Desactivado. 2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar. El sistema ejecutará el comando y le avisará cuando haya terminado. La opción Contraseñas indica ahora que el registro está Activado. Diccionarios de Application Data Monitor (ADM) Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las claves capturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que emplean de forma predeterminada el valor booleano verdadero cuando están presentes. Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tener que escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin de seleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario con palabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente para comprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario: protocol == && naughtywords[objcontent] 136 McAfee Enterprise Security Manager Guía del producto

137 Configuración del ESM Configuración de dispositivos 3 Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el diccionario al que debe hacer referencia la regla. Los diccionarios admiten millones de entradas. La adición de un diccionario a una regla implica los pasos siguientes: 1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores. 2 Administrar el diccionario en el ESM. 3 Asignar el diccionario a una regla. Configuración de un diccionario de ADM Un diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay diccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una clave como un valor. Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores son booleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se utiliza el valor booleano verdadero si no se indica otro. Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM: cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las siguientes directrices de formato: Tipo Reglas de sintaxis Ejemplos Contenido de coincidencia Cadena Las cadenas se deben delimitar entre comillas dobles Las comillas dobles incluidas en una cadena deben ir acompañadas de barras diagonales invertidas a modo de caracteres de escape antes de cada comilla Contenido malo Dijo: \ Contenido malo\ Contenido malo Dijo: Contenido malo Expresión regular Las expresiones regulares se delimitan mediante barras diagonales simples Las barras diagonales y los caracteres de expresión regular reservados incluidos en la expresión regular se deben acompañar de barras diagonales invertidas como caracteres de escape /[Aa]pple/ /apple/i / [0-9]{1,3}\.[0-9]{1,3}\. [0-9]\.[0-9]/ /1\/2 de todo/ Apple o apple Apple o apple Direcciones IP: /2 de todo Números Valores decimales (0-9) Valores hexadecimales (0x0-9a-f) Valores octales (0-7) Valor decimal Valor hexadecimal Valor octal 123 0x12ab 0127 McAfee Enterprise Security Manager Guía del producto 137

138 3 Configuración del ESM Configuración de dispositivos Tipo Reglas de sintaxis Ejemplos Contenido de coincidencia Booleanos Pueden ser verdaderos o falsos Todo en minúscula Literales booleanos verdadero falso IPv4 Se puede escribir en el formato estándar de cuatro números separados por puntos Se puede escribir en notación CIDR / / [0 255] [0 255] Se puede escribir en formato largo con máscaras completas Tenga en cuenta lo siguiente sobre los diccionarios: Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los diccionarios. Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único archivo de diccionario de ADM. Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#) se consideran comentarios en un diccionario de ADM. Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener una longitud total igual o inferior a 20 caracteres. No se admiten las listas. En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación o creación de nuevos diccionarios de ADM. 138 McAfee Enterprise Security Manager Guía del producto

139 Configuración del ESM Configuración de dispositivos 3 Ejemplos de diccionarios de ADM El motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica o propiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en el diccionario o no existe en el diccionario). Tabla 3-25 Ejemplos de diccionarios de una columna Tipo de diccionario Diccionario de cadenas con palabras comunes en spam Diccionario de expresiones regulares con palabras clave de autorización Diccionario de cadenas con valores de hash de ejecutables maliciosos conocidos Direcciones IP de activos críticos Ejemplo Cialis cialis Viagra viagra web para adultos Web para adultos actúe ahora, no se lo piense! /(contraseña contras con)[^a-z0-9]{1,3}(admin inicio contraseña usuario)/i /(consumidor cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i /fondos[^a-z0-9]{1,3}transacción/i /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec c" "ff7025e261bd bc9efdfc6c7c" / / / / McAfee Enterprise Security Manager Guía del producto 139

140 3 Configuración del ESM Configuración de dispositivos Tabla 3-26 Ejemplos de diccionarios de dos columnas Tipo de diccionario Diccionario de cadenas con palabras y categorías comunes en spam Ejemplo Cialis genérico cialis genérico Viagra genérico viagra genérico web para adultos adultos Web para adultos adultos actúe ahora, no se lo piense! fraude Diccionario de expresiones regulares con palabras clave y categorías de autorización /(contraseña contras con)[^a-z0-9]{1,3}(admin inicio contraseña usuario)/i credenciales /(consumidor cliente)[^a-z0-9]{1,3}cuenta[^a-z0-9]{1,3}número/i pii /fondos[^a-z0-9]{1,3}transacción/i sox /fondos[^a-z0-9]{1,3}transferencia[^a-z0-9]{1,3}[0-9,.]+/i sox Diccionario de cadenas con valores de hash y categorías de ejecutables maliciosos conocidos Direcciones IP y grupos de activos críticos "fec72ceae15b6f60cbf269f99b9888e9" Troyano "fed472c13c1db095c4cb0fc54ed28485" Malware "feddedb f9428a59eb5ee22a" Virus "ff3cb87742f9b56dfdb9a49b31c1743c" Malware "ff45e471aa68c9e2b6d62a82bbb6a82a" Adware "ff669082faf0b5b976cec c" Troyano "ff7025e261bd bc9efdfc6c7c" Virus Activos críticos /24 LAN / LAN /27 DMZ / Activos críticos Administración de diccionarios de ADM Una vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También es posible exportarlo, editarlo y eliminarlo. 1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM. La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet, foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema. 2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar. 140 McAfee Enterprise Security Manager Guía del producto

141 Configuración del ESM Configuración de dispositivos 3 Cómo hacer referencia a un diccionario de ADM Cuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribir las reglas. Antes de empezar Importe el diccionario al ESM. 1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva Regla de ADM. 2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica de expresión. 3 Arrastre y suelte el icono Componente de expresión en el elemento lógico. 4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario. 5 Rellene los campos restantes y haga clic en Aceptar. Material de referencia para reglas de ADM Este apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor de directivas. Sintaxis de las reglas de ADM Las reglas de ADM son muy similares a las expresiones de C. La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresiones regulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden comparar con literales de cadena y expresión regular a fin de comprobar su contenido, pero también se pueden comparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y de dirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es que cualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términos pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de los archivos PDF contenidos en archivos.zip: type = = application/zip && type = = application/pdf. Tabla 3-27 Operadores Operador Descripción Ejemplo && AND lógico protocol = = http && type = = image/gif OR lógico time.hour < 8 time.hour > 18 ^ ^ XOR lógico .from = = ^^ .to = = NOT unario! (protocol = = http protocol = = ftp) = = Igual que type = = application/pdf! = No igual que srcip! = /16 > Mayor que objectsize > 100M > = Mayor o igual que time.weekday > = 1 McAfee Enterprise Security Manager Guía del producto 141

142 3 Configuración del ESM Configuración de dispositivos Tabla 3-27 Operadores (continuación) Operador Descripción Ejemplo < Menor que objectsize < 10K < = Menor o igual que time.hour < = 6 Tabla 3-28 Literales Literal Número Cadena Expresión regular Ejemplo 1234, 0x1234, 0777, 16K, 10M, 2G "una cadena" /[A-Z] [a-z]+/ IPv , /16, / MAC Booleano aa:bb:cc:dd:ee:ff true, false Tabla 3-29 Compatibilidad entre tipos y operadores Tipo Operadores Notas Número = =,! =, >, > =, <, < = Cadena = =,! = Comparar el contenido de la cadena con una cadena/expresión regular Cadena >, > =, <, <= Comparar la longitud de la cadena IPv4 = =,! = MAC = =,! = Booleano = =,! = Comparar con verdadero/falso; también admite la comparación implícita con verdadero, por ejemplo, lo siguiente comprueba si aparece el término .bcc : .bcc Tabla 3-30 Gramática de las expresiones regulares de ADM Operadores básicos Alternancia (o) * Cero o más + Uno o más? Cero o uno ( ) Agrupación (a b) { } Intervalo repetitivo {x} o {,x} o {x,} o {x,y} [ ] Intervalo [0-9a-z] [abc] [^ ] Intervalo exclusivo [^abc] [^0-9]. Cualquier carácter \ Carácter de escape 142 McAfee Enterprise Security Manager Guía del producto

143 Configuración del ESM Configuración de dispositivos 3 Caracteres de escape \d Dígito [0-9] \D No dígito [^0-9] \e Escape (0x1B) \f Avance de página (0x0C) \n Avance de línea (0x0A) \r Retorno de carro (0x0D) \s Espacio en blanco \S No espacio en blanco \t Tabulación (0x09) \v Tabulación vertical (0x0B) \w Palabra [A-Za-z0-9_] \W No palabra \x00 Representación hexadecimal \0000 Representación octal ^ S Inicio de línea Fin de línea Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent. Clases de caracteres POSIX [:alunum:] Dígitos y letras [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] Todas las letras Caracteres ASCII Espacio y tabulación Caracteres de control Dígitos Caracteres visibles Letras minúsculas Espacios y caracteres visibles Puntuación y símbolos Todos los caracteres de espacio en blanco Caracteres en mayúscula McAfee Enterprise Security Manager Guía del producto 143

144 3 Configuración del ESM Configuración de dispositivos Clases de caracteres POSIX [:word:] [:xdigit:] Caracteres de palabras Dígito hexadecimal Tipos de términos para reglas de ADM Todos los términos de una regla de ADM son de un tipo concreto. Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valor booleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un término de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo o una lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla: 1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La regla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud ( password es un término de cadena): password < 8 2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/ 3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una dirección CC ( .cc es un término de cadena): .cc == true Tipo Direcciones IP Descripción del formato Los literales de dirección IP se escriben con el formato estándar de cuatro números separados por puntos y no se delimitan mediante comillas: Las direcciones IP pueden presentar una máscara expresada en notación CIDR estándar; no deben existir espacios en blanco entre la dirección y la máscara: /24 Las direcciones IP también se pueden escribir con el formato largo: / Direcciones MAC Números Los literales de dirección MAC se escriben mediante la notación estándar y, al igual que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar en formato decimal: 1234 Se pueden expresar en formato hexadecimal: 0xabcd Se pueden expresar en formato octal: 0777 Se les puede agregar una letra para multiplicarlos por 1024 (K), (M) o (G): 10M 144 McAfee Enterprise Security Manager Guía del producto

145 Configuración del ESM Configuración de dispositivos 3 Tipo Cadenas Descripción del formato Las cadenas se delimitan mediante comillas dobles: "esto es una cadena" Las cadenas pueden usar secuencias de escape estándar de C: "\testo es una \"cadena\" que contiene\x20secuencias de escape\n" Al comparar un término con una cadena, el término debe coincidir con la cadena al completo. Si un mensaje de correo electrónico tiene la dirección de origen no se activará la siguiente regla: .from Para usar la coincidencia parcial con un término, hay que usar un literal de expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea posible, ya que resultan más eficaces. Todos los términos de dirección de correo electrónico y URL se normalizan antes de la coincidencia, por lo que no es necesario tener en cuenta cosas como los comentarios incluidos en las direcciones de correo electrónico. Booleanos Los literales booleanos son verdadero (true) y falso (false). McAfee Enterprise Security Manager Guía del producto 145

146 3 Configuración del ESM Configuración de dispositivos Tipo Expresiones regulares Descripción del formato Los literales de expresión regular emplean la misma notación que algunos lenguajes, como Javascript y Perl, por lo que la expresión regular se delimita mediante barras diagonales: /[a-z]+/ Las expresiones regulares pueden ir seguidas de indicadores de modificación estándar, aunque "i" es el único que se reconoce actualmente (sin distinción entre mayúsculas y minúsculas): /[a-z]+/i Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En este momento, las extensiones Perl funcionan para todos los términos excepto el de contenido, pero esto podría cambiar en versiones futuras. Si se compara un término con una expresión regular, esta puede coincidir con cualquier subcadena incluida en el término a menos que se apliquen operadores de anclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje de correo electrónico con la dirección : .from == Listas Los literales de lista constan de uno o varios literales delimitados por corchetes y separados por comas: [1, 2, 3, 4, 5] Las listas pueden contener cualquier tipo de literal, incluidas otras listas: [ , [ /8, /24]] Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y números, cadenas y expresiones regulares o direcciones IP y direcciones MAC. Cuando se emplea una lista con cualquier operador relacional distinto de no igual a (!=), la expresión es verdadera si el término coincide con cualquier literal de la lista. La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las direcciones IP de la lista: srcip == [ , , ] Esto es equivalente a: srcip == srcip == srcip == Cuando se utiliza con el operador no igual a (!=), la expresión es verdadera si el término no coincide con todos los literales de la lista. La siguiente regla se activa si la dirección IP de origen no es ni : srcip!= [ , ] Esto es equivalente a: srcip!= && srcip!= Las listas también se pueden usar con otros operadores relacionales, aunque no tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior a 100, o bien si es superior a 200: objectsize > [100, 200] Esto es equivalente a: objectsize > 100 objectsize > 200 Referencias métricas para reglas de ADM A continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cuales están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede indicar para cada una se muestra entre paréntesis tras la referencia métrica. Propiedades comunes Propiedad o término Protocol (número) Object Content (cadena) Descripción El protocolo de aplicación (HTTP, FTP, SMTP, etc.). El contenido de un objeto (texto de un documento, mensaje de correo electrónico o mensaje de chat, etc.). La coincidencia de contenido no está disponible para los datos binarios. Sin embargo, los objetos binarios se pueden detectar mediante el tipo de objeto (objtype). 146 McAfee Enterprise Security Manager Guía del producto

147 Configuración del ESM Configuración de dispositivos 3 Propiedad o término Object Type (número) Descripción Especifica el tipo de contenido de acuerdo con ADM (documentos de Office, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.). Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K, M y G tras el número (10K, 10M, 10G). Object Hash (cadena) Object Source IP Address (número) Object Destination IP Address (número) Object Source Port (número) Object Destination Port (número) Object Source IP v6 Address (número) Object Destination IPv6 Address (número) Object Source MAC Address (nombre de MAC) Object Destination MAC Address (nombre de MAC) Flow Source IP Address (IPv4) Flow Destination IP Address (IPv4) Flow Source Port (número) Flow Destination Port (número) Flow Source IPv6 Address (número) Flow Destination IPv6 Address (número) Flow Source MAC Address (nombre de MAC) Flow Destination MAC Address (nombre de MAC) VLAN (número) El hash del contenido (actualmente, MD5). Dirección IP de origen del contenido. La dirección IP se puede especificar como , /24 o / Dirección IP de destino del contenido. La dirección IP se puede especificar como , /24 o / El puerto TCP/UDP de origen del contenido. El puerto TCP/UDP de destino del contenido. Dirección IPv6 de origen del contenido. Dirección IPv6 de destino del contenido. Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff). Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff). Dirección IP de origen del flujo. La dirección IP se puede especificar como , /24 o / Dirección IP de destino del flujo. La dirección IP se puede especificar como , /24 o / Puerto TCP/UDP de origen del flujo. Puerto TCP/UDP de destino del flujo. Dirección IPv6 de origen del flujo. Dirección IPv6 de destino del flujo. Dirección MAC de origen del flujo. Dirección MAC de destino del flujo. ID de LAN virtual. Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1 corresponde al lunes. Hour of Day (número) Declared Content Type (cadena) Password (cadena) La hora del día correspondiente a GMT. Los valores válidos oscilan entre 0 y 23. Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de objeto (objtype) es siempre el tipo real, mientras que el tipo de contenido declarado (content-type) no resulta fiable, ya que el servidor o la aplicación lo pueden falsificar. La contraseña utilizada por la aplicación para la autenticación. McAfee Enterprise Security Manager Guía del producto 147

148 3 Configuración del ESM Configuración de dispositivos Propiedad o término URL (cadena) File Name (cadena) Display Name (cadena) Host Name (cadena) Descripción URL del sitio web. Solo es aplicable en el caso del protocolo HTTP. Nombre del archivo transferido. Nombre de host de acuerdo con la búsqueda DNS. Anomalías comunes User logged off (literal booleano) Authorization error (literal booleano) Authorization successful (literal booleano) Authorization failed (literal booleano) Propiedades específicas de protocolos Además de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM también ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todas las propiedades específicas de protocolos están disponibles también en la página Componente de expresión a la hora de agregar una regla de ADM. Ejemplos de propiedades específicas de protocolos Estas propiedades se aplican a las tablas siguientes: * Solo detección ** Sin descifrado, se capturan los certificados X.509 y los datos cifrados *** A través del módulo RFC822 Tabla 3-31 Módulos de protocolo de transferencia de archivos FTP HTTP SMB* SSL** Nombre de pantalla Nombre de archivo Nombre de host URL Nombre de pantalla Nombre de archivo Nombre de host Referer Nombre de pantalla Nombre de archivo Nombre de host Nombre de pantalla Nombre de archivo Nombre de host URL Todos los encabezados HTTP 148 McAfee Enterprise Security Manager Guía del producto

149 Configuración del ESM Configuración de dispositivos 3 Tabla 3-32 Módulos de protocolo de correo electrónico DeltaSync MAPI NNTP POP3 SMTP CCO*** CC*** Nombre de pantalla De*** Nombre de host Asunto*** Para*** CCO CC Nombre de pantalla De Nombre de host Asunto Para Nombre de usuario CCO*** CC*** Nombre de pantalla De*** Nombre de host Asunto*** Para*** CCO*** CC*** Nombre de pantalla De*** Nombre de host Asunto*** Para*** Nombre de usuario CCO*** CC*** Nombre de pantalla De*** Nombre de host Para*** Asunto*** Tabla 3-33 Módulos de protocolo de correo web AOL Gmail Hotmail Yahoo Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos Nombre de datos adjuntos CCO*** CCO*** CCO*** CCO*** CC*** CC*** CC*** CC*** Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo Nombre de host Nombre de host Nombre de host Nombre de host De*** De*** De*** De*** Asunto*** Asunto*** Asunto*** Asunto*** Para*** Para*** Para*** Para*** Anomalías de protocolo Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente de expresión cuando se agrega una regla de ADM. Tabla 3-34 IP Término ip.too-small ip.bad-offset ip.fragmented ip.bad-checksum ip.bad-length Descripción El paquete IP es demasiado pequeño para contener un encabezado válido. El desplazamiento de datos de IP sobrepasa el final del paquete. El paquete IP está fragmentado. La suma de comprobación del paquete IP no coincide con los datos. El campo totlen del paquete IP sobrepasa el final del archivo. McAfee Enterprise Security Manager Guía del producto 149

150 3 Configuración del ESM Configuración de dispositivos Tabla 3-35 TCP Término tcp.too-small tcp.bad-offset tcp.unexpected-fin tcp.unexpected-syn tcp.duplicate-ack tcp.segment-outsidewindow Descripción El paquete TCP es demasiado pequeño para contener un encabezado válido. El desplazamiento de datos de TCP sobrepasa el final del paquete. El indicador TCP FIN está definido con un estado no establecido. El indicador TCP SYN está definido con un estado establecido. Los datos de ACK del paquete TCP ya se han confirmado. El paquete TCP está fuera de la ventana (la ventana pequeña de TCP del módulo, no la ventana real). tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no se ha definido el indicador URG. Tabla 3-36 DNS Término dns.too-small dns.question-name-past-end dns.answer-name-past-end Descripción El paquete DNS es demasiado pequeño para contener un encabezado válido. El nombre de pregunta de DNS sobrepasa el final del paquete. El nombre de respuesta de DNS sobrepasa el final del paquete. dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de longitud. dns.answer-circular-reference La respuesta de DNS contiene una referencia circular. Configuración de Database Event Monitor (DEM) McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de auditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación de informes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide con patrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todas las transacciones se registran para garantizar la conformidad. El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la misma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil ajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, qué transacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general. El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión de red, seguridad, conformidad y bases de datos. Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría. Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de servidor de base de datos compatibles. 150 McAfee Enterprise Security Manager Guía del producto

151 Configuración del ESM Configuración de dispositivos 3 Sistema operativo Base de datos Dispositivo DEM Agente de DEM Windows (todas las versiones) Windows, UNIX/Linux (todas las versiones) Windows, UNIX/Linux (todas las versiones) UNIX/Linux (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Oracle² Oracle 8.x, 9.x, 10g, 11g (c), 11g R2³ MSSQL 2000 (SP4), 2005, 2008 Oracle , 9.x, 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (disponible en la versión o posterior) MySQL Sí, 4.x, 5.x, 6.x Sí, x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Cache x -- Greenplum Vertica Mainframe DB2/zOS Todas las versiones Opción de agente de partner AS400 DB2 Todas las versiones -- 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión y posteriores. 3 Oracle 11g está disponible en la versión y posteriores. Lo siguiente es aplicable a estos servidores y estas versiones: Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las plataformas de base de datos. MySQL solo se admite en plataformas Windows de 32 bits. El descifrado de paquetes se admite en MSSQL y Oracle. Actualización de la licencia de DEM El DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviará una nueva licencia en un mensaje de correo electrónico y deberá actualizarla. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Licencia Actualizar licencia y pegue la información que le ha enviado McAfee en el campo. 3 Haga clic en Aceptar. El sistema actualizará la licencia y le avisará cuando haya terminado. 4 Despliegue la directiva en el DEM. McAfee Enterprise Security Manager Guía del producto 151

152 3 Configuración del ESM Configuración de dispositivos Sincronización de los archivos de configuración de DEM Cuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, es necesario escribirlos en el DEM. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Sincronizar archivos. Aparecerá un mensaje que indica el estado de la sincronización. Configuración de opciones avanzadas de DEM Estas opciones avanzadas cambian o aumentan el rendimiento del DEM. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si experimenta una carga muy elevada en el DEM. 3 Haga clic en Aceptar. Aplicación de las opciones de configuración al DEM Los cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM. En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración de DEM permite hacerlo para todas las opciones de configuración del DEM. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM. 2 Haga clic en Aplicar. Un mensaje le informará de la escritura de las opciones de configuración en el DEM. Definición de acciones para eventos de DEM La configuración de Administración de acciones del DEM define las acciones y operaciones para los eventos que se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar acciones personalizadas y establecer la Operación para las acciones predeterminadas y personalizadas. El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la página Administración de acciones, y estas son las operaciones predeterminadas: ninguna secuencia de comandos ignorar restablecer rechazar Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia de comandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cual se ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables de 152 McAfee Enterprise Security Manager Guía del producto

153 Configuración del ESM Configuración de dispositivos 3 entorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene una lista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash de muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede capturar la acción de importancia en una secuencia de comandos. Recuerde lo siguiente cuando trabaje con acciones y operaciones: Las acciones aparecen por orden de prioridad. Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a un localizador, a menos que se especifique como acción de alerta. Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una acción para el nivel de alerta más alto. Los eventos se escriben en un archivo de eventos independientemente de la acción. La única excepción es una operación Rechazar. Adición de una acción de DEM Si se agrega una acción a la administración de acciones de DEM, aparece en la lista de acciones disponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla como acción para una regla. 1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas Administrador de acciones de DEM. y, después, en La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad. No es posible cambiar el orden de prioridad de las acciones predeterminadas. 2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción. No es posible eliminar una acción personalizada una vez agregada. 3 Haga clic en Aceptar. La nueva acción se agregará a la lista de Administración de acciones de DEM. La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase Establecimiento de la operación para una acción de DEM. Edición de una acción personalizada de DEM Tras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editar su nombre o cambiar la prioridad. McAfee Enterprise Security Manager Guía del producto 153

154 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas Herramientas Administrador de acciones de DEM. y, después, en 2 Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones: Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que se encuentre en la posición correcta. Para cambiar el nombre o la descripción, haga clic en Editar. 3 Haga clic en Aceptar para guardar la configuración. Establecimiento de la operación para una acción de DEM Todas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción de DEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación de cualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de acciones. 2 Resalte la acción que desee editar y haga clic en Editar. 3 Seleccione una operación y haga clic en Aceptar. Utilización de máscaras de datos confidenciales Las máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datos confidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica, denominada máscara. Se agregan tres máscaras de datos confidenciales estándar a la base de datos 154 McAfee Enterprise Security Manager Guía del producto

155 Configuración del ESM Configuración de dispositivos 3 del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y editar o eliminar las existentes. Estas son las máscaras estándar: Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito Expresión: ((4\d{3}) (5[1-5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} Índice de subcadenas: \0 Patrón de enmascaramiento: ####-####-####-#### Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS Expresión: (\d\d\d-\d\d)-\d\d\d\d Índice de subcadenas: \1 Patrón de enmascaramiento: ###-## Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) Índice de subcadenas: \2 Patrón de enmascaramiento: ******** Administración de máscaras de datos confidenciales A fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras de datos confidenciales y editar o eliminar las existentes. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos confidenciales. 2 Seleccione una opción y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM. Administración de la identificación de usuarios Gran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse y distinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para acceder a la base de datos. La administración de identificadores proporciona una forma de capturar el nombre McAfee Enterprise Security Manager Guía del producto 155

156 3 Configuración del ESM Configuración de dispositivos de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patrones de expresión regular. Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Se agregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega un dispositivo DEM al sistema. Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL Expresión: select\s+username=(\w+) Aplicación: Oracle Índice de subcadenas: \1 Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado Aplicación: MSSQL Índice de subcadenas: \2 Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación, servidor web y sistema. Adición de una regla de identificador de usuario A fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas de identificación de usuarios existentes o de agregar una regla nueva. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de identificadores. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM. Acerca de los servidores de base de datos Los servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en un servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso, se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos. El DEM admite actualmente los siguientes servidores y versiones de base de datos: SO Base de datos Dispositivo DEM Agente de DEM Windows (todas las versiones) Windows UNIX/Linux (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 MSSQL 2000 (SP4), 2005, 2008 Oracle , 9.x, 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (véase la nota 4) McAfee Enterprise Security Manager Guía del producto

157 Configuración del ESM Configuración de dispositivos 3 SO Base de datos Dispositivo DEM Agente de DEM UNIX/Linux (todas las versiones) MySQL Sí, 4.x, 5.x, 6.x Sí, x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Cache x -- Greenplum Vertica Mainframe DB2/zOS Todas las versiones Opción de agente de partner AS 400 DB2 Todas las versiones -- 1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones y posteriores. 2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones y posteriores. 3 Oracle 11g está disponible en la versión y posteriores. 4 Existe compatibilidad con Informix en las versiones y posteriores. Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos y las plataformas de base de datos. Los agentes de DEM se admiten en todas las versiones de los SO Windows, UNIX y Linux. Los agentes de DEM requieren una máquina virtual Java (JVM). MySQL solo se admite en plataformas Windows de 32 bits. El descifrado de paquetes se admite para MSSQL y Oracle. Administración de servidores de base de datos La página Servidores de base de datos es el punto de inicio para la administración de la configuración de todos los servidores de base de datos del dispositivo DEM. 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de datos. 2 Seleccione cualquiera de las opciones disponibles. 3 Haga clic en Aceptar. Administración de notificaciones de descubrimiento de base de datos El DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista de excepciones de servidores de base de datos que no se supervisan. Esta lista permite a un administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y los puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos. Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Es posible elegir entonces si agregar o no el servidor a los supervisados en el sistema. McAfee Enterprise Security Manager Guía del producto 157

158 3 Configuración del ESM Configuración de dispositivos 1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores de base de datos Activar. Se le notificará la activación. 2 Haga clic en Aceptar para cerrar Propiedades de DEM. 3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y seleccione Vistas de evento Análisis de eventos. 4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú y seleccione Agregar servidor. Configuración del ESM distribuido (DESM) El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal conectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extrae los datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder a información detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM. El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas ni eventos del DESM hasta que está aprobado. Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.". Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM principal puede tener con el DESM. El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se desactivan en todos los dispositivos secundarios del DESM. El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los filtros que se hayan definido. Adición de filtros de DESM Los datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos por el usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de forma que se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), es necesario establecer filtros para que se recuperen los datos del ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros. 2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar. 158 McAfee Enterprise Security Manager Guía del producto

159 Configuración del ESM Configuración de dispositivos 3 Configuración de epolicy Orchestrator Es posible agregar un dispositivo epolicy Orchestrator al ESM, cuyas aplicaciones aparecerán como elementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a algunas funciones del ESM, además de asignar etiquetas de epolicy Orchestrator a direcciones IP de origen o destino directamente y a los eventos generados por alarmas. epolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de epolicy Orchestrator. Debe contar con privilegios de lectura en la base de datos principal y la base de datos de epolicy Orchestrator para poder usar epolicy Orchestrator. Si el dispositivo McAfee epo tiene un servidor de McAfee Threat Intelligence Exchange, se agrega automáticamente al agregar el dispositivo McAfee epo al ESM (véase Integración con Threat Intelligence Exchange). Ejecución de epolicy Orchestrator Si dispone de un dispositivo epolicy Orchestrator o un origen de datos en el ESM y la dirección IP de epolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de epolicy Orchestrator desde ESM. Antes de empezar Agregue un dispositivo epolicy Orchestrator o un origen de datos al ESM. Esta función está disponible en epolicy Orchestrator 4.6 o posterior. 1 En el árbol de navegación del sistema, seleccione una vista. 2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular que devuelva datos de IP de origen o destino. 3 En el menú del componente, haga clic en Acción Ejecutar epo. Si solo dispone de un dispositivo epolicy Orchestrator o un origen de datos en el sistema y ha seleccionado una IP de origen o de destino en el Paso 1, se ejecutará epolicy Orchestrator. Si dispone de más de un dispositivo epolicy Orchestrator u origen de datos en el sistema, seleccione aquel al que desee acceder y se ejecutará epolicy Orchestrator. Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique si desea acceder a la dirección IP de origen o de destino y, después, se ejecutará epolicy Orchestrator. Autenticación de dispositivos McAfee epo Se requiere autenticación para poder utilizar las etiquetas o acciones de McAfee epo o McAfee Real Time for McAfee epo. Hay dos tipos de autenticación: McAfee Enterprise Security Manager Guía del producto 159

160 3 Configuración del ESM Configuración de dispositivos Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee epo, puede utilizar estas funciones tras introducir las credenciales globales. Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en el árbol de dispositivos. Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee epo, emplee el método de autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este dispositivo. Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo plano mediante McAfee Real Time for McAfee epo, se utilizan las credenciales de McAfee epo suministradas originalmente. Configuración de la autenticación mediante cuentas independientes La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas que debe hacer para configurar la autenticación mediante cuentas independientes. 1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee epo al ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola de ESM o Cambio de la conexión con ESM). 2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticación de McAfee epo). Adición de credenciales de autenticación de McAfee epo Antes de utilizar las etiquetas o acciones de McAfee epo o McAfee Real Time for McAfee epo, es necesario agregar las credenciales de autenticación al ESM. Antes de empezar Instale un dispositivo McAfee epo en el ESM (véase Adición de dispositivos a la consola de ESM). Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto con el administrador del sistema. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en Credenciales de epo. 2 Haga clic en el dispositivo y, después, en Editar. 3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión. 4 Haga clic en Aceptar. Asignación de etiquetas de epolicy Orchestrator a las direcciones IP La ficha Etiquetado de epo muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventos generados por una alarma y ver si una alarma dispone de etiquetas de epolicy Orchestrator. También se puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP. A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de actividad del agente en epolicy Orchestrator. 160 McAfee Enterprise Security Manager Guía del producto

161 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione Propiedades de epo y haga clic en Etiquetando. 2 Introduzca la información solicitada y, a continuación, haga clic en Asignar. Las etiquetas seleccionadas se aplicarán a la dirección IP. Adquisición de datos de McAfee Risk Advisor Es posible especificar varios servidores de epolicy Orchestrator en los que adquirir los datos de McAfee Risk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la base de datos de SQL Server de epolicy Orchestrator. La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas de epolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos y altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino. Cuando agregue epolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un administrador de correlación de riesgos. Activación de la adquisición de datos de McAfee Risk Advisor Cuando se activa la adquisición de datos de McAfee Risk Advisor en epolicy Orchestrator, se genera una lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificación de los campos IP de origen e IP de destino. 1 En el árbol de navegación del sistema, seleccione Propiedades de epo Administración de dispositivos y, después, haga clic en Activar. Se le informará cuando la adquisición haya sido activada. 2 Haga clic en Aceptar. Realización de acciones de McAfee Real Time for McAfee epo Es posible ejecutar acciones de McAfee Real Time for McAfee epo en los resultados de una pregunta desde el ESM y el componente que muestra una dirección IP en la vista. Antes de empezar Diseñe y ejecute una pregunta de McAfee Real Time for McAfee epo (véase Consulta en McAfee epo del panel de McAfee Real Time for McAfee epo). McAfee Enterprise Security Manager Guía del producto 161

162 3 Configuración del ESM Configuración de dispositivos 1 En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestre los resultados de una pregunta de McAfee Real Time for McAfee epo. 2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for epo. 3 En la ficha Dispositivos, seleccione el dispositivo McAfee epo para realizar la acción. 4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos seleccionados. 5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación, pulse Finalizar. Los filtros no están disponibles en el panel o los componentes de McAfee epo. Integración con Threat Intelligence Exchange Threat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpoints conectados a estos archivos. Cuando se agrega un dispositivo McAfee epo al ESM, el sistema detecta de forma automática si hay un servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza a escuchar los eventos de DXL y de registro. Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, el enriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agregan automáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificación visual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor de Threat Intelligence Exchange se agrega al servidor de McAfee epo después de que el dispositivo se haya agregado al ESM. Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos. Reglas de correlación Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas reglas generan eventos que se pueden buscar y ordenar. TIE - Reputación de GTI cambiada de limpia a contaminada TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts TIE - Varios archivos maliciosos encontrados en un único host TIE - Reputación de TIE cambiada de limpia a contaminada TIE - Aumento de archivos maliciosos detectado en todos los hosts 162 McAfee Enterprise Security Manager Guía del producto

163 Configuración del ESM Configuración de dispositivos 3 Alarmas El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat Intelligence Exchange. Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts. Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega información a la lista de vigilancia IP de orígenes de datos de TIE. Lista de vigilancia La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad. Historial de ejecución de Threat Intelligence Exchange Existe la posibilidad de ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véase Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange), el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página, puede seleccionar un elemento y realizar cualquiera de estas acciones: Crear una nueva lista de vigilancia Agregar la información a una lista negra Anexar la información a una lista de vigilancia Exportar la información a un archivo.csv Crear una nueva alarma Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange La página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemas que han ejecutado el archivo asociado con el evento seleccionado. Antes de empezar Es necesario que exista un dispositivo epolicy Orchestrator con un servidor de Threat Intelligence Exchange conectado en el ESM. 1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo epolicy Orchestrator. 2 En la lista desplegable de vistas, seleccione Vistas de evento Análisis de eventos y, después, haga clic en el evento. 3 Haga clic en el icono de menú y seleccione Acciones Historial de ejecución de TIE. 4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat Intelligence Exchange. 5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú desplegable Acciones y seleccione una opción para abrir su página de ESM. 6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones). McAfee Enterprise Security Manager Guía del producto 163

164 3 Configuración del ESM Configuración de dispositivos Consultas en dispositivos McAfee epo sobre informes o vistas Es posible consultar varios dispositivos McAfee epo en relación con un informe o vista si están integrados con McAfee Real Time for McAfee epo. Antes de empezar Compruebe que los dispositivos McAfee epo consultados estén integrados con McAfee Real Time for McAfee epo. 1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono Propiedades y, después, en Informes. 2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la sección 5. 3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular. 4 En el Asistente de consultas, seleccione Real Time for McAfee epo en la lista desplegable y, a continuación, seleccione el elemento o la pregunta para la consulta. 5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee epo que consultar. 6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en Aceptar. 7 Si ha seleccionado Pregunta de epo personalizada en la lista desplegable, haga clic en Campos, seleccione los elementos que desee incluir en la pregunta y haga clic en Aceptar. 8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y guarde el informe. Consultas en dispositivos McAfee epo para el enriquecimiento de datos Es posible ejecutar una consulta en varios dispositivos McAfee epo para el enriquecimiento de datos si están integrados con McAfee Real Time for McAfee epo. Antes de empezar Compruebe que los dispositivos McAfee epo consultados estén integrados con McAfee Real Time for McAfee epo. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y, después, haga clic en Enriquecimiento de datos. 2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal. 3 En la ficha Origen, seleccione McAfee Real Time for McAfee epo en el campo Tipo y, después, seleccione los dispositivos en el campo Dispositivo. 4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación, haga clic en Finalizar. 164 McAfee Enterprise Security Manager Guía del producto

165 Configuración del ESM Configuración de dispositivos 3 Consulta de dispositivos McAfee epo en el panel de McAfee Real Time for McAfee epo Se puede ejecutar una consulta de varios dispositivos McAfee epo en la vista del panel de McAfee Real Time for McAfee epo. Antes de empezar Compruebe que los dispositivos McAfee epo consultados estén integrados con McAfee Real Time for McAfee epo. 1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee epo que consultar. 2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee epo. 3 Seleccione los filtros en el panel Filtros: a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para la consulta. b c En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto. Seleccione la acción de filtrado y escriba el valor. 4 Haga clic en el icono Ejecutar consulta. Configuración de Nitro Intrusion Prevention System (Nitro IPS) El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en la red sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPS incluye un administrador de datos incrustado (empleado para la administración, la adquisición y el análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, la detección de anomalías. El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todo ello en función de un conjunto de reglas definido por el usuario que se especifica mediante un lenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewall completamente funcional controlado por reglas de firewall estándar del sector, el cual proporciona capacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar. Asistente de detección de anomalías Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si se han recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y una descripción de todas las variables disponibles en el dispositivo seleccionado. Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla que solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de la categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin de elegir los mejores valores en su caso. McAfee Enterprise Security Manager Guía del producto 165

166 3 Configuración del ESM Configuración de dispositivos El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo deseado. A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las variables que afectan a su funcionamiento: Regla Large inbound byte rate Large inbound bytes Large inbound network connections rate Large inbound packet rate Large inbound packet Large outbound byte rate Variables LARGE_INBOUND_BYTE_RATE_LIMIT, LARGE_INBOUND_BYTE_RATE_SECONDS LARGE_INBOUND_BYTES_LIMIT LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT LARGE_INBOUND_PACKET_RATE_LIMIT, LARGE_INBOUND_PACKET_RATE_SECS LARGE_INBOUND_PACKETS_LIMIT LARGE_OUTBOUND_BYTE_RATE_LIMIT, LARGE_OUTBOUND_BYTE_RATE_SECONDS Large outbound network connection rate LARGE_OB_CONN_RATE_BURST, LARGE_OB_CONN_RATE_LIMIT Large outbound packet rate Large outbound packets Long connection duration LARGE_OUTBOUND_PACKET_RATE_LIMIT, LARGE_OUTBOUND_PACKET_RATE_SECS LARGE_OUTBOUND_PACKETS_LIMIT LONG_DURATION_SECONDS Edición de variables de detección de anomalías El Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías y proporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa. 1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile datos de flujo y haga clic en el icono Propiedades. 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar. Generación de un Informe de análisis El Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red. Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de una inspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valores correspondientes a los parámetros de reglas de anomalías según la tasa. Con el fin de generar un informe, el dispositivo debe tener al menos flujos generados. 166 McAfee Enterprise Security Manager Guía del producto

167 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado datos de flujo y haga clic en el icono Propiedades. 2 Haga clic en Editar en el campo Asistente de detección de anomalías. 3 Haga clic en Análisis Informe de análisis y seleccione el intervalo de tiempo y la variable para el informe. 4 Haga clic en Aceptar. Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles. Acceso a reglas de firewall y estándar Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver, exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales. Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor de directivas. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en Reglas estándar. 2 Seleccione cualquiera de las opciones y haga clic en Aceptar. Lista negra de dispositivo virtual o IPS La lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, los destinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si el dispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificación Incluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que el dispositivo incluya dicha configuración. La pantalla Editor de la lista negra incluye tres fichas: Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. McAfee Enterprise Security Manager Guía del producto 167

168 3 Configuración del ESM Configuración de dispositivos Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional. Recuerde lo siguiente cuando agregue entradas: Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa Modificar. Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o permanente. No obstante, las entradas de Exclusiones deben ser permanentes. Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción. Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para garantizar el bloqueo de ciertos sitios web. Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra. El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos. Administración de la lista negra de IPS Es posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar, modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva y actualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones o resolver un nombre de host o dirección IP. 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra Editor. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones. 3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar. Configuración de inclusión automática en la lista negra La página Configuración de lista negra automática permite administrar las opciones de configuración de inclusión automática en la lista negra para el dispositivo. La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma independiente. 168 McAfee Enterprise Security Manager Guía del producto

169 Configuración del ESM Configuración de dispositivos 3 1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra Configuración. 2 Defina la configuración según proceda y haga clic en Aceptar. Configuración de McAfee Vulnerability Manager McAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciar un análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido un dispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM. McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Vulnerability Manager. Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager Es necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes de configurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM. 1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone Certificate Manager.exe. 2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL). 3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver. 4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para generar la frase de contraseña y un archivo.zip. 5 Cargue el archivo.zip y copie la frase de contraseña generada. Ejecución de análisis de McAfee Vulnerability Manager La página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se han ejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, una API comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posible iniciar un nuevo análisis desde esta página. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis. 2 Haga clic en Nuevo análisis y rellene la información solicitada. 3 Haga clic en Aceptar. Una vez terminado el análisis, se agrega a la lista de análisis. McAfee Enterprise Security Manager Guía del producto 169

170 3 Configuración del ESM Configuración de dispositivos Configuración de la conexión con McAfee Vulnerability Manager Es necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin de extraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como para que la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager. Antes de empezar Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee Vulnerability Manager. El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el dispositivo se comunica con ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión. 2 Rellene la información solicitada y, después, haga clic en Aceptar. Configuración de McAfee Network Security Manager Es posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permite acceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y desea acceder a él desde el ESM. Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores del dispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación del sistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de McAfee Network Security Manager. Adición de una entrada de lista negra McAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La página Lista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página, es posible agregar, editar y eliminar elementos de la lista negra. Es necesario ser superusuario para utilizar la función de lista negra. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y seleccione un sensor. 2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global. El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, la dirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager. Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario eliminar los elementos manualmente. 3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar. La entrada aparecerá en la lista negra hasta que caduque. 170 McAfee Enterprise Security Manager Guía del producto

171 Configuración del ESM Configuración de los servicios auxiliares 3 Adición o eliminación de una entrada de lista negra previamente borrada Cualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tiene una duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negra cuando se realiza una consulta en McAfee Network Security Manager (Manager). Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en el ESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra. 1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra. 2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en Agregar o en Eliminar. 3 Haga clic en Aplicar o en Aceptar. Configuración de los servicios auxiliares Entre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocolo Network Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que se comuniquen con el ESM. Contenido Información general del sistema Opciones de configuración del servidor de Remedy Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Configuración de las opciones de red Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP Información general del sistema En la página Propiedades del sistema Información del sistema, se puede ver información general sobre el sistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventos que se han producido en el sistema o los dispositivos. Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado de una actualización de reglas o de una copia de seguridad del sistema. Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y su estado operativo actual. La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas funciones. El estado OK significa que la base de datos funciona de la forma normal. Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las Propiedades del sistema. McAfee Enterprise Security Manager Guía del producto 171

172 3 Configuración del ESM Configuración de los servicios auxiliares Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de copia de seguridad y restauración. En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba automática de FIPS, así como su estado. Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento. Opciones de configuración del servidor de Remedy Si utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se pueda comunicar con él. Antes de empezar Configure el sistema Remedy. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Configuración personalizada Remedy. 2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic en Aceptar. Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con la información introducida en esta página. Definición de la configuración de los mensajes Cuando se define la configuración de acción para una alarma o se configura el método de entrega de un informe, se puede optar por enviar un mensaje. Para ello, es necesario conectar el ESM al servidor de correo y configurar los destinatarios a los que se desea enviar mensajes de correo electrónico, SMS, SNMP o syslog. Es posible enviar notificaciones de alarma mediante el protocolo SNMPv1. SNMP emplea UDP como protocolo de transporte para pasar datos entre los administradores y los agentes. En una configuración SNMP típica, un agente como el ESM puede reenviar eventos a un servidor SNMP (que suele denominarse estación de administración de red (NMS) mediante paquetes de datos conocidos como capturas. Esto puede resultar útil cuando se desea recibir informes de eventos del ESM de la misma forma que se reciben notificaciones de otros agentes de la red. Debido a las limitaciones de tamaño de los paquetes de captura SNMP, cada línea del informe se envía en una captura distinta. Los informes de consulta en CSV generados por el ESM también se pueden enviar mediante syslog. Los informes de consulta en CSV se envían con el método de una línea por mensaje de syslog, con los datos de cada línea de los resultados de la consulta organizados mediante campos separados por comas. Conexión con el servidor de correo Configure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajes de alarma e informativos. 172 McAfee Enterprise Security Manager Guía del producto

173 Configuración del ESM Configuración de los servicios auxiliares 3 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Configuración de correo electrónico y escriba el host y el puerto correspondientes al servidor de correo electrónico. 2 Proporcione la información solicitada a fin de conectar con el servidor de correo. 3 Haga clic en Aplicar o en Aceptar para guardar la configuración. Véase también Administración de destinatarios en la página 173 Administración de destinatarios Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de forma que es posible enviar un mensaje a varios destinatarios a la vez. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de correo electrónico. 2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos. 3 Haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleen destinatarios dentro del ESM. Configuración de NTP en un dispositivo Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP (Network Time Protocol). 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración NTP. 3 Rellene la información solicitada y, después, haga clic en Aceptar. s Visualización del estado de los servidores NTP en la página 174 Es posible ver el estado de todos los servidores NTP del ESM. McAfee Enterprise Security Manager Guía del producto 173

174 3 Configuración del ESM Configuración de los servicios auxiliares Visualización del estado de los servidores NTP Es posible ver el estado de todos los servidores NTP del ESM. Antes de empezar Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del sistema o Configuración de NTP en un dispositivo). 1 En el árbol de navegación del sistema, realice una de las siguientes acciones: Seleccione Propiedades del sistema Información del sistema y haga clic en Reloj del sistema. En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y seleccione Configuración NTP. 2 Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar. Véase también Sincronización de la hora del sistema en la página 180 Configuración de NTP en un dispositivo en la página 41 Configuración de las opciones de red Configure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESM y las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, la configuración de SSH y la adición de rutas estáticas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de red. 2 Rellene la información para configurar la conexión con la red. 3 Haga clic en Aplicar o en Aceptar. s Configuración del puerto IPMI en el ESM o los dispositivos en la página 177 Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. Configuración del control del tráfico de red en el ESM en la página 178 Defina un valor de salida de datos máximo para el ESM. Configuración de DHCP en la página 179 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Configuración de DHCP en una VLAN en la página 180 El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. 174 McAfee Enterprise Security Manager Guía del producto

175 Configuración del ESM Configuración de los servicios auxiliares 3 Administración de interfaces de red La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección IP. Interfaz de administración Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo requieren el uso de una interfaz de administración: Control completo de las tarjetas de red de omisión Uso de la sincronización de hora NTP Syslog generado por dispositivo Notificaciones SNMP Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la comunicación hacia otra dirección IP o nombre de host de destino. No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública y su seguridad podría ponerse en peligro. En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo. NIC de omisión Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión (véase Configuración de NIC de omisión). Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de interfaces de red La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas opciones para cada dispositivo. McAfee Enterprise Security Manager Guía del producto 175

176 3 Configuración del ESM Configuración de los servicios auxiliares 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces. 3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar. Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso. Adición de VLAN y alias Es posible agregar redes de área local virtuales (VLAN) y alias (pares asignados de dirección IP y máscara de red que se agregan si hay algún dispositivo de red con más de una dirección IP) a una interfaz de ACE o ELM. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en la opción Configuración correspondiente al dispositivo, después en Interfaces y, por último, en Opciones avanzadas. 3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar. 4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias. 5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar. Adición de rutas estáticas Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no disponibles a través del gateway predeterminado. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Interfaces. 3 Junto a la tabla Rutas estáticas, haga clic en Agregar. 4 Introduzca la información y, a continuación, haga clic en Aceptar. NIC de omisión En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo pasa al modo de omisión y cuando sale de él. 176 McAfee Enterprise Security Manager Guía del producto

177 Configuración del ESM Configuración de los servicios auxiliares 3 Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en el modo de omisión. Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo 3). Configuración de NIC de omisión En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase todo el tráfico. Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de omisión, pero no cambiar la configuración. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Configuración Interfaces. 3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte inferior. 4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración. 5 Haga clic en Aceptar. Configuración del puerto IPMI en el ESM o los dispositivos Es posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos. Esto permite realizar varias acciones: Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para el software IPMI. Acceder a una máquina virtual basada en el kernel (KVM) de IPMI. Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de alimentación. Restablecer la tarjeta IPMI. Llevar a cabo un restablecimiento en caliente o en frío. Configuración del puerto IPMI en el ESM o los dispositivos Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos. McAfee Enterprise Security Manager Guía del producto 177

178 3 Configuración del ESM Configuración de los servicios auxiliares 1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga clic en el icono Propiedades. 2 Acceda a la ficha Configuración de red Avanzada. En el ESM, haga clic en Configuración de red Avanzada. En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces Opciones avanzadas 3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway de IPMI. Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/ areca/system_bios_update/contents README.txt. 4 Haga clic en Aplicar o en Aceptar. Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de configurar el IPMI. Configuración del control del tráfico de red en el ESM Defina un valor de salida de datos máximo para el ESM. Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la cantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) y gigabits (Gb) por segundo. Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Configuración de red y, después, en la ficha Tráfico. La tabla presenta una lista de los controles existentes. 3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar. Si establece la máscara como cero (0), se controlan todos los datos enviados. 4 Haga clic en Aplicar. Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada. 178 McAfee Enterprise Security Manager Guía del producto

179 Configuración del ESM Configuración de los servicios auxiliares 3 Uso de los nombres de host El nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar los nombres de host de forma que se asocien con sus correspondientes direcciones IP. En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, así como establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático. Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host, situado en la parte inferior de los componentes de vista. Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se agregan a la tabla de hosts. En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la página Propiedades del sistema Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la siguiente vez que se selecciona la opción Mostrar nombres de host en una vista. La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la introducción de un nombre de host y una dirección IP individualmente, o bien a través de la importación de una lista delimitada por tabulaciones de nombres de host y direcciones IP. Cuantos más datos introduzca de esta forma, menos tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca, pero es posible editarlo o quitarlo. Administración de los nombres de host Lleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts, tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer el momento de caducidad de los hosts de aprendizaje automático. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts. 2 Seleccione una opción e introduzca la información solicitada. 3 Haga clic en Aplicar o en Aceptar. Configuración de DHCP El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. Los alias se desactivan cuando se activa DHCP. McAfee Enterprise Security Manager Guía del producto 179

180 3 Configuración del ESM Configuración de los servicios auxiliares 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades. 2 Siga uno de los procedimientos siguientes: En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. 3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. 4 Haga clic en Aceptar. Configuración de DHCP en una VLAN El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces y servicios. Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los servicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer las direcciones IP de la red. 1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación, haga clic en el icono Propiedades. 2 Siga uno de los procedimientos siguientes: En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal. En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en Interfaces y, a continuación, en la ficha Red. 3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada. 4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP. 5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar. En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren el reinicio del servidor de ESM. Sincronización de la hora del sistema Ya que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, es importante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia 180 McAfee Enterprise Security Manager Guía del producto

181 Configuración del ESM Configuración de los servicios auxiliares 3 constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionar que el ESM y los dispositivos se sincronicen con un servidor NTP. Configuración de la hora del sistema Antes de empezar Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves de autorización y sus ID de clave. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar. Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP. La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puede acceder de nuevo a la lista de servidores NTP y comprobar su estado. Sincronización de los relojes de dispositivos Es posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datos generados por los diversos sistemas reflejen la misma configuración. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo. Se le informará cuando finalice la sincronización o en caso de que exista algún problema. 2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página Información del dispositivo. Instalación de un nuevo certificado El ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. La mayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificado no se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para el ESM, deberá instalarlo. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Administración de claves y, después, en Certificado. 3 Haga su selección y, a continuación, haga clic en Cerrar. McAfee Enterprise Security Manager Guía del producto 181

182 3 Configuración del ESM Configuración de los servicios auxiliares Configuración de perfiles Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de perfiles. 2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil. 3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información solicitada. 4 Haga clic en Aceptar. Configuración de SNMP Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/ inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos, recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del comando snmpwalk. SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS). Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado de mantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a un ESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todos los appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivo y de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee). Configuración de las opciones de SNMP Configure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios con nombres que no incluyan espacios pueden realizar consultas SNMP. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración SNMP. 2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP. 3 Haga clic en Aceptar. Configuración de una captura SNMP para la notificación de fallos de alimentación Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos de alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación. 182 McAfee Enterprise Security Manager Guía del producto

183 Configuración del ESM Configuración de los servicios auxiliares 3 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Configuración SNMP, después en la ficha Capturas SNMP y, a continuación, seleccione Error de hardware general. 3 Haga clic en Aplicar o en Aceptar. Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de mantenimiento junto al dispositivo en el árbol de navegación del sistema. Es posible agregar una alarma para que se active cuando se produzca un fallo (véase Adición de una alarma de notificación sobre fallos de alimentación). Creación de una captura SNMP a modo de acción en una alarma Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. Antes de empezar Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP). 1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. b c Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil. Rellene los campos restantes y haga clic en Aplicar. 2 Configure SNMP en el ESM. a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. b c Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregado en el Paso 1. Haga clic en Aplicar. 3 Defina una alarma con Captura SNMP como acción. a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar. b c d Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones. Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los mensajes SNMP. Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y, después, en Agregar. McAfee Enterprise Security Manager Guía del producto 183

184 3 Configuración del ESM Configuración de los servicios auxiliares e f Seleccione una plantilla existente o haga clic en Agregar para definir una plantilla nueva. Vuelva a la página Configuración de alarma y continúe con la configuración. Adición de una alarma de notificación sobre fallos de alimentación Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Antes de empezar Configure una captura SNMP de tipo Error de hardware general (véase Configuración de una captura SNMP para la notificación de fallos de alimentación). 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Alarmas y después en Agregar, agregue los datos requeridos en la ficha Resumen y, a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de evento interno. 4 En el campo Campo, seleccione ID de firma y, a continuación, escriba en el campo Valor(es). 5 Rellene la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar. Se activará una alarma cuando falle una fuente de alimentación. SNMP y la MIB de McAfee Es posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB (Management Information Base, base de datos de información de administración) de McAfee define el identificador de objeto (OID) de cada objeto o característica de interés. La MIB define grupos de objetos para: Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Un receptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP de McAfee. Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de datos SNMP de McAfee. Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los dispositivos que administra, así como responder a ellas. Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra. La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre las que se incluyen: la acción realizada cuando se recibe una alerta la dirección y el estado del flujo los tipos de orígenes de datos las acciones de lista negra 184 McAfee Enterprise Security Manager Guía del producto

185 Configuración del ESM Configuración de los servicios auxiliares 3 La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information (SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a través de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso). Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de administración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los objetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelen llevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno o varios OID junto con la instancia concreta del OID. El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al siguiente: OID de solicitud y respuesta Unidades Valor de respuesta Significado Interno Nombre del dispositivo Nitro IPS Identificador único del ESM para el dispositivo Nitro IPS La comunicación con Nitro IPS está disponible (1) o no está disponible (0) Ok Estado de Nitro IPS off Estado de las NIC de omisión de Nitro IPS Nitro IPS Modo de Nitro IPS (Nitro IPS o IDS) Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU MB 1010 Total de RAM de Nitro IPS MB 62 RAM disponible MB Total de espacio de la unidad de disco duro particionado para la base de datos de Nitro IPS MB Espacio libre de la unidad de disco duro disponible para la base de datos de Nitro IPS Segundos desde 01/01/ :00:00.0 (GMT) Hora actual del sistema del dispositivo Nitro IPS a Información de versión y compilación de Nitro IPS ABCD:1234 ID de equipo de Nitro IPS McAfee Enterprise Security Manager Guía del producto 185

186 3 Configuración del ESM Configuración de los servicios auxiliares OID de solicitud y respuesta Unidades Valor de respuesta Significado Nitro IPS Número de modelo de Nitro IPS Alertas por minuto Flujos por minuto 140 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 165 Tasa de flujos (por minuto) durante un mínimo de 10 minutos Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP, el ESM. Los números significan lo siguiente: : el número de empresa de McAfee asignado por la Autoridad de asignación de números de Internet (IANA) : una solicitud de estado de Nitro IPS. Del segundo al último número (1 17 en el ejemplo anterior): para solicitar los diversos aspectos del estado de Nitro IPS. El último número (2): la instancia concreta del OID, el ID de Nitro IPS. El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado. Las tablas siguientes muestran el significado de los OID del ESM y el receptor. Tabla 3-37 Estado de ESM OID de solicitud y respuesta Unidades Valor de respuesta Significado Porcentaje 4 Porcentaje instantáneo combinado de carga de la CPU MB 3518 Total de RAM MB 25 RAM disponible MB Total de espacio de la unidad de disco duro particionado para la base de datos de ESM MB Espacio libre de la unidad de disco duro disponible para la base de datos de ESM Segundos desde 01/01/ :00:0.0 (GMT) Hora actual del sistema en el ESM Versión y compilación del ESM EEE:6669 ID de equipo del ESM ESM Número de modelo del ESM 186 McAfee Enterprise Security Manager Guía del producto

187 Configuración del ESM Configuración de los servicios auxiliares 3 Tabla 3-38 Estado del receptor OID de solicitud y respuesta Unidades Valor de respuesta Significado Event Receiver Nombre del receptor Identificador único del ESM para el receptor Indica que la comunicación con el receptor está disponible (1) o no está disponible (0) Correcto Indica el estado del receptor Porcentaje 2 Porcentaje instantáneo combinado de carga de la CPU MB 7155 Total de RAM MB 5619 RAM disponible MB Total de espacio de la unidad de disco duro particionado para la base de datos del receptor MB Espacio libre de la unidad de disco duro disponible para la base de datos del receptor Segundos desde 01/01/ :00:0.0 (GMT) Hora actual del sistema en el receptor a Versión y compilación del receptor EEE:CCC6 ID de equipo del receptor Receiver Número de modelo del receptor Alertas por minuto Flujos por minuto 1 Tasa de alertas (por minuto) durante un mínimo de 10 minutos 2 Tasa de flujos (por minuto) durante un mínimo de 10 minutos Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos podría tener un aspecto similar al siguiente: McAfee Enterprise Security Manager Guía del producto 187

188 3 Configuración del ESM Configuración de los servicios auxiliares OID Valor Significado ID de alerta del ESM ID de alerta del dispositivo Interno Nombre de dispositivo ID de dispositivo IP de origen Puerto de origen AB:CD:EF:01:23:45 MAC de origen IP de destino Puerto de destino :23:45:AB:CD:EF MAC de destino Protocolo VLAN Dirección Recuento de eventos Primera vez Última vez Última vez (microsegundos) ID de firma ANOMALY Inbound High to High Descripción de firma Acción realizada Gravedad Resultado o tipo de origen de datos ID de firma normalizado :0:0:0:0:0:0:0 Dirección IPv6 de origen :0:0:0:0:0:0:0 Dirección IPv6 de destino Aplicación Dominio Host Usuario (origen) Usuario (destino) Comando 188 McAfee Enterprise Security Manager Guía del producto

189 Configuración del ESM Administración de la base de datos 3 OID Valor Significado Objeto Número de secuencia Indica si se ha generado en un entorno de confianza o no fiable ID de la sesión que generó la alerta Los números significan lo siguiente: : el número de empresa de McAfee asignado por la IANA. 1.1: una solicitud de estado de Nitro IPS. El número final (1 35): para informar de las diversas características de la alerta. Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/ BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM. Administración de la base de datos El objetivo de la administración de la base de datos del ESM es proporcionar información y opciones de configuración a medida que se establecen las funciones en el sistema. Es posible administrar la configuración de indización de la base de datos, ver e imprimir información sobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones de almacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventos y flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos. Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento adicional para almacenamiento del sistema, de datos y de alto rendimiento. Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de realizar este proceso. Véase también Administración de la indización de acumulación en la página 192 Administración de la configuración de índice de la base de datos en la página 192 Configuración de límites de retención de datos en la página 191 Visualización de la utilización de memoria de la base de datos en la página 193 Configuración del almacenamiento de datos de ESM Existen tres tipos de almacenamiento externo que se pueden configurar para almacenar los datos de ESM: interfaz estándar de equipos pequeños de Internet (iscsi), red de área de almacenamiento (SAN) y almacenamiento conectado directamente (DAS). Una vez conectados al ESM, es posible configurarlos para almacenar los datos procedentes del ESM. McAfee Enterprise Security Manager Guía del producto 189

190 3 Configuración del ESM Administración de la base de datos 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Almacenamiento de datos. 2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada. 3 Haga clic en Cancelar para cerrar la página. Véase también Configuración de límites de retención de datos en la página 191 Configuración del almacenamiento de datos de máquina virtual de ESM Si su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtual en la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para el almacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual. Cada una de las listas desplegables de la página Asignación de datos incluye las unidades de almacenamiento disponibles que se montan en la máquina virtual. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Datos de máquina virtual. 2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es posible seleccionar una vez cada unidad. 3 Haga clic en Aceptar. Aumento del número de índices de acumulación disponibles Debido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a un campo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino, zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42). El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine que es absolutamente necesario. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. 190 McAfee Enterprise Security Manager Guía del producto

191 Configuración del ESM Administración de la base de datos 3 3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar. Los índices estándar se muestran en el área Activado. 4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para moverlos al área Disponible. El número de la indicación restante(s), situada en la esquina superior derecha de la página, aumentará con cada índice estándar desactivado. Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado (véase Administración de la indización de acumulación). Configuración de un archivo de particiones inactivas ESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estar inactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particiones inactivas de forma que no se eliminen. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Archivado. 2 Rellene los campos, que variarán en función del tipo seleccionado. 3 Haga clic en Aceptar para guardar la configuración. A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en las fichas Particiones de eventos y Particiones de flujos. Configuración de límites de retención de datos Si cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidad de tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datos históricos insertados. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Retención de datos. 2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea restringir los datos históricos. 3 Haga clic en Aceptar. Véase también Configuración del almacenamiento de datos de ESM en la página 189 Definición de los límites de asignación de datos El número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. La asignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registros deben incluirse en las búsquedas para optimizar las consultas. McAfee Enterprise Security Manager Guía del producto 191

192 3 Configuración del ESM Administración de la base de datos 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Asignación de datos. 2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien haga clic en las flechas de los campos Eventos y Flujos. 3 Haga clic en Aceptar. Administración de la configuración de índice de la base de datos Es posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datos se almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de las consultas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Configuración. 2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que desee cambiar y seleccione una nueva configuración en la lista desplegable. 3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder seleccionar o agregar un nuevo valor de puerto. 4 Haga clic en Aceptar. Administración de la indización de acumulación Si cuenta con campos personalizados que extraen datos numéricos de un origen, la indización de acumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor de tendencia. Antes de empezar Configure un tipo personalizado de indización de acumulación (véase Creación de tipos personalizados). 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos. 2 Haga clic en Configuración y, después, en la ficha Indización de acumulación. 3 Seleccione los índices y haga clic en Aceptar. Ahora ya es posible configurar una consulta acumulativa para ver los resultados. Véase también Administración de consultas en la página 279 Creación de tipos personalizados en la página McAfee Enterprise Security Manager Guía del producto

193 Configuración del ESM Uso de usuarios y grupos 3 Visualización de la utilización de memoria de la base de datos Es posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base de datos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base de datos Uso de memoria. Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos. 2 Para imprimir los informes, haga clic en el icono Imprimir. Uso de usuarios y grupos Los usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, sus dispositivos, sus directivas y sus privilegios asociados. En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administrador de claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos de cuentas de usuario: Administrador del sistema y Usuario general. La página Usuarios y grupos tiene dos secciones: Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada usuario y los grupos a los que pertenecen. Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada uno. Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo. Privilegios de grupo Cuando se configura un grupo, se establecen los privilegios de sus miembros. Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema Agregar grupo ), el acceso a estas funciones estará limitado. Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas. Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización. ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni acceder a las propiedades de dispositivos ELM. Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo electrónico. Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica. Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones. Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas. Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia. McAfee Enterprise Security Manager Guía del producto 193

194 3 Configuración del ESM Uso de usuarios y grupos Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory, Activos, Grupos de activos ni Etiquetas. Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos. Adición de un usuario Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la configuración del usuario se puede editar o eliminar. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Usuarios y grupos. 2 Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar. 3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada. 4 Haga clic en Aceptar. Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan. Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene privilegios de administrador, aparecerá un icono de monarca junto a su nombre. Selección de la configuración de usuario La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha Alarmas y la ficha Casos. 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones. 2 Verifique que esté seleccionada la opción Configuración de usuario. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. La consola cambiará de aspecto en función de la configuración establecida. Configuración de la seguridad Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar, establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC). 194 McAfee Enterprise Security Manager Guía del producto

195 Configuración del ESM Uso de usuarios y grupos 3 También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP (solo disponible si se dispone de privilegios de administrador del sistema). Funciones de seguridad de ESM La familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en una red e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de forma predeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS. La comunicación con Nitro IPS se lleva a cabo mediante la tecnología Secure Encrypted Management (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en banda que mitiga el riesgo de ataques de reproducción o de intermediario. Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM autorizado. No inicializa la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM también se envía a través de AES. El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de hardware como de software, para garantizar que los dispositivos se administren únicamente desde un ESM debidamente autorizado. Definición de la configuración de inicio de sesión estándar Es posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante la definición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo de tiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con las contraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Defina las opciones en la ficha Estándar. 3 Haga clic en Aceptar o en Aplicar. Definición de la configuración de contraseña de inicio de sesión Existen varias opciones de configuración que se pueden definir en relación con la contraseña de inicio de sesión del sistema. Antes de empezar Debe tener derechos de administrador del sistema. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar. Configuración de las opciones de autenticación RADIUS Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS. McAfee Enterprise Security Manager Guía del producto 195

196 3 Configuración del ESM Uso de usuarios y grupos 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor secundario es opcional. 3 Haga clic en Aceptar o en Aplicar. Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante RADIUS no pueden acceder a ESM. Configuración de la lista de control de acceso Es posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen el acceso bloqueado. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista. 3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso. Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL. Configuración de CAC Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar de introduciendo un nombre de usuario y una contraseña. Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico de datos (EDI-PI) asociado con las CAC. Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar manualmente un archivo.zip con archivos CRL. ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su descarga se pueden obtener en o en la intranet de su organización. Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los inicios de sesión mediante CAC también lo estarán. 196 McAfee Enterprise Security Manager Guía del producto

197 Configuración del ESM Uso de usuarios y grupos 3 Configuración del inicio de sesión mediante CAC A fin de configurar el inicio de sesión CAC, es necesario activar la función de inicio de sesión mediante CAC, cargar la cadena de certificados raíz de la CA y activar un usuario CAC mediante el establecimiento del EDI-PI de diez dígitos del titular de la tarjeta como nombre de usuario. Una vez hecho esto, el titular de la tarjeta puede acceder al ESM mediante un navegador compatible con CAC sin tener que introducir un nombre de usuario y una contraseña. ESM es compatible con el lector de tarjetas Gemalto. Llame al Soporte de McAfee si necesita ayuda con su lector de tarjetas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC. 2 Introduzca la información y realice las selecciones solicitadas; a continuación, haga clic en Aceptar. 3 Active cada uno de los usuarios CAC. a b c d En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema. En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. Sustituya el nombre del campo Nombre de usuario por el EDI-PI de diez dígitos. (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar. Configuración de las opciones de autenticación de Active Directory Es posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se autentican a través de Active Directory. Si la autenticación está desactivada, los usuarios configurados para la autenticación mediante Active Directory no pueden acceder al sistema. Antes de empezar Configure un Active Directory al que se pueda acceder desde ESM. Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema Usuarios y grupos y agregar un grupo con el nombre "Usuarios de McAfee". 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory. 3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión. 4 Haga clic en Aceptar en la página Conexión de Active Directory. McAfee Enterprise Security Manager Guía del producto 197

198 3 Configuración del ESM Uso de usuarios y grupos Configuración de credenciales para McAfee epo Es posible limitar el acceso a un dispositivo McAfee epo mediante la configuración de credenciales de usuario. Antes de empezar El dispositivo McAfee epo no debe estar configurado para requerir la autenticación de usuario global (véase Configuración de la autenticación de usuarios global). 1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione Credenciales de epo. 2 Haga clic en el dispositivo y, después, en Editar. Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo (véase Cambio de la conexión con ESM). 3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar. Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña agregados. Desactivación o reactivación de usuarios Si un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido en Seguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función si es necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo del sistema. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Usuarios y grupos. 2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar. 3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar. El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta. Autenticación de usuarios mediante un servidor LDAP Es posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio de sesión. 2 Haga clic en la ficha LDAP. 3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar. 198 McAfee Enterprise Security Manager Guía del producto

199 Configuración del ESM Uso de usuarios y grupos 3 Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la autenticación LDAP no pueden acceder al sistema. Configuración de grupos de usuarios Los grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega un grupo, se le deben asignar dispositivos, directivas y privilegios. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Usuarios y grupos Agregar. 2 Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar. El grupo se agregará a la tabla Grupos de la página Usuarios y grupos. Adición de un grupo con acceso limitado Para restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichos usuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas de vigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán desactivadas. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema. 3 Siga uno de estos procedimientos: Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar. Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la descripción y, a continuación, seleccione los usuarios. 4 Haga clic en Privilegios y seleccione Limitar el acceso de este grupo. Casi todos los privilegios están desactivados. 5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes. 6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo. McAfee Enterprise Security Manager Guía del producto 199

200 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema Copia de seguridad y restauración de la configuración del sistema Guarde las opciones de configuración actuales del sistema de forma automática o manual de manera que se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer y guardar la configuración actual en un ESM redundante. Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las correspondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega un dispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente se guardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan los datos a partir del momento de la última copia de seguridad. Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del ESM local. Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM, un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente. Copias de seguridad de la configuración y los datos de sistema de ESM Existen varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es posible tanto desactivar esta opción como realizar cambios en la configuración predeterminada. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema Copia de seguridad y restauración. 2 Defina la configuración de cualquiera de estos elementos: Copia de seguridad automática Copia de seguridad manual ESM redundante Restauración del sistema a una copia de seguridad anterior 3 Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración. Véase también Restauración de la configuración de ESM en la página 201 Uso de los archivos de copia de seguridad en ESM en la página McAfee Enterprise Security Manager Guía del producto

201 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema 3 Restauración de la configuración de ESM En caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anterior mediante la selección de un archivo de copia de seguridad. Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de partición inactiva (véase Configuración de límites de retención de datos). 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema Copia de seguridad y restauración Restaurar copia de seguridad. 2 Seleccione el tipo de restauración que desee realizar. 3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y, después, haga clic en Aceptar. La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo. Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se abre la página Inicio de sesión. Véase también Configuración de límites de retención de datos en la página 191 Restauración de archivos de configuración con copias de seguridad Es posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de seguridad creadas en el ESM para cada dispositivo. Antes de empezar Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de seguridad de la configuración y los datos de sistema de ESM). 1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de Propiedades. 2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y, finalmente, haga clic en Sí en la página de confirmación. Uso de los archivos de copia de seguridad en ESM Los archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar. También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad. McAfee Enterprise Security Manager Guía del producto 201

202 3 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad. 3 Seleccione la acción que desee realizar. 4 Haga clic en Aceptar. Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 200 Administración del mantenimiento de archivos El ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas y registros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de archivos. 2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de software, Archivos de registro de alarmas o Archivos de registros de informes. 3 Seleccione los archivos y haga clic en una de las opciones disponibles. 4 Haga clic en Aplicar o en Aceptar. Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 200 ESM redundante La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función solo está disponible para los usuarios con privilegios de administrador del sistema. Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM redundante, es necesario definir la configuración del dispositivo redundante, que recibe la configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El ESM redundante se debe configurar antes de conectarlo al ESM principal. La función de ESM redundante no está disponible en los dispositivos combinados ESMREC. Configuración de ESM redundantes Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno de los ESM de forma que se comuniquen entre ellos. 202 McAfee Enterprise Security Manager Guía del producto

203 Configuración del ESM Copia de seguridad y restauración de la configuración del sistema 3 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Información del sistema Copia de seguridad y restauración Redundancia. 2 En el campo Tipo de ESM, asegúrese de seleccionar Principal. 3 Introduzca la información del ESM principal y, después, seleccione o agregue ESM redundantes. Puede agregar un máximo de cinco ESM redundantes. 4 Seleccione el botón de opción Redundante y, después, escriba la dirección IP del ESM principal y seleccione el puerto SSH. 5 Haga clic en Aceptar. Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan la conexión con el ESM. 6 Haga clic en Sí para continuar con la sincronización. Sustitución de un ESM redundante Si un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo. Antes de empezar Agregue el nuevo ESM redundante al sistema. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté seleccionada la opción Información del sistema. 2 Haga clic en Copia de seguridad y restauración Redundancia, seleccione Principal y escriba la nueva dirección IP redundante en el campo Dirección IP de ESM redundante. 3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta. 4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos dispositivos. 5 Seleccione Sincronizar todo el ESM y haga clic en Aceptar. McAfee Enterprise Security Manager Guía del producto 203

204 3 Configuración del ESM Administración de ESM Administración de ESM Existen varias operaciones que se pueden realizar para administrar el software, los registros, los certificados, los archivos de funciones y las claves de comunicación de ESM. Ficha Opción Definición Configuración Administración de claves Administrar registros Jerarquía de ESM Camuflaje Registro Configuración regional del sistema Asignación de nombre Certificado Regenerar SSH Exportar todas las claves Restaurar todas las claves Configurar los tipos de eventos que se almacenan en el registro de eventos. Configurar las opciones de datos cuando se emplean dispositivos ESM jerárquicos. Definir la configuración global para enmascarar ciertos datos en cualquier registro de alerta enviado mediante el reenvío de eventos o enviado a un ESM principal. Enviar eventos internos al ELM para su almacenamiento. Estos datos se pueden usar con fines de auditoría. Seleccionar el idioma del sistema que se usará para registrar eventos, como en el caso del registro de dispositivos y el monitor de estado. Permite anular la selección de los puertos y los protocolos de forma que muestren números sin procesar en lugar de nombres. Por ejemplo, si se anula la selección de Puerto de origen o Puerto de destino, se mostrará como 80. Si se selecciona Protocolos, el número sin procesar 17 aparecerá como udp. Instalar un nuevo certificado de Secure Socket Layer (SSL). Volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. Exportar las claves de comunicación de todos los dispositivos del sistema en lugar de tener que exportarlas una a una. Restaurar las claves de comunicación de todos los dispositivos o los dispositivos seleccionados que se exportaron mediante la función Exportar todas las claves. Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las reglas de McAfee o a través de un ingeniero de seguridad de McAfee. Datos de ESM Administrador de tareas Apagar Reiniciar Permite descargar un archivo.tgz que contiene información sobre el estado del ESM. Este estado puede ayudar al Soporte de McAfee a solucionar problemas y corregir errores. Ver las consultas en ejecución en el ESM y detenerlas, si procede. Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. Detener y reiniciar el ESM. Se le advertirá de que esta acción provoca la pérdida de comunicación de todos los usuarios con el ESM. 204 McAfee Enterprise Security Manager Guía del producto

205 Configuración del ESM Administración de ESM 3 Ficha Opción Definición Terminal Esta función está destinada únicamente a usuarios avanzados. Introducir comandos de Linux en el ESM. El terminal es solo un emulador parcial del modo por lotes, por lo que no están disponibles todos los comandos. El terminal no mantiene un directorio de trabajo actual. No se puede utilizar cd para ir a otro directorio. Se deben emplear los nombres de rutas completos. Los operadores > y >> no funcionan; todos los resultados se muestran en pantalla. Obtener funciones Establecer funciones Conectar Si ha adquirido funciones adicionales, actívelas en el ESM mediante la descarga de un archivo cifrado que contiene información sobre las funciones que admite el ESM. Instalar el archivo descargado mediante Obtener funciones. Sirve para otorgar al Soporte de McAfee acceso a su sistema cuando solicita ayuda. Esta opción no es conforme a FIPS, así que no está disponible cuando se emplea el modo FIPS. Ver estadísticas Permite acceder a la información siguiente sobre cualquier dispositivo ESM: Estadísticas de utilización de memoria y espacio de intercambio Uso de la CPU Actividad de conmutación del sistema Estadísticas de velocidad de transferencia y entrada/salida Promedios de longitud de cola y carga Véase también Acceso a un dispositivo remoto en la página 209 Regeneración de una clave SSH en la página 208 Administración de destinatarios en la página 173 Tipos de eventos en la página 206 Administración de registros en la página 205 Instalación de un nuevo certificado en la página 181 Configuración del registro de ESM en la página 207 Enmascaramiento de direcciones IP en la página 206 Exportación y restauración de claves de comunicación en la página 207 Comandos de Linux disponibles en la página 210 Utilización de comandos de Linux en la página 210 Administración de registros Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea guardar en el registro de eventos. McAfee Enterprise Security Manager Guía del producto 205

206 3 Configuración del ESM Administración de ESM 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar. 3 Haga clic en Aceptar. Tipos de eventos Estos son los tipos de registros de eventos generados en el ESM. Tipo de evento Eventos registrados Autenticación Inicio de sesión, cierre de sesión y cambios de cuentas de usuario. Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre debe establecerse con el valor Ninguno. Copia de seguridad Lista negra Dispositivo Reenvío de eventos Monitor de estado Notificaciones Directiva Servidor de reglas Proceso de copia de seguridad de la base de datos. Envío de entradas de lista negra al dispositivo. Cualquier cambio de dispositivo o de comunicación, como obtención de eventos, flujos y registros. Cambios o errores de reenvío de eventos. Eventos de estado de dispositivo. Cambios o errores de notificación. Administración y aplicación de directivas. Descarga y validación de reglas descargadas del servidor de reglas. En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas. Sistema Vistas Cambios de configuración del sistema y registro de reinicio de tablas. Cambios en vistas y consultas. Enmascaramiento de direcciones IP Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el reenvío de eventos a un ESM principal. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Administración de ESM Jerarquía de ESM. 2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos. Se abrirá la página Selección de campos de ocultación. 3 Seleccione los campos que desee enmascarar. 4 Haga clic en Aceptar. 206 McAfee Enterprise Security Manager Guía del producto

207 Configuración del ESM Administración de ESM 3 Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario, los datos seleccionados se ocultarán. Configuración del registro de ESM Si tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventos internos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registro predeterminado. Antes de empezar Agregue un dispositivo ELM al sistema. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Configuración, haga clic en Registro. 3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar. Cambio de idioma de los registros de eventos Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede modificar esta configuración de idioma. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema Administración de ESM. 2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en Aceptar. Exportación y restauración de claves de comunicación Es posible exportar las claves de comunicación de todos los dispositivos del sistema a un único archivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si es necesario. En el árbol de navegación del sistema, seleccione Propiedades del sistema Administración de ESM; a continuación, haga clic en la ficha Administración de claves. McAfee Enterprise Security Manager Guía del producto 207

208 3 Configuración del ESM Administración de ESM Para... Exportar todas las claves de comunicación Haga esto... 1 Haga clic en Exportar todas las claves. 2 Establezca la contraseña del archivo de claves y haga clic en Aceptar. 3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar. Restaurar todas las claves de comunicación 1 Haga clic en Restaurar todas las claves. 2 Localice el archivo creado al exportar las claves y haga clic en Abrir. 3 Haga clic en Cargar e introduzca la contraseña establecida. 4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar. Regeneración de una clave SSH Es posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con todos los dispositivos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Administración de claves, haga clic en Regenerar SSH. Se le advertirá de que la nueva clave sustituirá a la anterior. 3 Haga clic en Sí. Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos administrados por el ESM. Administrador de tareas de consultas Si cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, que muestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultas concretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen más probabilidades de afectar al rendimiento. La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrar consultas. Utilice esta función con la ayuda del Soporte de McAfee. Entre las características del administrador de tareas se encuentran: Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación, alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema. Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta. De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los detalles. Si la consulta se completa, deja de aparecer en la lista. Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar lista automáticamente. 208 McAfee Enterprise Security Manager Guía del producto

209 Configuración del ESM Administración de ESM 3 Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la selección de Ocultar tareas del sistema. Las columnas de la tabla se pueden ordenar. Es posible seleccionar y copiar los datos del área Detalles de consulta. Si una consulta se puede cerrar, aparece un icono de eliminación en la última columna. Al hacer clic en él, se solicita confirmación mediante un cuadro de diálogo. Administración de consultas en ejecución en ESM El Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible ver su estado y eliminarlas si afectan al rendimiento del sistema. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de tareas. 3 Revise la lista de consultas en ejecución y realice las acciones necesarias. Actualización de un ESM principal o redundante Si va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitar perder los datos de eventos, flujos y registros. 1 Desactive la recopilación de alertas, flujos y registros. a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos y registros. b Anule la selección de Intervalo de comprobación automática. 2 Actualice el ESM principal. 3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que procesar. 4 Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobación automática una vez más. Si la actualización falla, véase Ampliación a ESM 9.3. Acceso a un dispositivo remoto Si un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutar comandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. McAfee Enterprise Security Manager Guía del producto 209

210 3 Configuración del ESM Administración de ESM 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 En la ficha Mantenimiento, haga clic en Terminal. 3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar. 4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal en curso. 5 Haga clic en Cerrar. Véase también Comandos de Linux disponibles en la página 210 Utilización de comandos de Linux Es posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función está destinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee en caso de emergencia. Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de ESM. 2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después, haga clic en Aceptar. 3 Escriba los comandos Linux (véase Comandos de Linux disponibles). 4 Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario. 5 (Opcional) Haga clic en Exportar para guardar el contenido en un archivo. La exportación no incluye los resultados borrados de la página de terminal durante la sesión en curso. Comandos de Linux disponibles Estos son los comandos disponibles en la página Terminal. comandos de la página Terminal getstatsdata echo ps date grep ethtool 210 McAfee Enterprise Security Manager Guía del producto

211 Configuración del ESM Uso de una lista negra global 3 ifconfig df kill tar sensors netstat service sar cat tail rm locate iptables tcpdump -c -w updatedb ip6tables cp Estos son los comandos disponibles que se modifican antes de la ejecución. Este comando... II Cambia a... ll--classify ping ping -c 1 ls ls--classify top top -b -n 1 ping6 ping6 -c 1 Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos, consulte Uso de una lista negra global Una lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS o virtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice. Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivos Nitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicable a todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de lista negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de Nitro IPS. Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está desactivada en todos los dispositivos hasta que se activa. McAfee Enterprise Security Manager Guía del producto 211

212 3 Configuración del ESM Qué es el enriquecimiento de datos La página Editor de la lista negra global incluye tres fichas: Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el dispositivo. Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el dispositivo. Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se incluyan automáticamente en las listas negras, independientemente de los eventos que puedan generar. Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el efecto de la lista negra a un puerto de destino concreto. A la hora de agregar entradas: La opción Agregar se activa cuando se cambia la dirección IP o el puerto. Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en la lista negra en todos los puertos o en un puerto específico. Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el puerto establecido como cualquiera (0), y la duración debe ser permanente. Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP y se rellenará el campo Descripción con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No confíe en esta herramienta para garantizar el bloqueo de algunos sitios web. Establecimiento de una lista negra global Se puede establecer una lista negra global común para todos los dispositivos seleccionados, de forma que no sea necesario introducir la misma información en varios dispositivos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global. 2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la lista negra. 3 Seleccione los dispositivos que deben usar la lista negra global. 4 Haga clic en Aplicar o en Aceptar. Qué es el enriquecimiento de datos Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con contexto no presente en el evento original (como, por ejemplo, una dirección de correo electrónico, un 212 McAfee Enterprise Security Manager Guía del producto

213 Configuración del ESM Qué es el enriquecimiento de datos 3 número de teléfono o información sobre la ubicación del host). Estos datos enriquecidos pasan a formar parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos originales. Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos, tanto para eventos como para flujos. También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la página Enriquecimiento de datos. Para ello, seleccione el origen y haga clic en Editar, Quitar o Ejecutar ahora. Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM, no en los dispositivos. Existe un conector para el origen de datos relacionales de Hadoop HBase mediante el uso de los pares de clave-valor del origen de enriquecimiento. La asignación de identidad de HBase se puede extraer a un receptor de forma regular para enriquecer los eventos. Adición de orígenes de enriquecimiento de datos Agregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Enriquecimiento de datos Agregar. Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de enriquecimiento seleccionado. 2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente. 3 Haga clic en Finalizar y, después, en Escribir. 4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga clic en Aceptar. Configuración del enriquecimiento de datos de McAfee Real Time for McAfee epo Cuando se selecciona el origen McAfee Real Time for McAfee epo en el Asistente de enriquecimiento de datos, es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal. 3 En la ficha Origen, seleccione Real Time for epo en el campo Tipo, seleccione el dispositivo y haga clic en la ficha Consulta. 4 Agregue la información solicitada y haga clic en Prueba. Si la consulta no genera la información que necesita, realice ajustes en la configuración. McAfee Enterprise Security Manager Guía del producto 213

214 3 Configuración del ESM Qué es el enriquecimiento de datos Adición de un origen de enriquecimiento de datos de Hadoop HBase Es posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los eventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de datos. 2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga clic en la ficha Origen. 3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el puerto y el nombre de la tabla. 4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta: a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna. b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Por ejemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Complete la información de las fichas Calificación y Destino. Adición de un origen de enriquecimiento de datos de Hadoop Pig Es posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop Pig. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. 214 McAfee Enterprise Security Manager Guía del producto

215 Configuración del ESM Qué es el enriquecimiento de datos 3 3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de Jobtracker y Puerto de Jobtracker. La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se utilizan el host y el puerto de Namenode de forma predeterminada. 4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente: a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, / user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla HCatalog (por ejemplo, sample_07). b En Columnas, indique cómo enriquecer los datos de columna. Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el siguiente texto en el campo Columnas: emp_name:2, emp_phone:5. En el caso de una base de datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog. c d En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase la documentación de Apache Pig. Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos de columnas. Se requiere información en los campos Origen y Columna. El resto de campos pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de grupos. 5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig. 6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna única. 7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento. Adición de enriquecimiento de datos de Active Directory para nombres de usuario Es posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombres de pantalla de usuario completos. Antes de empezar Verifique que dispone del privilegio Administración del sistema. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema. 2 Haga clic en Enriquecimiento de datos y, después, en Agregar. 3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formato Nombre_Completo_De_ID_Usuario. 4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena. 5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice con una frecuencia mayor. McAfee Enterprise Security Manager Guía del producto 215

216 3 Configuración del ESM Qué es el enriquecimiento de datos 6 Haga clic en Siguiente o en la ficha Origen. a En el campo Tipo, seleccione LDAP. b Rellene la dirección IP, el nombre de usuario y la contraseña. 7 Haga clic en Siguiente o en la ficha Consulta. a En el campo Atributo de búsqueda, introduzca samaccountname. b c d En el campo Atributo de enriquecimiento, introduzca displayname. En Consulta, introduzca (objectclass=person) para obtener una lista de todos los objetos de Active Directory clasificados como personas. Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del número de entradas reales. 8 Haga clic en Siguiente o en la ficha Destino. a Haga clic en Agregar. b c Seleccione su origen de datos de Microsoft Windows. En Campo de búsqueda, seleccione el campo Usuario de origen. Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda. d Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formato User_Nickname o Contact_Name. 9 Haga clic en Finalizar para guardar los cambios. 10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de activación diaria. El Nombre completo se escribe en el campo Contact_Name. 216 McAfee Enterprise Security Manager Guía del producto

217 4 Administración de Cyber Threat McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con rapidez a la actividad de IOC relacionada en su entorno. La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su entorno. Contenido Configuración de la administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat Configuración de la administración de Cyber Threat Configure las fuentes para recuperar indicadores de compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar listas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC relacionada en su entorno. Antes de empezar Verifique que dispone de los permisos siguientes. Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber Threat. Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente. 1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar. 3 En la ficha Principal, introduzca el nombre de la fuente. 4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en Conectar para probar la conexión. Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat Information Exchange (TAXII). McAfee Enterprise Security Manager Guía del producto 217

218 4 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada hora, cada semana y cada mes. Especifique la hora de activación diaria. 6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o campo admitidos. Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia. 7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente. a b c d Elija si desea analizar los eventos, los flujos o ambos. Indique la antigüedad (en días) para analizar los eventos y los flujos. Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de datos. En el caso de las alarmas, seleccione un usuario asignado y una gravedad. 8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente. 9 Haga clic en Finalizar. Véase también Visualización de resultados de fuentes de Cyber Threat en la página 218 Visualización de resultados de fuentes de Cyber Threat Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos identificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez a información detallada sobre las amenazas, las descripciones de los archivos y los eventos correspondientes a cada origen de indicadores. Antes de empezar Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de las fuentes de Cyber Threat de su organización. 1 En la consola de ESM, en Resumen predeterminado, seleccione Vistas de flujo de trabajo de evento Indicadores de Cyber Threat. 2 Elija el periodo de tiempo para la vista. 3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles. 4 Lleve a cabo cualquier acción de vista estándar, tales como: Crear una lista de vigilancia o anexar datos a una existente. Crear una alarma. Ejecutar un comando remoto. Crear un caso. 218 McAfee Enterprise Security Manager Guía del producto

219 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 4 Buscar o repetir la última búsqueda. Exportar el indicador a un archivo CSV o HTML. 5 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos de origen y Flujos de origen. Véase también Configuración de la administración de Cyber Threat en la página 217 McAfee Enterprise Security Manager Guía del producto 219

220 4 Administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat 220 McAfee Enterprise Security Manager Guía del producto

221 5 Uso 5 de paquetes de contenido Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero. Importación de paquetes de contenido McAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación, alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malware específica. Antes de empezar Verifique que dispone de los permisos siguientes. Administración del sistema Administración de usuarios 1 Comprobación de la existencia de actualizaciones de reglas en la página 23 Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de contenido individuales de forma manual desde el sitio donde se alojan las reglas. 2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema. 3 Haga clic en Paquetes de contenido. 4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar. Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetes de contenido nuevos o actualizados. a b Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar. Haga clic en Cargar. Aparecerá un mensaje que indica el estado de la importación. McAfee Enterprise Security Manager Guía del producto 221

222 5 Uso de paquetes de contenido Importación de paquetes de contenido c d Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye. Seleccione el paquete de su elección y, después, instale ese paquete de contenido. 5 A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Actualizar o Desinstalar. Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente ha personalizado algún elemento del paquete de contenido, la actualización podría sobrescribir los elementos personalizados. 6 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en Desinstalar. 222 McAfee Enterprise Security Manager Guía del producto

223 6 Uso 6 de las alarmas Contenido Funcionamiento de las alarmas en ESM Creación de una alarma Activación o desactivación de la supervisión de alarmas Resumen personalizado para alarmas activadas y casos Administración de las plantillas de mensajes de alarma Administración de archivos de audio para las alarmas Administración de los destinatarios de alarmas Administración de alarmas Funcionamiento de las alarmas en ESM El sistema se puede configurar de forma que proporcione alarmas en tiempo real. Cuando se activa una alarma, se agrega automáticamente al registro de Alarmas, situado debajo del árbol de navegación del sistema, así como a la vista Alarmas activadas. También se puede configurar una acción de alarma para: Registrar un evento en el ESM Proporcionar una alerta visual y sonora Crear un caso para una persona o un grupo concretos Ejecutar un script Actualizar una lista de vigilancia Enviar un evento a Remedy Enviar un mensaje SMS o de correo electrónico El panel de registro de Alarmas muestra el número total de alarmas actuales clasificadas por gravedad: Símbolo Gravedad Intervalo Alta Media Baja 1 32 Tras agregar una alarma, esta empieza a activarse cuando se cumplen las condiciones. Si se establece la Frecuencia máxima de activación de condición en 15 minutos, la primera alarma se activa cuando se produce el número de eventos especificado en el campo Recuento de eventos en un periodo de 15 minutos. Los eventos que se produzcan durante los primeros 15 minutos no activarán la alarma. McAfee Enterprise Security Manager Guía del producto 223

224 6 Uso de las alarmas Creación de una alarma Es posible confirmar, eliminar y ver los detalles de cualquiera de las alarmas activadas. Cuando se confirma una alarma activada, deja de aparecer en el registro de Alarmas pero sigue apareciendo en la vista Alarmas activadas. Cuando se elimina una alarma, se borra tanto del registro de Alarmas como de la vista Alarmas activadas. Si se selecciona la acción Alerta visual en la página Configuración de alarma, la alarma visual se cierra transcurridos 30 segundos en caso de que no se haya cerrado, confirmado o eliminado. La alerta sonora seleccionada se reproduce hasta que la alerta visual se cierra, confirma o elimina, a menos que se haga clic en el icono de audio, lo cual permite detener la alerta de audio. Se puede seleccionar si el panel de registro de Alarmas debe aparecer o no en la página Opciones (véase Selección de la configuración de usuario). Véase también Selección de la configuración de usuario en la página 29 Creación de una alarma Es posible agregar una alarma para que se active cuando se cumplan las condiciones que se definan. Antes de empezar Es necesario disponer de derechos de administrador o pertenecer a un grupo de acceso con el privilegio Administración de alarmas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Alarmas Agregar. 2 Rellene la información de las fichas Resumen, Condición, Acciones y Escalación. Véase Alarmas UCAPL para obtener una lista y la descripción de las alarmas, la cual le ayudará a satisfacer los requisitos de UCAPL. 3 Haga clic en Finalizar. La alarma se agregará a la lista de la página Alarmas y se activará cuando se cumplan las condiciones correspondientes. 224 McAfee Enterprise Security Manager Guía del producto

225 Uso de las alarmas Creación de una alarma 6 s Configuración de una alarma de correlación para la inclusión de eventos de origen en la página 227 Si agrega etiquetas a una alarma de Coincidencia de evento interno que emplee un evento de correlación como coincidencia, la información de los eventos de origen se incluirá en los resultados. Adición de una alarma de Coincidencia de campo en la página 228 Una alarma de Coincidencia de campo puede coincidir con varios campos de un evento, y se activa en cuanto el dispositivo recibe y analiza el evento. Adición de una alarma a las reglas en la página 228 Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. Creación de una captura SNMP a modo de acción en una alarma en la página 183 Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. Adición de una alarma de notificación sobre fallos de alimentación en la página 184 Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Adición de una alarma de evento del monitor de estado en la página 230 Las reglas del monitor de estado generan eventos que aparecen debajo de un dispositivo de base en el árbol de navegación del sistema. Cómo copiar una alarma en la página 240 Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. Alarmas UCAPL Es posible agregar diversos tipos de alarmas para satisfacer los requisitos de UCAPL (del inglés Unified Capabilities Approved Products List, lista de productos aprobados con capacidades unificadas). Véase Creación de una alarma a fin de configurar las opciones de alarma generales y, después, siga los pasos incluidos en esta tabla. Tipo de alarma Umbral ajustable de errores de inicio de sesión alcanzado Descripción Para activar una alarma cuando se alcance un umbral ajustable relativo al número de errores de inicio de sesión para un mismo usuario, cree una alarma de tipo Coincidencia de evento interno que coincida con el campo ID de firma y, después, indique el valor Umbral de inactividad alcanzado Para activar una alarma cuando se bloquee una cuenta de usuario porque se alcanza el umbral de inactividad, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor Número de sesiones simultáneas permitidas alcanzado Error en la comprobación de integridad de archivo del sistema Para activar una alarma si un usuario intenta iniciar sesión en el sistema después de alcanzar el número máximo de sesiones simultáneas, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor Para activar una alarma en caso de que falle la comprobación de integridad de un archivo del sistema, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor McAfee Enterprise Security Manager Guía del producto 225

226 6 Uso de las alarmas Creación de una alarma Tipo de alarma Certificados a punto de caducar Descripción Para activar una alarma cuando los certificados CAC o de servidor web estén a punto de caducar, cree una alarma de tipo Coincidencia de evento interno que coincida con ID de firma y, después, indique el valor , , , La alarma se activará 60 días antes de la fecha de caducidad y, después, una vez a la semana. El número de días no se puede configurar en este momento. Envío de captura SNMP cuando el estado del sistema no sea aprobado Para configurar una captura SNMP a modo de acción de alarma a fin de que se envíe una captura al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro, haga lo siguiente: 1 Cree una alarma que coincida con cualquier condición y, después, acceda a la ficha Acciones y seleccione Enviar mensaje. 2 Haga clic en Agregar destinatario SNMP, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. Envío de mensaje de Syslog cuando el estado del sistema no es aprobado Para configurar un mensaje de Syslog a modo de acción de alarma a fin de que se envíe un mensaje de Syslog al NMS cuando detecte que el sistema ha dejado de funcionar en un estado aprobado o seguro, haga lo siguiente: 1 Cree una alarma que coincida con cualquier condición, acceda a la ficha Acciones y seleccione Enviar mensaje. El registro de seguridad no registra los eventos necesarios 2 Haga clic en Agregar destinatario Syslog, seleccione el destinatario y haga clic en Aceptar. 3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por último, en Agregar. 4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y, a continuación, haga clic en Aceptar. 5 En la página Administración de plantillas, seleccione la plantilla nueva y haga clic en Aceptar. 6 Configure el resto de opciones de alarma. Para configurar el envío de una captura SNMP a modo de notificación a un centro de operaciones de red (NOC) apropiado en un plazo de 30 segundos si un registro de seguridad no está registrando los eventos necesarios, haga lo siguiente: 1 Acceda a Propiedades del sistema Configuración SNMP Capturas SNMP o, en el dispositivo, a Propiedades Configuración SNMP. 2 Seleccione la captura de error del registro de seguridad, configure uno o varios perfiles para el envío de capturas y haga clic en Aplicar. Se enviarán las capturas SNMP al destinatario del perfil SNMP con el mensaje "Error al escribir en el registro de seguridad". 226 McAfee Enterprise Security Manager Guía del producto

227 Uso de las alarmas Creación de una alarma 6 Tipo de alarma Inicio o fin de funciones de auditoría Existencia de una sesión por cada función administrativa Descripción Para configurar el envío de una captura SNMP cuando las funciones de auditoría (como las de base de datos, cpservice o IPSDBServer) se inicien o se detengan, acceda a Capturas SNMP o Configuración SNMP (véase el elemento anterior) y seleccione Capturas de base de datos activa/inactiva. Configure uno o varios perfiles para el envío de las capturas y haga clic en Aplicar. Para activar una alarma cuando exista una sesión administrativa por cada una de las funciones administrativas definidas, cree una alarma de Coincidencia de evento interno para que coincida con el campo ID de firma y, después, introduzca los valores para el administrador de auditoría, para el administrador de cifrado y para el usuario avanzado. También es posible configurar alarmas independientes. Véase también Creación de una alarma en la página 224 Configuración de una alarma de correlación para la inclusión de eventos de origen Si agrega etiquetas a una alarma de Coincidencia de evento interno que emplee un evento de correlación como coincidencia, la información de los eventos de origen se incluirá en los resultados. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Alarmas, después en la ficha Configuración y, finalmente, en Plantillas. 3 En la página Administración de plantillas, haga clic en Agregar y rellene la información solicitada. 4 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el icono Insertar campo y seleccione Bloque de eventos de origen. 5 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después, seleccione la información que desee incluir cuando se active la alarma de correlación. El campo del cuerpo del mensaje tiene un aspecto similar al ejemplo siguiente si se incluyen la IP de origen, la IP de destino y la gravedad del evento en el mensaje: Alarma: [$Nombre de alarma] Usuario asignado: [$Usuario asignado de alarma] Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma] [$SOURCE_EVENTS_START] IP de origen: [$IP de origen] IP de destino: [$IP de destino] Gravedad: [$Promedio de gravedad] [$SOURCE_EVENTS_END] Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos. McAfee Enterprise Security Manager Guía del producto 227

228 6 Uso de las alarmas Creación de una alarma Adición de una alarma de Coincidencia de campo Una alarma de Coincidencia de campo puede coincidir con varios campos de un evento, y se activa en cuanto el dispositivo recibe y analiza el evento. La condición de alarma antes llamada Coincidencia de campo ahora se denomina Coincidencia de evento interno. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y, después, haga clic en Alarmas. 2 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma. a Arrastre y suelte el icono AND o el icono OR (véase Elementos lógicos en la Guía del producto) a fin de configurar la lógica de la condición de alarma. b c Arrastre y suelte el icono Coincidir componente en un elemento lógico y, después, rellene la página Agregar campo de filtro. En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador contiene el primer evento de origen que coincide con la condición de activación, pero no los eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia de activación máxima. Si se establece en cero, todos los eventos generan una alarma. 4 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local, combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM). 5 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración y, después, haga clic en Finalizar. La alarma se escribirá en el dispositivo. Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al dispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas. Adición de una alarma a las reglas Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible agregar una alarma a esas reglas. 1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas barra de herramientas de acciones. situado en la 2 Seleccione el tipo de regla en el panel Tipos de regla. 228 McAfee Enterprise Security Manager Guía del producto

229 Uso de las alarmas Creación de una alarma 6 3 Seleccione una o varias reglas en el área de visualización de reglas. 4 Haga clic en el icono Alarmas. 5 Defina la configuración de la alarma. Véase también Creación de una alarma en la página 224 Creación de una captura SNMP a modo de acción en una alarma Es posible enviar capturas SNMP a modo de acciones dentro de una alarma. Antes de empezar Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas SNMP). 1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP. a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. b c Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil. Rellene los campos restantes y haga clic en Aplicar. 2 Configure SNMP en el ESM. a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP. b c Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil agregado en el Paso 1. Haga clic en Aplicar. 3 Defina una alarma con Captura SNMP como acción. a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar. b c d e f Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones. Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los mensajes SNMP. Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y, después, en Agregar. Seleccione una plantilla existente o haga clic en Agregar para definir una plantilla nueva. Vuelva a la página Configuración de alarma y continúe con la configuración. McAfee Enterprise Security Manager Guía del producto 229

230 6 Uso de las alarmas Creación de una alarma Adición de una alarma de notificación sobre fallos de alimentación Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de alimentación del ESM. Antes de empezar Configure una captura SNMP de tipo Error de hardware general (véase Configuración de una captura SNMP para la notificación de fallos de alimentación). 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Alarmas y después en Agregar, agregue los datos requeridos en la ficha Resumen y, a continuación, haga clic en la ficha Condición. 3 En el campo Tipo, seleccione Coincidencia de evento interno. 4 En el campo Campo, seleccione ID de firma y, a continuación, escriba en el campo Valor(es). 5 Rellene la información restante en cada ficha según sea necesario y, a continuación, haga clic en Finalizar. Se activará una alarma cuando falle una fuente de alimentación. Adición de una alarma de evento del monitor de estado Las reglas del monitor de estado generan eventos que aparecen debajo de un dispositivo de base en el árbol de navegación del sistema. Los ID de firma de los eventos del monitor de estado se pueden usar en el campo Valores de una alarma de tipo Coincidencia de evento interno a fin de generar una alarma basada en los eventos del monitor de estado. El informe Resumen de eventos de monitor de estado se genera entonces como acción de la alarma. Existen un par de maneras de configurar una alarma de evento del monitor de estado. 230 McAfee Enterprise Security Manager Guía del producto

231 Uso de las alarmas Creación de una alarma 6 Para configurar una alarma... Antes de que se genere un evento del monitor de estado Haga esto... 1 Siga el proceso para crear una alarma (véase Creación de una alarma). 2 En el árbol de navegación del sistema, haga clic en Condición y después seleccione el tipo Coincidencia de evento interno. 3 En la línea Campo, seleccione ID de firma. 4 En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado (véase ID de firma del monitor de estado). 5 Rellene la información restante tal y como se indica en Creación de una alarma. Si ya existe un evento del monitor de estado 1 En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema y seleccione una vista que muestre el evento del monitor de estado (Análisis de eventos o Resumen predeterminado). 2 Haga clic en el evento y, después, haga clic en el icono Menú. 3 Seleccione Acciones Crear nueva alarma desde y haga clic en ID de firma. 4 Rellene el resto de opciones de configuración de la alarma. Véase también Creación de una alarma en la página 224 ID de firma del monitor de estado En esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivo y gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificación cuando se genere un evento de regla del monitor de estado. Nombre de regla Se ha realizado o eliminado una conexión de interfaz de red física Se ha producido un error de RAID Cuenta desactivada debido a la inactividad Cuenta desactivada debido al máximo de fallos de inicio de sesión Agregar/Editar comando remoto Alerta de cambio de estado del recopilador del analizador de syslog avanzado ID de firma Descripción Tipo Dispositivo Gravedad Modificación de la configuración de interfaz de red mediante una sesión SSH Detección de errores de RAID La cuenta de usuario se ha desactivado debido a la inactividad La cuenta de usuario se ha desactivado porque se ha alcanzado el máximo de fallos de inicio de sesión Adición o eliminación de un comando remoto de alarma El analizador de ASP se ha detenido o iniciado. Monitor de software Monitor de hardware Monitor de software Monitor de software Monitor de software Monitor de software ESM Todos ESM ESM ESM Receptor Media Alta Media Alta Baja Media McAfee Enterprise Security Manager Guía del producto 231

232 6 Uso de las alarmas Creación de una alarma Nombre de regla Proceso de destilador de APM Discrepancia con configuración aprobada Cambio de configuración de archivado Alerta de cambio de estado del proceso de archivado Activo vulnerable a evento Inicio de sesión de usuario administrador de auditoría Cambio de configuración de copias de seguridad Copia de seguridad realizada Alerta del analizador de Blue Martini Alerta de estado de NIC de omisión El certificado de la autoridad de certificación ha caducado El certificado de la autoridad de certificación caducará pronto ID de firma Descripción Tipo Dispositivo Gravedad El motor de extracción de texto PDF/DOC de ADM se ha detenido o iniciado Cambio de dispositivo de descubrimiento de red aprobado Cambio de la configuración de archivado de ESM El proceso de archivado del receptor se ha detenido o iniciado , Evento de vulnerabilidad creado Evento UCAPL, inicio de sesión de administrador de auditoría Modificación de la configuración de copias de seguridad de ESM Copia de seguridad realizada en el sistema El analizador de Blue Martini se ha detenido o iniciado En el NIC se ha activado o desactivado el estado de omisión El certificado de la autoridad de certificación de ESM ha caducado El certificado de la autoridad de certificación de ESM caducará pronto. Caso modificado Se ha modificado un caso. Estado de caso agregado/ modificado/eliminado Alerta de cambio de estado de canal de comunicación Error de captura de configuración (error de dispositivo) Error de captura de configuración (dispositivo inaccesible) El estado del caso ha cambiado El canal de control se ha detenido o iniciado Error del dispositivo de descubrimiento de red Dispositivo de descubrimiento de red inaccesible. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software APM ESM ESM APM/REC/IPS/ DBM ESM ESM ESM ESM Receptor IPA/ADM/IPS ESM ESM ESM ESM Todos ESM ESM Media Baja Baja Media Baja Baja Baja Baja Media Media Alta Media Baja Baja Media Baja Baja 232 McAfee Enterprise Security Manager Guía del producto

233 Uso de las alarmas Creación de una alarma 6 Nombre de regla Configuración capturada Error de directiva de configuración Directiva de configuración correcta Cambio de configuración de asignación de datos Alerta de espacio libre en el disco en partición de datos Cambio de configuración de conservación de datos Alerta de estado de servicios de detección de bases de datos Alerta de cambio de estado de DPI Eliminar comando remoto ID de firma Descripción Tipo Dispositivo Gravedad La configuración de descubrimiento de red se ha comprobado correctamente. Monitor de software No se usa en el sistema. Monitor de software No se usa en el sistema. Monitor de software La configuración de asignación de datos de ESM ha cambiado El espacio libre de cada partición se está agotando (por ejemplo, hada_hd tiene un 10 % de espacio libre) La configuración de conservación de datos de ESM ha cambiado El servicio de detección automática de DBM se ha detenido o iniciado El motor de inspección profunda de paquetes del IPS o ADM se ha detenido o iniciado Comando remoto de alarma eliminado. Eventos eliminados El usuario ha eliminado eventos de ESM. Flujos eliminados El usuario ha eliminado flujos de ESM. Adición de dispositivo Se ha agregado un nuevo dispositivo al sistema. Eliminación de dispositivo Dispositivo posiblemente inactivo Dispositivo inaccesible Un dispositivo existente se ha eliminado del sistema Evento de descubrimiento de red que indica que es posible que un dispositivo esté inactivo Un dispositivo de descubrimiento de red agregado a ESM no está accesible. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM ESM ESM ESM Todos ESM Todos Todos ESM ESM ESM ESM ESM ESM ESM Baja Baja Baja Alta Media Alta Media Media Baja Baja Baja Baja Baja Baja Baja McAfee Enterprise Security Manager Guía del producto 233

234 6 Uso de las alarmas Creación de una alarma Nombre de regla Alerta de error de unidad de disco Alerta de cambio de estado del proceso de archivado de ELM ID de firma Descripción Tipo Dispositivo Gravedad Comprueba y verifica la integridad de todos los discos duros (internos o de DAS) El motor de compresión del ELM se ha detenido o iniciado. ELM EDS FTP El programa SFTP del ELM se ha detenido o iniciado. Proceso de archivo de ELM El motor de reinserción del ELM se ha detenido o iniciado. Si un registro falla por algún motivo, intentará de nuevo la inserción. Si el proceso de reinserción falla, se activa esta regla. Monitor de hardware Monitor de software Monitor de software Monitor de software Todos APM/REC/IPS/ DBM ELM ELM Alta Media Media Media Alerta Índice de texto completo de ELM El motor de indización de texto completo del ELM se ha detenido o iniciado. Monitor de software ELM Media Alerta de cambio de estado del punto de montaje de ELM El almacenamiento remoto (CIFS, NFS, ISCSI, SAN) se ha detenido o iniciado. Monitor de software ELM Media Alerta de cambio de estado del motor de consultas de ELM El proceso de trabajos del ELM (todos los trabajos de ELM, tales como consultas, inserciones, etc.) se ha detenido o iniciado. Monitor de software ELM Media Almacenamiento redundante en ELM La duplicación del ELM se ha detenido o iniciado. Monitor de software ELM Media Error de la base de datos del sistema ELM La base de datos del ELM se ha detenido o iniciado. Monitor de software ELM Alta Alerta de cambio de estado de recopilador de correo electrónico El recopilador MARS de Cisco se ha detenido o iniciado. Monitor de software Receptor Media Etiquetas de epo aplicadas Se han aplicado etiquetas de McAfee epo. Monitor de software ESM Baja Error al establecer comunicación con ELM La comunicación con el ELM ha fallado. Monitor de software APM/REC/IPS/ DBM Alta Error en comunicación SSH El dispositivo tiene problemas para comunicarse con el ELM (como diferencias de versión o un cambio de clave). Monitor de software Todos Alta 234 McAfee Enterprise Security Manager Guía del producto

235 Uso de las alarmas Creación de una alarma 6 Nombre de regla ID de firma Descripción Tipo Dispositivo Gravedad Reinicio de ESM ESM se ha reiniciado. Monitor de software Apagado de ESM ESM se ha apagado. Monitor de software Alerta del recopilador de estreamer Alerta de cambio de estado de recopilador de estreamer Separación de partición de eventos Ejecutar comando remoto Error de inicio de sesión debido al máximo de sesiones simultáneas Error al aplicar formato al dispositivo SAN Error de inicio de sesión de usuario Alerta de cambio de estado de recopilador de archivos El recopilador de estreamer se ha detenido o iniciado El recopilador de estreamer se ha detenido o iniciado Se ha separado una partición de eventos Comando remoto de alarma ejecutado El usuario no pudo iniciar sesión porque se alcanzó el máximo de sesiones simultáneas Se produjo un error al aplicar formato al SAN en ELM; el usuario debe volver a intentarlo El usuario no ha podido iniciar sesión El programa de recopilación de montaje se ha detenido o iniciado. Archivo eliminado Se ha eliminado cualquier archivo que se pueda agregar o eliminar, como un archivo de sonido o registro de ESM. Alerta de cambio de estado del proceso de filtrado Alerta de cambio de estado de agregador de alertas de firewall Separación de partición de flujos Error de obtención datos de evaluación de vulnerabilidades Obtención datos de evaluación de vulnerabilidades correcta El programa de filtrado del dispositivo se ha detenido o iniciado (reglas de filtrado) El agregador del firewall del IPS o del ADM se ha detenido o iniciado Se ha separado una partición de flujos ESM no ha podido obtener datos de evaluación de vulnerabilidades ESM ha obtenido datos de evaluación de vulnerabilidades. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de hardware Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM ESM Receptor Receptor ESM ESM ESM ESM ESM Receptor ESM Receptor IPS/ADM/IPS ESM ESM ESM Media Media Media Media Baja Baja Alta Alta Media Media Baja Media Media Baja Media Baja McAfee Enterprise Security Manager Guía del producto 235

236 6 Uso de las alarmas Creación de una alarma Nombre de regla Alerta interna de monitor de estado Alerta de cambio de estado de recopilador de HTTP Cambio de configuración de indización ID de firma Descripción Tipo Dispositivo Gravedad Un proceso del monitor de estado se ha detenido o iniciado El recopilador de HTTP se ha detenido o iniciado La configuración de indizado de ESM ha cambiado. Clave SSH no válida El dispositivo tiene problemas para comunicarse con el ELM, tales como diferencias de versión o un cambio de clave. Alerta de cambio de estado de recopilador de IPFIX Inicio de sesión de usuario administrador de claves y certificados Partición de registro sustituida Alerta de espacio libre en el disco en particiones de registro Alerta de cambio de estado de servidor de base de datos McAfee EDB Alerta del recopilador de McAfee epo Alerta de cambio de estado del formato de los eventos de McAfee Error de comunicación del dispositivo de la solución SIEM de McAfee Alerta de Microsoft Forefront Threat Management Gateway Alerta de cambio de estado de recuperador de MS-SQL El recopilador de IPFIX (flujo) se ha detenido o iniciado Evento UCAPL, inicio de sesión de administrador de criptografía Las particiones más antiguas de la tabla de registro de la base de datos se han sustituido El espacio de la partición de registro (/var) se está agotando La base de datos se ha detenido o iniciado El recopilador de McAfee epo se ha detenido o iniciado El recopilador de formatos de eventos de McAfee se ha detenido o iniciado ESM no se puede comunicar con otro dispositivo El recopilador de Forefront Threat Management Gateway se ha detenido o iniciado El recopilador de MS-SQL se ha detenido o iniciado (cualquier origen de datos de MS-SQL). Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Todos Receptor ESM Todos Receptor ESM ESM Todos Todos Receptor Receptor ESM Receptor Receptor Media Media Media Alta Media Baja Baja Media Media Media Media Alta Media Media 236 McAfee Enterprise Security Manager Guía del producto

237 Uso de las alarmas Creación de una alarma 6 Nombre de regla Alerta de registro de varios eventos Análisis de MVM iniciado Alerta de cambio de estado de recopilador de NetFlow Nueva cuenta de usuario Alerta de cambio de estado de recopilador de NFS/CIFS Alerta de cambio de estado de recopilador de NitroFlow No se ha encontrado una clave SSH Agregar/Editar lista negra de NSM Eliminar lista negra de NSM Alerta de cambio de estado de receptor de OPSEC Alerta de cambio de estado de receptor de OPSEC Alerta del recopilador de Oracle Identity Management Alerta de sobresuscripción Alerta del analizador/ recopilador de complementos ID de firma Descripción Tipo Dispositivo Gravedad El recopilador de j se ha detenido o iniciado Se ha iniciado un análisis de MVM El recopilador de NetFlow (flujo) se ha detenido o iniciado Se ha agregado un nuevo usuario al sistema El montaje remoto para NFS o CIFS se ha detenido o iniciado NitroFlow (flujos del dispositivo) se ha detenido o iniciado El dispositivo tiene problemas para comunicarse con el ELM, tales como diferencias de versión o un cambio de clave Una entrada de la lista negra de NSM se ha agregado o editado Una entrada de la lista negra de NSM se ha eliminado El recopilador de OPSEC (Check Point) se ha detenido o iniciado El recopilador de OPSEC (Check Point) se ha detenido o iniciado El recopilador de Oracle IDM se ha detenido o iniciado El ADM o el IPS han entrado o salido del modo de sobresuscripción El analizador/recopilador de complementos se ha detenido o iniciado. Adición de directiva Se ha agregado una directiva al sistema. Eliminación de directiva Modificación de directiva Se ha eliminado una directiva del sistema Se ha cambiado una directiva en el sistema. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Receptor ESM Receptor ESM Receptor Receptor Todos ESM ESM Receptor Receptor Receptor IPS/ADM/IPS Receptor ESM ESM ESM Media Baja Media Baja Media Media Alta Baja Baja Media Media Media Media Media Baja Baja Baja McAfee Enterprise Security Manager Guía del producto 237

238 6 Uso de las alarmas Creación de una alarma Nombre de regla Discrepancia con configuración previa Disponibilidad alta del receptor Configuración OPSEC de disponibilidad alta del receptor ESM redundante sin sincronizar Alerta de cambio de estado de punto de montaje NFS remoto Alerta de espacio libre en el disco en punto de montaje/ recurso compartido remoto Alerta de cambio de estado de recurso compartido de SMB/ CIFS remoto Alerta de cambio de estado de correlación de riesgos Alerta de espacio libre en el disco en particiones raíz ID de firma Descripción Tipo Dispositivo Gravedad Ha cambiado la configuración del dispositivo de descubrimiento de red Cualquier proceso de disponibilidad alta se ha detenido o iniciado (Corosync, script de control de disponibilidad alta). Monitor de software Monitor de software No se utiliza. Monitor de software El ESM redundante no está sincronizado El montaje de NFS del ELM se ha detenido o iniciado Se está agotando el espacio libre en el punto de montaje remoto El punto de montaje remoto SMB/CIFS se ha detenido o iniciado El motor de correlación de riesgos se ha detenido o iniciado Se está agotando el espacio libre en las particiones raíz. Adición de regla Se ha agregado una regla al sistema, por ejemplo, de ASP, filtrado o correlación. Eliminación de regla Regla eliminada del sistema. Modificación de regla Se ha cambiado una regla en el sistema. Error de actualización de regla Alerta de cambio de estado de recuperador de SDEE Alerta de cambio de estado de recopilador de sflow Alerta de cambio de estado de recopilador de SNMP Se ha producido un error al actualizar una regla de ESM El recopilador de SDEE se ha detenido o iniciado El recopilador de sflow (flujo) se ha detenido o iniciado El recopilador de SNMP se ha detenido o iniciado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM Receptor Receptor ESM ELM ESM Receptor ACE Todos ESM ESM ESM ESM Receptor Receptor Receptor Baja Media Baja Alta Media Media Media Media Media Baja Baja Baja Media Media Media Media 238 McAfee Enterprise Security Manager Guía del producto

239 Uso de las alarmas Creación de una alarma 6 Nombre de regla Alerta de cambio de estado de recopilador de SQL Alerta de cambio de estado de recopilador de Symantec AV Alerta de cambio de estado del recopilador de syslog Inicio de sesión de usuario administrador del sistema Error de comprobación de integridad del sistema Alerta de cambio de estado de registrador del sistema Tarea (consulta) terminada Alerta de espacio libre en el disco en particiones temporales Alerta de cambio de estado del analizador de registros de texto Cambio de cuenta de usuario Error de inicio de sesión de dispositivo de usuario Inicio de sesión de dispositivo de usuario Cierre de sesión de dispositivo de usuario Inicio de sesión de usuario Cierre de sesión de usuario Alerta de estado del motor de datos de evaluación de vulnerabilidades ID de firma Descripción Tipo Dispositivo Gravedad El recopilador de SQL (anteriormente NFX) se ha detenido o iniciado El recopilador de Symantec AV se ha detenido o iniciado El recopilador de syslog se ha detenido o iniciado El administrador del sistema ha iniciado sesión Se ha marcado un programa o proceso externo no ISO en ejecución en el sistema El proceso de registro del sistema se ha detenido o iniciado Se ha cerrado una tarea del Administrador de tareas La partición temporal (/ tmp) se está quedando sin espacio en el disco El proceso del analizador de texto se ha detenido o iniciado Ha cambiado una cuenta de usuario Un usuario SSH no ha podido iniciar sesión. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software No se usa en el sistema. Monitor de software Un usuario SSH ha cerrado la sesión Un usuario ha cerrado sesión en el sistema Un usuario ha cerrado la sesión en el sistema El motor de evaluación de vulnerabilidades (vaded.pl) se ha detenido o iniciado. Adición de variable Se ha agregado una variable de directiva. Eliminación de variable Se ha eliminado una variable de directiva. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Receptor Receptor Receptor ESM Todos Todos ESM Todos Receptor ESM ESM ESM ESM ESM ESM Receptor ESM ESM Media Media Media Baja Alta Media Baja Media Media Baja Baja Baja Baja Baja Baja Media Baja Baja McAfee Enterprise Security Manager Guía del producto 239

240 6 Uso de las alarmas Activación o desactivación de la supervisión de alarmas Nombre de regla Modificación de variable El certificado del servidor web ha caducado El certificado del servidor web caducará pronto Alerta de recopilador de Websense Alerta de cambio de estado del recopilador de WMI Event Log ID de firma Descripción Tipo Dispositivo Gravedad Ha cambiado una variable de directiva El certificado del servidor web de ESM ha caducado El certificado del servidor web de ESM caducará pronto El recopilador de Websense se ha detenido o iniciado El recopilador de WMI se ha detenido o iniciado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM ESM ESM Receptor Receptor Baja Alta Media Media Media Cómo copiar una alarma Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se guarda con un nombre distinto. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Seleccione la alarma que desee copiar y haga clic en Copiar. En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia. 3 Cambie el nombre y haga clic en Aceptar. 4 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en Editar. 5 Cambie la configuración según proceda. Véase también Creación de una alarma en la página 224 Activación o desactivación de la supervisión de alarmas La supervisión de alarmas está activada de forma predeterminada. Es posible desactivarla y volver a activarla cuando sea necesario. 240 McAfee Enterprise Security Manager Guía del producto

241 Uso de las alarmas Resumen personalizado para alarmas activadas y casos 6 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Desactivar. La supervisión de alarmas se detendrá y el botón pasará a ser Activar. 3 Haga clic en Activar para reanudar la supervisión de las alarmas. Resumen personalizado para alarmas activadas y casos Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo Coincidencia de campo y Coincidencia de evento interno. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 En la página Propiedades del sistema, haga clic en Alarmas y, a continuación, en Agregar. 3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno. 4 5 Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables continuación, seleccione los campos que incluir en el resumen de caso. Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, a continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma activada. y, a 6 Escriba el resto de información solicitada para configurar la alarma (véase Creación de una alarma) y, después, haga clic en Finalizar. Administración de las plantillas de mensajes de alarma Una de las acciones disponibles al configurar las alarmas es Enviar mensaje. Esta función permite reenviar la información de alarma a destinatarios de correo electrónico, SMS, SNMP o Syslog seleccionados. Es posible agregar plantillas para definir la información que aparecerá en los mensajes, y diseñarlos de forma que incluyan lo que resulte más útil al destinatario. Posteriormente, podrá seleccionar una plantilla cuando defina la acción para una alarma. Es posible agregar plantillas para definir la información que aparecerá en los mensajes, y diseñarlos de forma que incluyan lo que resulte más útil al destinatario. Posteriormente, podrá seleccionar una plantilla cuando defina la acción para una alarma. McAfee Enterprise Security Manager Guía del producto 241

242 6 Uso de las alarmas Administración de archivos de audio para las alarmas 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Plantillas. 3 Vea la lista de plantillas existentes o seleccione cualquiera de las opciones disponibles; a continuación, haga clic en Aceptar. Administración de archivos de audio para las alarmas Cabe la posibilidad de cargar y descargar archivos de audio a fin de usarlos como alertas sonoras. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Audio. 3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar. Administración de los destinatarios de alarmas A la hora de definir la configuración de las acciones para una alarma, existe la posibilidad de enviar un mensaje a los destinatarios. Las listas de destinatarios se pueden administrar desde la página Alarmas. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración y, después, en Destinatarios. 3 Seleccione el tipo de lista de destinatarios que desee administrar y, a continuación, agregue, edite o elimine destinatarios. Administración de alarmas Cuando se activa una alarma, es posible confirmarla, eliminarla o ver los detalles. También es posible anular la confirmación de una alarma, cambiar el usuario asignado y crear un caso a partir de ella. 242 McAfee Enterprise Security Manager Guía del producto

243 Uso de las alarmas Administración de alarmas 6 1 Acceda a uno de estos elementos: Panel de registro Alarma: situado debajo del árbol de navegación del sistema. Alerta visual emergente: se abre cuando se activa una alarma. Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas. 2 Realice una de las operaciones siguientes: Para... Confirmar una alarma Haga esto... Haga clic en el icono Confirmar. Anular la confirmación de una alarma Haga clic en el icono Sin confirmar. Eliminar una alarma Ver los detalles de la alarma Haga clic en el icono Eliminar. En el panel de registro Alarmas o en la alerta visual Cambiar el usuario asignado Crear un caso a partir de una alarma emergente, haga clic en el icono Detalles. En la página Detalles, haga clic en Usuario asignado y seleccione un nombre. En la página Detalles, haga clic en Crear caso. s Visualización de la cola de informes de alarma en la página 243 Si ha seleccionado Generar informes como acción para una alarma, podrá ver o realizar cambios en los informes que están a la espera de ejecutarse, así como ver los informes completados. Administración de los archivos de informes de alarmas en la página 244 Una vez ejecutado un informe de alarma, este se agrega a la lista de informes disponibles de ESM. Es posible acceder a esta lista y realizar diversas acciones. Véase también Adición de un caso en la página 299 Visualización de la cola de informes de alarma Si ha seleccionado Generar informes como acción para una alarma, podrá ver o realizar cambios en los informes que están a la espera de ejecutarse, así como ver los informes completados. McAfee Enterprise Security Manager Guía del producto 243

244 6 Uso de las alarmas Administración de alarmas 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, haga clic en Alarmas y, después, en la ficha Configuración. 2 Siga uno de estos procedimientos: Para ver o cancelar informes que están en la cola de ejecución, haga clic en Ver. Para ver y administrar los informes completados, haga clic en Archivos. 3 Haga clic en Cerrar. Administración de los archivos de informes de alarmas Una vez ejecutado un informe de alarma, este se agrega a la lista de informes disponibles de ESM. Es posible acceder a esta lista y realizar diversas acciones. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Alarmas. 2 Haga clic en la ficha Configuración, después en Archivos y seleccione si desea descargar, cargar o eliminar informes en la lista. 3 Haga clic en Cerrar. 244 McAfee Enterprise Security Manager Guía del producto

245 7 Uso 7 de los eventos El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos y flujos, además de conservar esta información disponible para fines de consulta, análisis forense, validación de reglas y conformidad. Contenido Eventos, flujos y registros Administración de informes Descripción de los filtros contains y regex Uso de las vistas de ESM Filtros de tipos personalizados Eventos, flujos y registros Los eventos, flujos y registros recopilan distintos tipos de actividades que se producen en un dispositivo. Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un flujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cuales al menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que se produce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre los eventos y los flujos: Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes que los eventos. Los flujos no están asociados a una firma de regla (ID de firma) como los eventos. Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina dentro de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada dispositivo. McAfee Enterprise Security Manager Guía del producto 245

246 7 Uso de los eventos Eventos, flujos y registros Configuración de descargas de eventos, flujos y registros Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el dispositivo de forma que lo haga automáticamente. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros. 3 Configure las descargas y haga clic en Aplicar. Limitación del tiempo de recopilación de datos Puede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos de cada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo. Antes de empezar Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos (véase Cambio de la configuración de agregación de eventos o flujos). Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno. Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y registros puede acarrear una fuga de datos. 1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el icono Propiedades. 2 Seleccione una de las siguientes opciones: Eventos, flujos y registros Eventos y registros Registros 3 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de inicio y finalización del intervalo de tiempo. El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM del ELM y cuándo envía los datos el ESM al ELM para su registro. Definición de la configuración de umbral de inactividad Cuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no se generan eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece un indicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema. 246 McAfee Enterprise Security Manager Guía del producto

247 Uso de los eventos Eventos, flujos y registros 7 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros. 2 Haga clic en Configuración de inactividad. 3 Resalte el dispositivo y haga clic en Editar. 4 Realice cambios en la configuración y después haga clic en Aceptar. Obtención de eventos y flujos Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del sistema. 1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo. 2 Haga clic en el icono Obtener eventos y flujos pasos necesarios. de la barra de herramientas de acciones y realice los 3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después, haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas. Comprobación de eventos, flujos y registros Es posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de forma automática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividad del sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puede especificar qué dispositivos deben buscar cada tipo de información y establecer la configuración de umbral de inactividad para los dispositivos administrados por el ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y registros. 2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros. 3 Haga clic en Aceptar. Véase también Definición de la configuración de umbral de inactividad en la página 246 Definición de la configuración de geolocalización y ASN La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica de forma exclusiva cada una de las redes de Internet. Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible recopilar datos de geolocalización de origen y destino para los eventos. McAfee Enterprise Security Manager Guía del producto 247

248 7 Uso de los eventos Eventos, flujos y registros 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización. 3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar. Es posible filtrar los datos de eventos mediante esta información. Obtención de eventos y flujos Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del sistema. 1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo. 2 Haga clic en el icono Obtener eventos y flujos pasos necesarios. de la barra de herramientas de acciones y realice los 3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después, haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas. Agregación de eventos o flujos Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o flujo con un recuento que indica el número de veces que se ha producido. El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a las reglas para las cuales se haya activado la agregación en el Editor de directivas. Dirección IP de destino origen y destino Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como "::" en lugar de " " en todos los conjuntos de resultados. Por ejemplo: ::ffff: se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es ). ::0000: sería Eventos y flujos agregados Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Total contiene el valor McAfee Enterprise Security Manager Guía del producto

249 Uso de los eventos Eventos, flujos y registros 7 Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas individuales (véase Administración de las excepciones de agregación de eventos). La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la compresión en ese registro nuevo. Cambio de la configuración de agregación de eventos o flujos La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se describe en la página Agregación. Antes de empezar Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración. La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras que la agregación de flujos lo está en los receptores y los dispositivos IPS. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Agregación de eventos o Agregación de flujos. 3 Defina la configuración y haga clic en Aceptar. Adición de excepciones a la configuración de agregación de eventos La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos generados por una regla. 1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la excepción. 2 Haga clic en el icono Menú y seleccione Modificar configuración de agregación. 3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo 3. Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error. Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración de agregación de eventos definida para el dispositivo. McAfee Enterprise Security Manager Guía del producto 249

250 7 Uso de los eventos Eventos, flujos y registros 4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar. 5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos. 6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados. La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios. Administración de las excepciones de agregación de eventos Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También cabe la posibilidad de editar o eliminar una excepción. 1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades. 2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla. 3 Realice los cambios necesarios y haga clic en Cerrar. Configuración del reenvío de eventos El reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediante syslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir el paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren antes de su reenvío. Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de registros firmados digitalmente de cada uno de los dispositivos del entorno. Configuración del reenvío de eventos Es posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a un servidor syslog o SNMP. El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de eventos recuperados por el ESM, puede afectar al rendimiento global de ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar. 3 Si ha seleccionado agregar o editar un destino, defina su configuración. 4 Haga clic en Aplicar o en Aceptar. Adición de destinos de reenvío de eventos Es posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a un servidor syslog o SNMP. 250 McAfee Enterprise Security Manager Guía del producto

251 Uso de los eventos Eventos, flujos y registros 7 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar. Véase también Agentes de reenvío de eventos en la página 251 Agentes de reenvío de eventos Estos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se reenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos. Agente Syslog (McAfee 9.2) Syslog (McAfee 8.2) Contenido ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3, Valor de agregación 3. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos, IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID normalizado. Los siguientes campos de cadena también aparecen entre comillas porque podrían contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9, Tipo definido por el usuario 10. Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción "Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción está marcada al configurar el reenvío de eventos en el ESM). McAfee Enterprise Security Manager Guía del producto 251

252 7 Uso de los eventos Eventos, flujos y registros Agente Syslog (Nitro) Syslog (ArcSight) Syslog (Snort) Syslog (registros de auditoría) Syslog (formato de evento común) Syslog (formato de evento estándar) Contenido ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64). "McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez, Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo, Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo), ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64). snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName], [Priority: ClassPriority], {Protocolo}, IP de origen:puerto de origen -> IP de destino:puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del paquete tiene la codificación Base 64). Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de registro. Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto = modelo de ESM de /etc/mcafee Nitro/ipsmodel, versión = versión de ESM de /etc/ buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor, dirección convertida de dispositivo. <#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM: { "source": { "id": , "name": "McAfee Gateway (ASP)", "subnet": "::ffff: /128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": , "name": "Random String Custom Type" }, "norm_sig": { "id": , "name": "Misc Application Event" }, "action": "5", "src_ip": " ", "dst_ip": " ", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": , "firsttime": " T20:43:30Z", "lasttime": " T20:43:30Z", "writetime": " T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" Activación o desactivación del reenvío de eventos Es posible activar o desactivar el reenvío de eventos en el ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección. 3 Haga clic en Aceptar. 252 McAfee Enterprise Security Manager Guía del producto

253 Uso de los eventos Eventos, flujos y registros 7 Modificación de la configuración de todos los destinos de reenvío de eventos Cabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de una vez. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Configuración y establezca las opciones. 3 Haga clic en Aceptar. Adición de filtros de reenvío de eventos Es posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP en el ESM. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Agregar y, después, en Filtros de evento. 3 Rellene los campos de filtrado y haga clic en Aceptar. Edición de la configuración de filtrado de reenvío de eventos Es posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada. Antes de empezar Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de usuarios. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de eventos. 2 Haga clic en Editar y, después, haga clic en Filtros de evento. 3 Realice los cambios y haga clic en Aceptar. Véase también Configuración de grupos de usuarios en la página 199 McAfee Enterprise Security Manager Guía del producto 253

254 7 Uso de los eventos Eventos, flujos y registros Envío y reenvío de eventos con el formato de eventos estándar El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos JavaScript (JSON) que permite representar datos de eventos genéricos. El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde el ESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a un receptor, mediante la selección de SEF como formato de datos al crear el origen de datos. Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a cabo estos cuatro pasos: 1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM que reenvía los eventos. Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Exportar. Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de reglas. 2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos personalizados y las reglas personalizadas que acaba de exportar. Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de datos a otro sistema. Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos personalizados y, después, haga clic en Importar. Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de reglas. 3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM. En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar el origen de datos y, después, haga clic en el icono Agregar origen de datos. En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y, después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos. Rellene la información solicitada y haga clic en Aceptar. 4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío. Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades. Haga clic en Reenvío de eventos y, después, en Agregar. En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del reenvío y haga clic en Aceptar. 254 McAfee Enterprise Security Manager Guía del producto

255 Uso de los eventos Administración de informes 7 Administración de informes Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV. Informes predefinidos Los informes predefinidos se dividen en las siguientes categorías: Conformidad McAfee Database Activity Monitoring (DAM) Ejecutivo McAfee DEM McAfee ADM McAfee Event Reporter Estos informes generan datos basados en los eventos. Informes definidos por el usuario Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección de la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden incluir componentes y configurarlos para que muestren los datos de la forma deseada. Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe cuando ya no es necesario. Véase también Adición de una condición de informe en la página 256 Establecimiento del mes de inicio para los informes trimestrales en la página 255 Adición de un diseño de informe en la página 256 Establecimiento del mes de inicio para los informes trimestrales Si ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido y almacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta fecha de inicio. 1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes. 3 Haga clic en Aplicar para guardar la configuración. Adición de un informe Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño de informe existente o crear uno nuevo mediante el editor Diseño del informe. McAfee Enterprise Security Manager Guía del producto 255

256 7 Uso de los eventos Administración de informes 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar y defina la configuración en la página Agregar informe. 3 Haga clic en Guardar. El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo Condición. Adición de un diseño de informe Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3. 3 En la sección 4, seleccione Informe en PDF o Informe en HTML. 4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe. 5 Configure el diseño a fin de mostrar los datos generados por el informe. El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable. Inclusión de una imagen en los PDF y los informes Es posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la imagen que aparece en la pantalla Inicio de sesión. Antes de empezar Agregue la imagen a la página Configuración personalizada (véase Personalización de la página de inicio de sesión). 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración personalizada. 2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos. 3 Haga clic en Aceptar. Véase también Personalización de la página de inicio de sesión en la página 21 Adición de una condición de informe Agregue condiciones para que estén disponibles a la hora de configurar un informe. 256 McAfee Enterprise Security Manager Guía del producto

257 Uso de los eventos Descripción de los filtros contains y regex 7 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes. 2 Haga clic en Condiciones y rellene la información solicitada. 3 Haga clic en Aceptar para guardar la configuración. Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para un informe. Visualización de los nombres de hosts en un informe Es posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de origen y destino en los informes. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones de la 1 a la 4. 3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular y rellene el Asistente de consultas. 4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP como nombres de host. Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades del sistema Hosts). Descripción de los filtros contains y regex Los filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados como no indizados. Estos filtros tienen requisitos de sintaxis. Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y minúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con contains/regex. Sintaxis y ejemplos La sintaxis básica de contains es contains(valor) y, en el caso de regex, es regex(expresión_regular). Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono correspondiente o incluya la notación de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas. McAfee Enterprise Security Manager Guía del producto 257

258 7 Uso de los eventos Descripción de los filtros contains y regex Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultados incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores y haga clic en el icono OR. Ejemplo 1 - Búsqueda simple Campos indizados: contains(stra), regex(stra) Campos no indizados: stra Resultado: devuelve cualquier cadena con stra, como, por ejemplo, administrador, gmestrad o straub. Ejemplo 2 - Búsqueda OR Campos indizados: contains(admin,ngcp), regex((admin NGCP)) Campos no indizados: admin,ngcp Resultado: devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El par adicional de paréntesis es necesario para que funcione OR con la expresión regular. Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio Símbolo de dólar: Campos indizados: contains($), regex(\x24) o regex(\$) Campos no indizados: $ Resultado: devuelven cualquier cadena dentro del campo que contenga $. Diríjase a para ver la lista de valores HEX correspondientes a los caracteres. Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de PCRE es un método de búsqueda mejor. Símbolo de porcentaje: Campos indizados: contains(%), regex(\x25) o regex(\%) Campos no indizados: % Barra diagonal inversa: Campos indizados: contains(\), regex(\x5c) o regex(\\) Campos no indizados: \ Barra diagonal inversa doble: Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\) Campos no indizados: \\ En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de Expresión regular no válida (ER5-0015). Ejemplo 4 - Búsqueda mediante el carácter comodín * 258 McAfee Enterprise Security Manager Guía del producto

259 Uso de los eventos Descripción de los filtros contains y regex 7 Campos indizados: contains (ad*) Campos no indizados: ad* Resultado: devuelve cualquier cadena que empiece por ad como, por ejemplo, administrador y adición. Ejemplo 5 - Búsqueda mediante una expresión regular regex(nitroguard/x28[3-4]/x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) Estos dominios corresponden a eventos DNS de Microsoft. Resultado: esta expresión regular busca una cadena concreta. En este caso, se trata de nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta expresión regular coincide con las dos primeras expresiones, pero no con las demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta función. Las expresiones serán muy distintas en su caso. Advertencias El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres caracteres. Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se puede utilizar en reglas de correlación con tipos personalizados de nombre/valor. El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más lento en las consultas. Descripción del filtro Bloom Para obtener información sobre el filtro Bloom, consulte Campos compatibles con contains y regex Access_Resource File_Operation_Succeeded Sitio de referencia Aplicación Ruta de archivo Clave de registro Application_Protocol File_Type Valor de registro Área Filename Request_Type Authoritative_Answer Estado de reenvío Response_Code CCO De Return_Code Proceso del llamador From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Categoría Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID McAfee Enterprise Security Manager Guía del producto 259

260 7 Uso de los eventos Descripción de los filtros contains y regex Client_Version HTTP_Req_Host Estado de sesión Comando HTTP_Req_Method ID de firma Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incoming_ID SNMP_Item_Type Database_ID Interfaz SNMP_Operation Database_Name Dest. de interfaz SNMP_Version ID de centro de datos Job_Name Usuario de origen Nombre de centro de datos Job_Type Source_Context DB2_Plan_Name Idioma ID de inicio de sesión de origen Delivery_ID Local_User_Name Source_Network Descripción Logical_Unit_Name Source_UserID Usuario de destino Tipo de inicio de sesión Source_Zone Directorio de destino LPAR_DB2_Subsystem Comando SQL Destination_Filename Mail_ID SQL_Statement Destination_Hostname Buzón de correo Step_Count ID de inicio de sesión de destino Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Asunto Destination_UserID Malware_Insp_Result SWF_URL Destination_Zone Servidor de administración Table_Name Método de detección Message_ID Target_Class Acción de dispositivo Message_Text Target_Context Dirección Método Nombre de proceso de destino Directorio NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Categoría de amenaza DNS_Name NTP_Request Amenaza gestionada DNS_Type NTP_Server_Mode Threat_Name Dominio Objeto To Event_Class Object_Type To_Address External_Application Sistema operativo URL External_DB2_Server Policy_Name Categoría de URL External_Hostname Privileged_User User_Agent ID de sesión externo Process_Name User_Nickname Función Query_Response Versión File_Operation Motivo ID de máquina virtual Nombre de máquina virtual Los siguientes tipos personalizados pueden utilizar contains y regex: 260 McAfee Enterprise Security Manager Guía del producto

261 Uso de los eventos Uso de las vistas de ESM 7 Vistas Cadena Cadena aleatoria Nombre/valor Cadena con hash Administración de casos Notas Resumen Historial Uso de las vistas de ESM El ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por un dispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation and Correlation (MSEAC) de McAfee. Contenido Uso de las vistas de ESM Visualización de detalles de sesión Barra de herramientas de vistas Vistas predefinidas Adición de una vista personalizada Componentes de vista Uso del Asistente de consultas Administración de vistas Búsqueda alrededor de un evento Visualización de los detalles de dirección IP de un evento Cambio de la vista predeterminada Filtrado de vistas Listas de control Normalización de cadenas Uso de las vistas de ESM Mediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a través de un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. La vista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema. Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vista predeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida (véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin de ejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas). También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú de componentes y la barra de herramientas de componentes a fin de interactuar con las vistas y sus datos. En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso. En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados aparecen como "::" en lugar de " " en todos los conjuntos de resultados. Por ejemplo, ::ffff: se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es ); ::0000: sería McAfee Enterprise Security Manager Guía del producto 261

262 7 Uso de los eventos Uso de las vistas de ESM Visualización de detalles de sesión Es posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV mediante el Visor de sesión. Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado de una conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentan con ID de sesión. 1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver. 2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a continuación, seleccione Información detallada de evento Eventos. 3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de sesión situado junto al campo ID de sesión. Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión. Barra de herramientas de vistas La barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de varias opciones que se pueden utilizar a la hora de configurar las vistas. Tabla 7-1 Opción Descripción 1 Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediante la ocultación del panel del árbol de dispositivos. 2 Navegación por vistas Permite retroceder y avanzar por las vistas anteriores. 3 Lista de vistas Seleccione una vista en la lista desplegable, la cual incluye todas las vistas predefinidas y personalizadas seleccionadas para su visualización en esta lista. 4 Administrar vistas Permite administrar todas las vistas (véase Administración de vistas). Puede seleccionar qué vistas desea incluir en la lista, agregar carpetas o renombrar, eliminar, copiar, importar y exportar vistas. 5 Actualizar vista actual Permite actualizar todos los datos mostrados en el panel de vistas. 6 Vista predeterminada Volver a la vista predeterminada. 262 McAfee Enterprise Security Manager Guía del producto

263 Uso de los eventos Uso de las vistas de ESM 7 Tabla 7-1 (continuación) Opción Descripción 7 Imprimir vista actual Imprimir una copia de la vista actual. Las opciones de impresión son: Cambiar tamaño para ajustar todos los componentes en una página: los componentes que forman parte de la vista se ajustan para que la vista quepa en una página. Imprimir cada componente en una página distinta: cada componente que forma parte de la vista se imprime en una página diferente. Si hace clic en Cambiar tamaño de componente para ajustarlo a la página, se ajusta el tamaño de cada componente para rellenar toda la página. Imprimir área visible solamente: solo se imprime la parte de la vista visible en la pantalla. Exportar a PDF: la vista se guarda como un archivo PDF. 8 Editar vista actual Permite modificar la vista mostrada, en caso de ser una vista personalizada. Al hacer clic en esta opción, se abre la Barra de herramientas de edición de vistas (véase Adición de una vista personalizada). 9 Crear vista nueva Permite crear una nueva vista personalizada (véase Adición de una vista personalizada). 10 Espacio de tiempo Especifique el espacio de tiempo correspondiente a la información que desea que aparezca en la vista. 11 Ocultar filtros Haga clic aquí para ampliar la vista actual mediante la ocultación del panel de filtrado. Vistas predefinidas La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del sistema, así como a cualquier vista personalizada que se agregue. A continuación se detallan los diferentes tipos de vistas predefinidas. Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su posible efecto sobre su sistema. Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas. Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema. La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre el dispositivo seleccionado aparece en la mitad inferior de la vista. McAfee Enterprise Security Manager Guía del producto 263

264 7 Uso de los eventos Uso de las vistas de ESM Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista Búsqueda de ELM mejorada). Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo seleccionado en el árbol de navegación del sistema. Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés para empleados ajenos al departamento de TI. Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza mediante Nitro IPS (véase Vistas de flujo). McAfee Event Reporter incluye vistas específicas para varios productos de McAfee. Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver correctamente los datos en los administradores personalizados, es necesario crear vistas personalizadas. Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes: Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las condiciones de alarma (véase Vista Alarmas activadas). Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los casos). Vistas de flujo Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el dispositivo Nitro IPS. Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión). Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo. Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS. A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo así, podrá ver los flujos en la vista Análisis de flujos. Activación del registro de flujos Para ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activar dos variables de firewall. 1 En el árbol de navegación del sistema, seleccione un dispositivo. 2 Haga clic en el icono del Editor de directivas y seleccione Variable en el panel Tipos de regla. 264 McAfee Enterprise Security Manager Guía del producto

265 Uso de los eventos Uso de las vistas de ESM 7 3 Expanda la categoría Firewall en el panel de visualización de reglas. 4 En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. 5 En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar el valor de herencia, escriba Yes y haga clic en Aceptar. Vista Búsqueda de ELM mejorada La vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el sistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros uno o varios ELM. Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM para proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual permite limitar la consulta para minimizar el número de archivos en los que buscar. Con el fin de permitir una mayor velocidad de búsqueda cuando se emplea Búsqueda de ELM mejorada, se debe activar el motor de indización de texto completo, el cual aumenta la velocidad porque limita el número de archivos en los que se busca. Para que este aumento surta efecto, se deben indizar todos los registros de ELM existentes. Cuando se activa el indizador, la indización puede tardar incluso semanas, en función de la velocidad del sistema y del número de registros recopilados. El rendimiento de búsqueda no decrece durante este tiempo, pero solamente aumenta a medida que se van indizando los registros de ELM. Si desea activar la indización de texto completo, véase Búsquedas de ELM más rápidas. Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados: Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con una distribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de espacios de tiempo. Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del sistema. Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo de dispositivo según los dispositivos seleccionados en el árbol de navegación del sistema. Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que se encuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen de datos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados. Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado a mostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, además de limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estos gráficos muestran los resultados reales. Realización de una búsqueda de ELM mejorada Cabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM. Si el indizador de texto completo está activado, es posible llevar a cabo búsquedas de ELM más rápidas, ya que se limita el número de archivos en los que hay que buscar. McAfee Enterprise Security Manager Guía del producto 265

266 7 Uso de los eventos Uso de las vistas de ESM 1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable. 2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscar en la lista desplegable situada junto al campo de texto. 3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto. Este campo no admite el vocabulario de indización de texto completo, como por ejemplo XOR y NOT. Sí que admite AND y OR. 4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable. 5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar. 6 Si fuera necesario, seleccione una o varias de estas opciones: Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas y minúsculas. Expresión regular: el término del campo de búsqueda se considera como expresión regular. NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido en el campo de búsqueda. 7 Haga clic en Buscar. Los resultados aparecerán en la sección Resultados de la búsqueda de la vista. 8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice. Opción Guardar búsqueda Descargar archivo de resultados de búsqueda Copiar elementos seleccionados al portapapeles Ver detalles de datos Definición Guardar los resultados de esta búsqueda aunque se abandone la vista. Las búsquedas guardadas se pueden ver en la página Propiedades de ELM Datos. Descargar los resultados en la ubicación designada. Copiar los elementos seleccionados al portapapeles para poder pegarlos en un documento. Mostrar los detalles de cualquier registro seleccionado en la tabla Resultados de la búsqueda. Visualización y administración de alarmas activadas Esta vista incluye las alarmas activadas y las alarmas que no se han eliminado. Es posible llevar a cabo diversas acciones para administrar estas alarmas. 1 En la consola de ESM, seleccione el icono de inicio rápido Alarmas activadas. para acceder a la vista Alarmas 2 Siga uno de los procedimientos siguientes: 266 McAfee Enterprise Security Manager Guía del producto

267 Uso de los eventos Uso de las vistas de ESM 7 Para... Confirmar una alarma Haga esto... Para confirmar una alarma, haga clic en la casilla de verificación de la primera columna de la alarma activada que desee confirmar. Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma Eliminar una alarma del sistema de la parte inferior de la vista. Las alarmas confirmadas se eliminan del panel Alarmas, pero se conservan en la vista Alarmas activadas. Seleccione la alarma activada que desee eliminar y haga clic en el icono Eliminar alarma. Filtrar las alarmas Introduzca la información que desee usar como filtro en el panel Filtros y haga clic en el icono Actualizar. Cambiar el usuario asignado de las alarmas 1 Si las fichas de detalles de los datos no aparecen en la parte inferior de la vista, haga clic en el icono Ver detalles de datos. 2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo usuario asignado. Crear un caso para las alarmas Ver detalles sobre una alarma 1 Asegúrese de que las fichas de detalles de los datos estén visibles. 2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones necesarias. 1 Asegúrese de que las fichas de detalles de los datos resulten visibles en la parte inferior de la vista. 2 Seleccione la alarma y realice una de las acciones siguientes: Haga clic en la ficha Evento activador para ver el evento que activó la alarma seleccionada. Haga doble clic en el evento para ver su descripción. La ficha Evento activador no siembre está disponible, ya que algunas condiciones de alarma no responden a un único evento. Haga clic en la ficha Condición para ver la condición que activó el evento. Haga clic en la ficha Acción para ver las acciones resultantes de la alarma y las etiquetas de epolicy Orchestrator asignadas al evento. Editar la configuración de una alarma activada 1 Haga clic en la alarma activada, después en el icono Menú y seleccione Editar alarma. 2 En la página Configuración de alarma, realice los cambios (haga clic en el icono Ayuda de cada ficha para obtener instrucciones) y haga clic en Finalizar. Adición de una vista personalizada Las vistas personalizadas incluyen componentes que permiten mostrar la información que se desee. McAfee Enterprise Security Manager Guía del producto 267

268 7 Uso de los eventos Uso de las vistas de ESM 1 En la barra de herramientas de vistas, haga clic en el icono Crear vista nueva y, después, arrastre y suelte un componente de la Barra de herramientas de edición de vistas (véase Visualización de componentes). 2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver (véase Uso del Asistente de consultas) y haga clic en Finalizar. Los datos aparecerán en el componente agregado. 3 Realice una de las operaciones siguientes: Para... Mover el componente Mostrar los nombres de host en lugar de las direcciones IP de forma predeterminada Haga esto... Haga clic en la barra de título del componente y, después, arrástrelo y suéltelo. Haga clic en el icono Mostrar nombres de host de la barra de herramientas de un componente que muestre las direcciones IP (véase Administración de los nombres de host). Personalizar el componente Agregar más componentes a la vista Guardar la vista Haga clic en el componente y realice cambios en la configuración mediante el panel Propiedades (véase Personalización de componentes). 1 Haga clic en un componente y arrástrelo. 2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver y haga clic en Finalizar. 1 Haga clic en Guardar o en Guardar como y escriba un nombre para la vista. Para guardarla en una carpeta existente, seleccione la carpeta. 2 Haga clic en Aceptar. Copiar y pegar un componente Eliminar un componente Salir del editor de vistas sin guardar una vista 1 Haga clic en el componente que desee copiar. 2 Haga clic en Copiar y después en Pegar. Seleccione el componente y, a continuación, haga clic en Eliminar. Elimine todos los componentes y cierre la Barra de herramientas de edición de vistas. Componentes de vista Es posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidades de la forma que le resulte más útil. Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y se configuran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente de consultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente. 268 McAfee Enterprise Security Manager Guía del producto

269 Uso de los eventos Uso de las vistas de ESM 7 Descripción de los componentes de vista Existen trece componentes distintos que se pueden agregar a una vista personalizada. Se pueden utilizar para configurar la vista a fin de ver los datos con el formato más adecuado. Componente Dial de control Descripción Muestra los datos de un vistazo. Es dinámico y se puede vincular con otros componentes de la consola. Se actualiza a medida que el usuario interactúa con la consola de ESM. Cada dial incluye un indicador de referencia ( ). El degradado que rodea el borde exterior del dial se torna de color rojo por encima del indicador de referencia. Si lo prefiere, todo el dial puede cambiar de color para indicar un comportamiento anómalo: amarillo cuando se encuentre dentro del umbral de una referencia o rojo cuando se supere ese umbral. La opción Tasa permite ajustar la tasa de los datos visualizados. Por ejemplo, si observa Día en curso y Eventos totales y cambia la tasa a una hora, verá el número de eventos por hora para el día en cuestión. Esta opción estará desactivada si la consulta visualizada ya muestra un promedio, como por ejemplo Promedio de gravedad o Promedio de bytes. Gráfico de origen y destino Muestra la actividad general de direcciones IP de evento o flujo. La opción de evento permite especificar direcciones IP y ver todos los ataques llevados a cabo en las direcciones especificadas, así como todos los ataques que esas direcciones IP han lanzado sobre otras. La opción de flujo permite especificar direcciones IP y ver las direcciones IP que han conectado con ellas, así como las conexiones que realizaron esas direcciones IP. Este gráfico incluye un campo abierto en la parte inferior del componente que permite ver los eventos o flujos de origen y destino para una dirección IP concreta. Escriba la dirección en el campo o seleccione una previamente utilizada y haga clic en el icono Actualizar. Gráfico circular Tabla Gráfico de barras Lista Distribución Área de notas Recuento Título Muestra la información consultada mediante un gráfico circular. Resulta útil cuando hay pocas categorías que visualizar (por ejemplo, una consulta de acción o protocolo). Muestra la información mediante diversas columnas. Este componente es útil para mostrar datos de eventos y flujos con el mayor nivel de detalle. Muestra la información consultada en un gráfico de barras, lo cual permite comparar el tamaño de cada resultado en un intervalo de tiempo concreto. Muestra los datos de consulta seleccionados en forma de lista. Este componente resulta útil cuando se desea ver una lista más detallada de elementos en un espacio reducido. Muestra una distribución de eventos y flujos a lo largo de un periodo de tiempo. Es posible establecer intervalos para periodos de tiempo específicos a fin de dar forma a los datos. Un componente vacío que se emplea para notas de texto. Permite escribir notas relacionadas con la vista actual. Muestra el total de eventos, activos, vulnerabilidades o flujos consultados para una vista concreta. Permite crear un título o encabezado para la vista. Se puede colocar en cualquier parte de la vista. McAfee Enterprise Security Manager Guía del producto 269

270 7 Uso de los eventos Uso de las vistas de ESM Componente Topología de red Mapa de geolocalización Filtrar lista Descripción Permite ver los datos representados en la red. También se puede crear una vista personalizada para utilizarla junto con los datos de descubrimiento de red (véase Adición de dispositivos al componente de topología de red). Muestra la ubicación de origen y destino de las alertas y los flujos en un mapa de geolocalización. Las opciones de este componente permiten cambiar entre marcar una ciudad, una región, un país y áreas del mundo, acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús. Muestra una lista de usuarios y grupos de Active Directory. Cuando se agrega el componente Filtrar lista, es posible enlazar otros componentes con él; para ello, haga clic en la flecha hacia abajo de los campos de filtrado Usuario de origen o Usuario de destino en el Asistente de consultas y seleccione Enlazar con Lista de Active Directory. Asimismo, es posible ver los datos de eventos y flujos asociados con Active Directory mediante el icono de menú. Personalización de componentes Al agregar o editar un componente, existen varias opciones disponibles en el panel Propiedades que se pueden utilizar para personalizarlo. Las opciones disponibles dependen del componente seleccionado. Opción Título Anchura/Altura X/Y Editar consulta Mostrar barra de control Tamaño de página Mostrar valor Otros Mostrar leyenda Mostrar valores (gráficos de barras y lista) Mostrar etiquetas Definición Cambiar el título de un componente. Definir las dimensiones del componente. También es posible hacer clic y arrastrar la línea de límite. Definir la ubicación del componente en la vista. También se puede hacer clic en la barra de título del componente y, después, arrastrarlo y soltarlo. Realizar cambios en la consulta actual. Al hacer clic en este botón, se abre el Asistente de consultas (véase Uso del Asistente de consultas). Indicar si se debe mostrar o no la barra de control en la parte inferior del componente. Definir cuántos registros se muestran por página si hay más datos de los que se pueden mostrar de forma simultánea. Si se selecciona esta opción, aparece el valor Otros en la parte inferior de un componente de gráfico o lista. Proporciona el total de registros no mostrados en la página actual. Por ejemplo, si está en la segunda página de un conjunto de registros, la categoría Otros es la suma de los valores de la primera página y todas las páginas existentes tras la segunda. Mostrar una leyenda en la parte inferior o a la derecha de un gráfico de sectores. Incluir el valor de cada elemento en un gráfico de barras. Incluir una etiqueta por cada barra de un gráfico de barras. Es posible establecer el número máximo de caracteres que se pueden mostrar en una etiqueta. Si se establece en 0, no existirá límite máximo en la etiqueta. 270 McAfee Enterprise Security Manager Guía del producto

271 Uso de los eventos Uso de las vistas de ESM 7 Opción Mostrar promedios de referencia Definición Seleccione si desea comparar los datos actuales con los datos históricos en un gráfico de distribución o de barras, o bien en un dial de control. Existen dos opciones distintas que se pueden usar al mostrar los datos de referencia: Usar intervalo de tiempo automático: si se selecciona esta opción, los datos de referencia se correlacionan mediante el uso del mismo periodo de tiempo utilizado en la consulta actual para los últimos cinco intervalos. Por ejemplo, si está consultando el día en curso un lunes, los datos de referencia se calculan para el mismo periodo de los últimos cinco lunes. Se emplean menos intervalos si no existen datos para un intervalo concreto. Una vez recopilados los valores de cada intervalo, se halla el promedio a fin de calcular el valor de referencia actual. Usar intervalo de tiempo específico: al seleccionar un intervalo concreto, es posible especificar un momento de inicio y fin para calcular un promedio. Si se emplea esta opción, se calcula como un periodo de tiempo único. En el caso de los informes de distribución, produce un promedio de línea plana. Los datos de referencia se muestran en los gráficos de distribución mediante una línea azul. La línea es plana si se ha seleccionado la opción Usar intervalo de tiempo específico o si no hay datos suficientes para calcular un valor correlacionado. La línea es curva (siempre que se muestren varios valores para cada periodo de tiempo) si se calcula un valor correlacionado. El gráfico de barras muestra un indicador de flecha en el punto de referencia de cada barra. Si el valor actual es mayor que el de referencia, la barra será de color rojo por encima del marcador de referencia. Si el gráfico de barras incluye la gravedad de la regla, el color de la barra no cambiará para el valor de referencia. Una opción adicional permite establecer la aparición de un valor de margen junto con los datos de referencia. El valor de margen se calcula a partir del valor de referencia. Por ejemplo, si el valor de referencia es 100 y el margen superior es del 20 %, el valor de margen calculado será 120. La activación de esta función permite mostrar el área de margen para cada una de las barras del gráfico de barras. Un gráfico de distribución calcula el promedio de referencia, y muestra un área sombreada por encima y por debajo de la referencia que indica el área de margen. Lista de dispositivos Agrupaciones lógicas de dispositivos Fondo Arrastrar y soltar dispositivos en el componente Topología de red o el árbol Agrupaciones lógicas de dispositivos. Crear carpetas a fin de agrupar los dispositivos para el componente Topología de red. Seleccionar el color del fondo para la vista. URL de imagen de fondo permite importar una imagen para utilizarla como fondo. Adición de dispositivos al componente de topología de red La topología de red permite obtener datos de eventos y flujos de los dispositivos o el árbol de dispositivos, así como ver los datos representados en la red. Antes de empezar Es necesario descubrir la red para que aparezca la lista de dispositivos (véase Descubrimiento de red). También permite crear una vista personalizada que se puede usar con los datos de descubrimiento de red. Una vez creada una vista de topología de la red, hay que personalizarla para mostrar la información de eventos o flujos (véase Adición de una vista personalizada). McAfee Enterprise Security Manager Guía del producto 271

272 7 Uso de los eventos Uso de las vistas de ESM 1 Si va a agregar o editar una vista, haga clic en el componente Topología de red de evento, arrástrelo y suéltelo. El panel Propiedades mostrará la Lista de dispositivos y el árbol Agrupaciones lógicas de dispositivos. 2 En la Lista de dispositivos o la Lista de carpetas, seleccione un dispositivo o una carpeta y haga una de estas cosas: Para agregar el dispositivo o la carpeta al componente, arrástrelo y suéltelo en el componente. Para agregar el dispositivo o la carpeta a un grupo en el árbol Agrupaciones lógicas de dispositivos, haga clic en Agregar, introduzca un nombre para la carpeta y haga clic en Aceptar; a continuación, arrastre y suelte el dispositivo en la carpeta. 3 Ordene los dispositivos. Los dispositivos físicamente conectados al sistema se conectan mediante una línea recta negra al componente. Las líneas curvas azules o rojas indican una ruta de datos. Detalles de dispositivos en los componentes de la Topología de red Es posible ver detalles de un dispositivo específico en un componente de Topología de red al hacer doble clic en el dispositivo. Esta pantalla permite ver información sobre interfaces y endpoints, como, por ejemplo, un resumen de puertos, el total de dispositivos y el estado de los dispositivos. Opción Resumen de puertos de Total Por encima del promedio de referencia Definición Muestra el puerto que se está visualizando. Proporciona el número total de dispositivos. Indica el número de dispositivos por encima del promedio de referencia actual. Representa una estación de trabajo. Indica que la interfaz tiene datos de alerta asociados y que los datos están por debajo del promedio de referencia. Indica que la interfaz tiene datos de alerta asociados y que los datos están por encima del promedio de referencia. Indica que la interfaz no tiene datos de alerta asociados. Indica que el estado administrativo no funciona (no solo operativamente hablando). Representa un enrutador. Indica que el puerto del conmutador está activo. 272 McAfee Enterprise Security Manager Guía del producto

273 Uso de los eventos Uso de las vistas de ESM 7 Opción Definición Representa un dispositivo desconocido. Representa un dispositivo no gestionado. Indica que el ESM no se puede comunicar con el dispositivo mediante SNMP, descubrimiento de red ni ping. Barra de herramientas de componentes La barra de herramientas de componentes, situada en la parte inferior de cada componente de una vista, proporciona diversas acciones que es posible llevar a cabo con los datos del componente. Las acciones disponibles dependen del tipo de componente. Opción Iconos de tipos de gráficos Definición Marcar eventos como revisados: marcar eventos concretos una vez recibidos. Posteriormente, puede usar la lista desplegable Cambiar filtro de estado de evento para mostrar solamente los eventos revisados o solamente los eventos que no se han revisado. Asignar eventos a un caso o Remedy: asignar eventos a un caso (véase Administración de casos) o enviar un mensaje de correo electrónico al sistema Remedy (si está configurado). Al hacer clic en este icono, es posible seleccionar: Crear un nuevo caso Agregar eventos a un caso Enviar evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy) Ejecutar URL de dispositivo: ejecutar la dirección URL asociada con el evento seleccionado, en caso de haber agregado alguna para el dispositivo (véase Adición de una URL). Si no ha definido ninguna, se le pedirá que lo haga. Mostrar u Ocultar nombres de host: mostrar u ocultar los nombres de host asociados con las direcciones IP de la vista (véase Administración de nombres de host). Cambiar tipo de gráfico: cambiar el tipo de gráfico que muestra los datos. El icono correspondiente a esta función será el icono del componente correspondiente al tipo de gráfico actual. McAfee Enterprise Security Manager Guía del producto 273

274 7 Uso de los eventos Uso de las vistas de ESM Opción Definición Ver u Ocultar detalles de datos: mostrar u ocultar los detalles del evento seleccionado. Existen varias fichas en esta sección: Detalles: muestra la información disponible para el evento o el flujo seleccionados. Detalles avanzados: muestra información sobre el dispositivo de red de origen, el dispositivo de red de destino y las correcciones. Es posible buscar eventos o flujos según su ID, en caso de disponer de derechos suficientes para ver los registros, haciendo clic en el icono de la lupa situado a la derecha del campo ID de evento o ID de flujo. Geolocalización: muestra la ubicación del origen y el destino del evento seleccionado. Descripción: proporciona el nombre, la descripción y la firma o regla asociadas al evento. Notas: permite agregar notas al evento o el flujo que aparecen cada vez que se visualiza el elemento particular. Paquete: recupera el contenido del paquete que generó el evento seleccionado. Es posible llevar a cabo las siguientes funciones en esta ficha: Seleccionar el formato en el que se desea ver el paquete. Recuperar los datos del paquete mediante. Guardar el paquete en el equipo mediante. Si se trata de una captura de paquete (PCAP) (como eventos de Nitro IPS, eventos de ADM o eventos de Estreamer procedentes del receptor), se guardará con la extensión.pcap y se podrá abrir en cualquier programa de visualización de PCAP. De lo contrario, se guardará como archivo de texto. Configurar la recuperación automática del paquete al hacer clic en un evento. Buscar información en el paquete mediante la introducción de la palabra clave en el campo Buscar texto y haciendo clic en. No utilice caracteres especiales como paréntesis o corchetes en el campo Buscar texto. Eventos de origen: cuando se selecciona un evento de correlación o vulnerabilidad, se muestra el conjunto de eventos que provocó la generación del evento. Archivo de ELM: si introduce texto en el campo Buscar texto, se recuperan los datos archivados en el ELM. Si se agrega el evento, un dispositivo Event Receiver o ACE mostrará hasta 100 eventos agregados. Tipos personalizados: si ha definido tipos personalizados (véase Definición de filtros de tipos personalizados), 274 McAfee Enterprise Security Manager Guía del producto

275 Uso de los eventos Uso de las vistas de ESM 7 Opción Definición muestra los campos de tipos personalizados y los datos del evento correspondientes a esos campos. Información: muestra información como el nombre del dispositivo, la dirección IP, la versión del sistema operativo y el dispositivo, la descripción del sistema, la persona de contacto del sistema y la ubicación física del sistema. Interfaces: muestra el nombre de puerto, la velocidad del puerto, la VLAN, el estado administrativo y el estado operativo. Vecinos: muestra información específica sobre los dispositivos vecinos, como la interfaz local, el dispositivo vecino y la interfaz vecina. Cambiar período de intervalo/cambiar tasa de intervalos: indique con qué frecuencia desea que se actualicen los datos del gráfico. Tasa: seleccione la tasa para los datos mostrados (Ninguna, Por segundo, Por minuto, Por hora, Por día, Por semana, Por mes). Dirección IP: ver los eventos o flujos de origen y destino para una dirección IP concreta. Escriba la dirección en el campo o seleccione una que haya utilizado anteriormente y haga clic o en el icono Actualizar. Geolocalización: cambiar entre marcar una ciudad, una región, un país y áreas del mundo, acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús. Cambiar página: navegar por los datos cuando hay más de una página. Cambiar filtro de estado de evento: seleccionar el tipo de eventos o flujos que aparecerán en la lista de análisis. Es posible ver todos los eventos, solo los eventos revisados, solo los eventos no revisados, los eventos corregidos, todos los flujos, solo los flujos abiertos o solo los flujos cerrados. Botones de historial: desplazarse hacia adelante y hacia atrás por los cambios realizados en la vista. Ver rutas de datos u Ocultar rutas de datos: ocultar o ver la línea que conecta dos dispositivos con las conexiones de datos de eventos o flujos. Ocultar texto: ocultar o mostrar las etiquetas del dispositivo en la vista Topología de red. Envío de un mensaje de correo electrónico a Remedy Si configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar al sistema la existencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe un número de caso de Remedy que se agrega al registro de evento. El usuario se encarga de configurar el sistema Remedy, que no tiene relación alguna con McAfee Nitro IPS. McAfee Enterprise Security Manager Guía del producto 275

276 7 Uso de los eventos Uso de las vistas de ESM 1 En una vista de eventos, resalte el evento que requiera solución. 2 Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy. 3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa. 4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistema acerca del evento. 5 Haga clic en Enviar. Opciones de menú de componentes La mayoría de los componentes de una vista disponen de un menú que muestra las opciones disponibles para el componente en cuestión. En la tabla siguiente se incluyen los posibles elementos. Opción Información detallada (de evento, flujo o activo) Resumir o Resumir según Modificar configuración de agregación Acciones Mostrar regla Detalles de dirección IP Búsqueda de ASN Crear nueva lista de vigilancia Adjuntar a lista de control Crear nueva alarma Realizar análisis de MVM Ejecutar epo Historial de ejecución de TIE Definición Ver más detalles sobre el tipo de datos seleccionado en las listas de información detallada. Los detalles se muestran en una vista nueva. Ver datos de otros eventos o flujos que comparten características con los eventos seleccionados. Por ejemplo, si observa un evento de barrido de puertos en la pantalla de análisis y desea ver otros eventos generados por el mismo atacante, haga clic en el evento, seleccione Resumir según y haga clic en IP de origen. Crear una excepción a la configuración de agregación general para una regla individual (véase Adición de excepciones a la configuración de agregación de eventos). Seleccionar eventos en una vista y agregarlos a una nueva lista de vigilancia (véase Listas de vigilancia). Seleccionar eventos en una vista y agregarlos a una lista de vigilancia existente. Seleccionar eventos en una vista y crear una alarma en función de sus valores (véase Creación de una alarma). Iniciar un análisis de McAfee Vulnerability Manager si el sistema incluye un dispositivo McAfee Vulnerability Manager. Abrir la interfaz de epolicy Orchestrator (véase Ejecución de epolicy Orchestrator). Cuando se selecciona un evento de TIE, se puede abrir la página Historial de ejecución de TIE para ver las direcciones IP que han intentado ejecutar el archivo seleccionado. Desde esta página, es posible crear una nueva lista de vigilancia, anexar un archivo a una lista de vigilancia, crear una nueva alarma, incluir un archivo en la lista negra, exportar un archivo a CSV o agregar etiquetas de epolicy Orchestrator al archivo. Ver la regla que generó el evento. Permite buscar información sobre un puerto o una dirección IP de origen o destino. Es posible ver los detalles de la amenaza y los resultados de la búsqueda de WHOIS correspondientes a la dirección IP seleccionada. Recuperar un registro de WHOIS mediante el identificador ASN. 276 McAfee Enterprise Security Manager Guía del producto

277 Uso de los eventos Uso de las vistas de ESM 7 Opción Examinar referencia Establecer ID de caso de Remedy Lista negra Buscar ELM Cambiar VLAN Activar/Desactivar puerto(s) Ver eventos/ver flujos Exportar Eliminar Marcar como revisado Crear regla de firewall personalizada Crear regla personalizada Definición Abrir el navegador web predeterminado y conectar con la base de datos de firmas de McAfee online, la cual proporciona información sobre la firma que generó el evento seleccionado. Agregar el ID de caso de Remedy, recibido al enviar un mensaje de correo electrónico de evento al sistema Remedy, al registro de eventos con fines de referencia (véase Adición de un ID de caso de Remedy a un registro de eventos). Agregar la dirección IP del evento seleccionado a la lista negra. Al seleccionar esta opción, se abre el Editor de la lista negra, donde el campo de dirección IP se rellena mediante los datos del evento seleccionado (véase Lista negra de dispositivo virtual o IPS). Realizar una búsqueda de información contenida en el ELM sobre el evento seleccionado. Se abrirá la página Búsqueda de ELM mejorada con los datos seleccionados (véase Realización de una búsqueda de ELM mejorada). Cambiar la VLAN para cualquier dispositivo seleccionado. Es posible seleccionar entre uno y doce dispositivos. Es posible realizar una selección única o múltiple de interfaces o endpoints. En función de lo seleccionado, aparecerá la opción para activar o desactivar. Por ejemplo, si selecciona cinco interfaces y una de ellas está activada mientras que las otras cuatro están desactivadas, solo tendrá la posibilidad de desactivar el puerto. No obstante, si selecciona un puerto desactivado, estará disponible la opción Activar puerto(s). Ver los eventos generados por un flujo o los flujos generados por un evento. Exportar un componente de vista a formato PDF, texto, CSV o HTML (véase Exportación de un componente). Eliminar eventos o flujos de la base de datos. Es necesario pertenecer a un grupo con privilegios de evento y solo se pueden eliminar los registros seleccionados, la página actual de datos o un número máximo de páginas a partir de la primera. Marcar con un indicador los eventos como revisados. Es posible marcar todos los registros del conjunto de resultados, la página actual o los registros seleccionados. Crear una regla de firewall personalizada basada en las propiedades del evento o el flujo seleccionados. Al hacer clic en Crear regla de firewall personalizada, se abre la página Nueva regla (véase Adición de reglas de correlación, base de datos o ADM personalizadas). Crear una regla personalizada mediante la firma que activó una alerta concreta como punto de partida. Esta opción está disponible cuando se seleccionan las alertas generadas por reglas estándar (no de firewall). Al hacer clic en Crear regla personalizada, se abre la página Nueva regla (véase Adición de reglas de correlación, base de datos o ADM personalizadas). Realización de una búsqueda de WHOIS o ASN En un componente de tabla es posible realizar una búsqueda de WHOIS para localizar información sobre una dirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consulta de ASN de un gráfico de barras y cualquier registro de flujo en un componente de tabla con datos de ASN, recupera un registro WHOIS mediante el identificador ASN. McAfee Enterprise Security Manager Guía del producto 277

278 7 Uso de los eventos Uso de las vistas de ESM 1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente de tabla o una barra de consulta de ASN de un componente de gráfico. 2 Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN. 3 Para buscar otra dirección IP o identificador: En la página de la ficha WHOIS, seleccione una dirección IP en la lista desplegable y escriba el nombre de host. En la página Búsqueda de ASN, escriba los números o realice una selección en la lista desplegable. Adición de un ID de caso de Remedy a un registro de evento Cuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID de caso. Es posible agregar este número al registro de eventos como referencia para el futuro. 1 Resalte el evento en la vista Análisis de eventos y haga clic en el menú. 2 Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar. Exportación de un componente Es posible exportar los datos incluidos en un componente de vista de ESM. Los componentes de gráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se pueden exportar a una lista de valores separados por comas (CSV) o HTML. Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datos exportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de una página, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haber diferencias respecto de lo que se ve en el componente. 1 En una vista, haga clic en el menú clic en Exportar. correspondiente al componente que desee exportar y haga 2 Seleccione uno de los formatos siguientes: Texto: exportar los datos en formato de texto. PDF: exportar los datos a modo de imagen. Imagen a PDF: exportar solo la imagen. CSV: exportar una lista de valores delimitados por comas. HTML: exportar los datos en forma de tabla. 278 McAfee Enterprise Security Manager Guía del producto

279 Uso de los eventos Uso de las vistas de ESM 7 3 En la página Exportar, especifique los datos que desee exportar. Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo de páginas a partir de la página 1. Si selecciona Imagen a PDF, se genera la imagen. Si selecciona CSV o HTML, solo puede exportar los elementos seleccionados, la página de datos actual o un número máximo de páginas a partir de la página 1. 4 Haga clic en Aceptar. Se generará el archivo de exportación y se le pedirá que descargue el archivo resultante. Uso del Asistente de consultas Todos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cada componente. A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cada componente del Asistente de consultas mediante la selección del tipo de consulta, la consulta, los campos que incluir y los filtros que usar. Todas las consultas del sistema, tanto predefinidas como personalizadas, aparecerán en el asistente para que pueda seleccionar los datos que desee que genere el componente. También cabe la posibilidad de editar o eliminar consultas, así como de copiar una consulta existente a fin de usarla como plantilla para configurar una consulta nueva. Administración de consultas El ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora de agregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones de configuración, así como de agregar o quitar consultas personalizadas. 1 Acceda al Asistente de consultas de una de las formas siguientes. Para... Agregar una nueva vista Haga esto... 1 Haga clic en el icono Crear vista nueva de vista., situado en la barra de herramientas 2 Arrastre y suelte un componente de la Barra de herramientas de edición de vistas en el panel de vista. Aparecerá el Asistente de consultas. Editar una vista existente 1 Seleccione la vista que desee editar. 2 Haga clic en el icono Editar vista actual de vista., situado en la barra de herramientas 3 Haga clic en el componente que desee editar. 4 Haga clic en Editar consulta en el panel Propiedades. Se abrirá el Asistente de consultas por la segunda página. McAfee Enterprise Security Manager Guía del producto 279

280 7 Uso de los eventos Uso de las vistas de ESM Para... Establecer el diseño de un informe nuevo Haga esto... 1 En Propiedades del sistema, haga clic en Informes. 2 Haga clic en Agregar. 3 En la sección 5 de la página Agregar informe, haga clic en Agregar. 4 Arrastre y suelte un componente en la sección de diseño del informe. Aparecerá el Asistente de consultas. Editar el diseño de un informe existente 1 En Propiedades del sistema, haga clic en Informes. 2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar. 3 En la sección 5 de la página Editar informe, seleccione un diseño existente y haga clic en Editar. 4 Haga clic en el componente en la sección de diseño del informe y haga clic en Editar consulta en la sección Propiedades. Se abrirá el Asistente de consultas por la segunda página. 2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones: Para... Agregar una nueva consulta Haga esto... 1 Seleccione la consulta que desee usar como plantilla y haga clic en Copiar. 2 Escriba el nombre de la nueva consulta y haga clic en Aceptar. 3 En la lista de consultas, haga clic en la recién agregada y, después, en Siguiente. 4 En la segunda página del asistente, cambie la configuración mediante los botones. Editar una consulta personalizada Quitar una consulta personalizada 1 Seleccione la consulta personalizada que desee editar y haga clic en Editar. 2 En la segunda página del asistente, cambie la configuración mediante los botones. Seleccione la consulta personalizada que desee eliminar y, a continuación, haga clic en Quitar. 3 Haga clic en Finalizar. Componentes enlazados Cuando un componente de vista se enlaza con otro componente mediante un enlace de datos, la vista pasa a ser interactiva. Al seleccionar uno o varios elementos en el componente principal, los resultados mostrados en el componente secundario cambian, igual que si se accediera a información detallada. Por ejemplo, si enlaza un componente de IP de origen de gráfico de barras principal a un componente de IP de destino de gráfico de barras secundario, al hacer una selección en el componente principal el componente secundario ejecuta su consulta mediante la IP de origen seleccionada como filtro. Al cambiar la selección en el componente principal, se actualizan los datos en el componente secundario. El enlace de datos solo permite enlazar un campo con otro. 280 McAfee Enterprise Security Manager Guía del producto

281 Uso de los eventos Uso de las vistas de ESM 7 1 Cree los componentes principal y secundario; después, seleccione el componente secundario. 2 En el panel Propiedades, haga clic en Editar consulta Filtros. La página Filtros de consulta se abrirá con las consultas principales y secundarias activadas. 3 En la lista desplegable de consultas secundarias, seleccione Enlazar con. 4 Haga clic en Aceptar y, después, en Finalizar. Comparación de valores Los gráficos de distribución tienen una opción que permite superponer una variable adicional sobre el gráfico actual. De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, por ejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosas comparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacio en la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en un único gráfico de distribución. La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona una consulta de evento, solamente es posible realizar la comparación con los campos de la tabla de eventos, pero no con la tabla de flujos o de activos y vulnerabilidades. Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de la forma habitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobre los datos al mismo tiempo. El componente de distribución muestra los datos para ambos conjuntos de datos en el mismo gráfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico (esquina inferior izquierda del componente), se siguen mostrando ambos conjuntos de datos. Comparación de valores de gráficos Es posible comparar los datos de un gráfico de distribución con la variable que se seleccione. 1 Seleccione el icono Crear vista nueva o el icono Editar vista actual. 2 Haga clic en el icono Distribución Asistente de consultas. y, después, arrástrelo y suéltelo en la vista para abrir el 3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente. 4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada. 5 Haga clic en Aceptar y, después, en Finalizar. 6 Mueva el componente a la ubicación correcta en la vista y, después: Haga clic en Guardar si va a agregar el componente a una vista existente. Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vista nueva. McAfee Enterprise Security Manager Guía del producto 281

282 7 Uso de los eventos Uso de las vistas de ESM Configuración de la distribución apilada para vistas e informes Es posible configurar el componente de distribución en una vista o informe para poder ver la distribución de los eventos relacionados con un campo específico. Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe. Cuando se accede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo y definir el tipo y los detalles del gráfico. No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta. 1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada) o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta. El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio (por ejemplo, Promedio de gravedad por alerta o Duración media por flujo). 2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones. 3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas. La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el tipo de gráfico, mediante el icono Opciones de gráfico. Administración de vistas La administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista al mismo tiempo, así como de seleccionar las vistas que incluir en la lista de vistas y asignar permisos a usuarios o grupos específicos para el acceso a vistas concretas. 1 En la consola de ESM, haga clic en el icono Administrar vistas. 2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar. Búsqueda alrededor de un evento En la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos del evento dentro del espacio de tiempo seleccionado antes y después del evento. 1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos Análisis de eventos. 2 Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar. 282 McAfee Enterprise Security Manager Guía del producto

283 Uso de los eventos Uso de las vistas de ESM 7 3 Seleccione el número de minutos antes y después de la hora del evento donde desea que el sistema busque una coincidencia. 4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda y escriba el valor. Los resultados aparecerán en la vista Resultado de la búsqueda. Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menú Análisis de eventos. Visualización de los detalles de dirección IP de un evento Si cuenta con una licencia de McAfee Global Threat Intelligence (McAfee GTI) de McAfee, dispone de acceso a la nueva ficha Detalles de amenaza al ejecutar una búsqueda de Detalles de dirección IP. Cuando se selecciona esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo o datos de geolocalización. Antes de empezar Adquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI). Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee. 1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento Análisis de eventos. 2 Haga clic en una dirección IP, después en el icono de menú tenga una dirección IP y, a continuación, en Detalles de dirección IP. de cualquier componente que La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada. Puede copiar los datos al portapapeles del sistema. La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. No obstante, la página Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece esta información. Cambio de la vista predeterminada La vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando se inicia sesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada por cualquiera de las vistas predefinidas o personalizadas del ESM. 1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas. 2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y haga clic en Aceptar. McAfee Enterprise Security Manager Guía del producto 283

284 7 Uso de los eventos Uso de las vistas de ESM Filtrado de vistas En el panel de filtros situado en la consola principal de ESM, es posible establecer filtros para aplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre. La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos de filtrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar y eliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado, administrar todos los filtros e iniciar el administrador de normalización de cadenas. Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertar de que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros y se vuelve a ejecutar la consulta. Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales, filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman parte de una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas en el valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como "Salas,""Barbas""Juan". Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex). Filtrado de una vista Los filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtros y actualiza la vista, los datos de la vista reflejarán los filtros agregados. 1 En la consola de ESM, haga clic en la lista desplegable de vistas y seleccione la que desee filtrar. 2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formas siguientes: Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vista actual de forma que solo se vean los datos con la dirección IP de origen , escriba esta dirección IP en el campo IP de origen. Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex). Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listas de vigilancia por las que filtrar. En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en el panel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datos seleccionados. En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80 representa un intervalo de gravedad de entre 60 y Realice cualquiera de las acciones siguientes: 284 McAfee Enterprise Security Manager Guía del producto

285 Uso de los eventos Uso de las vistas de ESM 7 Para... Ver datos que coinciden con más de un filtro Ver datos que coinciden con algunos valores de filtrado y excluyen otros Haga esto... Introduzca los valores en cada campo. 1 Introduzca los valores de filtrado que desee incluir y excluir. 2 Haga clic en el icono NOT situado junto a los campos que desee excluir. Ver datos que coinciden con filtros de expresión regular o de tipo OR 1 Introduzca los valores de filtrado en los campos de expresión regular y OR. 2 Haga clic en el icono OR junto a los campos que tengan los valores OR. La vista incluirá los datos que coincidan con los valores de los campos no marcados como OR y que coincidan con cualquiera de los valores de los campos marcados como OR. Para que funcione este filtro, hay que marcar un mínimo de dos campos como OR. Hacer que en los valores de filtrado no se distinga entre mayúscula y minúscula Reemplazar las cadenas normalizadas por sus alias Haga clic en el icono Sin distinción mayúsculas/minúsculas campo de filtrado adecuado. Haga clic en el icono de normalización de cadenas campo de filtrado adecuado. junto al junto al 4 Haga clic en el icono Ejecutar consulta. La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en la vista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista que indica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros se borran y la vista muestra todos los datos. Panel Filtros El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para las vistas. Icono Significado Descripción Sugerencias Iniciar administrador de normalización de cadenas Ejecutar consulta Hace que aparezca información sobre herramientas al hacer clic en un campo de filtro. Se aplica el filtrado por una cadena y sus alias (véase Normalización de cadenas). Se aplican los filtros actuales a la vista. Deberá hacer clic en este icono si cambia un valor de filtro y desea aplicarlo a la vista actual. Borrar todo Se borran todos los filtros del panel de filtros. McAfee Enterprise Security Manager Guía del producto 285

286 7 Uso de los eventos Uso de las vistas de ESM Icono Significado Descripción Opciones de conjunto de filtros Seleccione una acción que realizar con los conjuntos de filtros. Convertir en predeterminado: guarda los valores de filtro introducidos como predeterminados. Estos filtros se aplican automáticamente al iniciar sesión. Restaurar predeterminado: devuelve los filtros a los valores predeterminados para poder ejecutar la consulta con el conjunto de filtros predeterminado. Guardar filtros rellenados: guarda el conjunto de filtros actual y lo agrega a la lista de filtros disponibles, donde podrá seleccionarlo a la hora de agregar un filtro. Escriba un nombre para el conjunto y seleccione la carpeta donde desee guardarlo. Administrar filtros: abre la página Administración de conjuntos de filtros, donde puede organizar los conjuntos de filtros disponibles. Mostrar lista de filtros NOT OR Seleccione un campo de filtro o un conjunto de filtros por los que filtrar la vista. Al hacer clic en el campo, un menú desplegable indica todos los filtros y conjuntos de filtros posibles. Seleccione las variables o las listas de vigilancia para realizar el filtrado. Para ver datos que coinciden con algunos valores de filtro y excluyen otros, haga clic en esta opción junto a los campos que desee excluir. Para ver los datos que coinciden con los filtros de expresión regular y OR, haga clic en este icono junto a los campos que tengan los valores OR. La vista incluirá los datos que coincidan con los valores de los campos no marcados como OR y que coincidan con cualquiera de los valores de los campos marcados como OR. Para que funcione este filtro, hay que marcar un mínimo de dos campos como OR. Sin distinción mayúsculas/minúsculas Normalización de cadenas Ver filtros de un conjunto Sustituir valor Quitar este filtro Para que en los valores de filtro no se distinga entre mayúsculas y minúsculas, haga clic en este icono. Permite reemplazar las cadenas normalizadas por sus alias. Permite ver una lista de los filtros incluidos en un conjunto. Permite reemplazar el valor actual por el valor incluido en el conjunto de valores. Permite eliminar el campo de filtro de los filtros actuales. Adición de filtros de ID de evento de Windows y UCF Uno de los retos que supone la conformidad con las normativas es la naturaleza en constante evolución de estas normativas. Unified Compliance Framework (UCF) es una organización que asigna las características específicas de cada normativa a ID de control armonizados. A medida que cambian las normativas, estos ID se actualizan y se insertan en ESM. 286 McAfee Enterprise Security Manager Guía del producto

287 Uso de los eventos Uso de las vistas de ESM 7 Es posible filtrar por el ID de conformidad a fin de seleccionar la conformidad necesaria o subcomponentes específicos, o bien por el ID de evento de Windows. Para... Agregar filtros UCF Haga esto... 1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID de conformidad. 2 Seleccione los valores de conformidad que desee usar como filtros y haga clic en Aceptar Ejecutar consulta. Agregar filtros de ID de evento de Windows 1 Haga clic en el icono de filtro situado junto al ID de firma. 2 En Variables de filtrado, seleccione la ficha Windows. 3 Escriba los ID de evento de Windows (separados por comas) en el campo de texto o seleccione los valores que desee usar como filtro en la lista. Listas de control Una lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar como filtro o como condición de alarma. Puede ser global o específica de un usuario o grupo, y puede ser estática o dinámica. Una lista de vigilancia estática consta de valores específicos que se introducen o se importan. Una lista de vigilancia dinámica consta de valores que resultan de los criterios de búsqueda de cadenas o expresiones regulares que se definen. Una lista de vigilancia puede contener un máximo de de valores. Las listas de valores de las páginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de valores. Si hay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editar una lista de vigilancia mediante la adición de valores de forma que el total supere los , deberá exportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista. Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tiene una marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice. Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posible actualizar los valores configurados para caducar mediante su anexión a la lista a través de la opción Adjuntar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú de componentes). El ESM proporciona un conector para el origen de datos relacionales de Hadoop HBase sirviéndose de los pares clave-valor del origen. Estos datos se pueden emplear en una lista de vigilancia (véase Adición de una lista de vigilancia de Hadoop HBase). Por ejemplo, se pueden suministrar a alarmas que se activen cuando se encuentren valores de la lista de vigilancia en eventos nuevos. Adición de una lista de vigilancia Si agrega una lista de vigilancia al ESM, podrá usarla a modo de filtro para una condición de alarma. 1 Acceda a la página Listas de vigilancia de una de estas formas: En la consola de ESM, haga clic en el icono de inicio rápido Listas de vigilancia. En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas de vigilancia. McAfee Enterprise Security Manager Guía del producto 287

288 7 Uso de los eventos Uso de las vistas de ESM La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema. Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero no contienen datos a menos que se adquiera una licencia de McAfee GTI a través de McAfee. Póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquirir una licencia. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia. Véase también Lista de vigilancia de McAfee GTI en la página 288 Lista de vigilancia de McAfee GTI Las listas de vigilancia de McAfee GTI contienen más de 130 millones de direcciones IP sospechosas y maliciosas recopiladas por McAfee junto con su gravedad. Estas listas de vigilancia se pueden utilizar para activar alarmas, para filtrar datos en informes y vistas, a modo de filtro en la correlación de reglas y como origen de calificación para un administrador de correlación de riesgos de un ACE. Para agregar los datos de las listas al sistema, es necesario adquirir una licencia de McAfee GTI por medio de McAfee. Una vez hecho esto, las listas se agregarán al sistema la siguiente vez que descargue las reglas. Este proceso puede tardar varias horas debido al tamaño de la base de datos. Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad de descargarlas sin conexión. Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema Listas de control) indica si la lista está activa (contiene valores) o inactiva (no contiene valores). Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee. Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet Cabe la posibilidad de crear una lista de vigilancia, que se puede actualizar periódicamente, para extraer automáticamente las fuentes de amenazas o indicadores de compromiso (IOC) de Internet. En esta lista de vigilancia, se puede acceder a una vista previa de los datos que se recuperarán a través de la solicitud HTTP, así como agregar expresiones regulares para filtrar dichos datos. 1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades. 2 Haga clic en Listas de vigilancia y, después, en Agregar. 3 Rellene la ficha Principal y seleccione Dinámica. 288 McAfee Enterprise Security Manager Guía del producto

289 Uso de los eventos Uso de las vistas de ESM 7 4 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo. 5 Complete la información solicitada en las fichas Origen, Análisis y Valores. El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código de origen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribir una expresión regular para la coincidencia. Una actualización planificada o ejecutada mediante Ejecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsqueda mediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con una dirección IP. Adición de una lista de vigilancia de Hadoop HBase Agregue una lista de vigilancia con Hadoop HBase como origen. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y, después, haga clic en Listas de vigilancia. 2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la información solicitada y, a continuación, haga clic en la ficha Origen. 3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, el puerto y el nombre de la tabla. 4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta: a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna. b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante Base64. Por ejemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora. Normalización de cadenas Recurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar con valores de alias, así como para importar o exportar un archivo.csv de valores de normalización de cadenas. Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización de cadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre de usuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal es Juan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, y JuanD. A McAfee Enterprise Security Manager Guía del producto 289

290 7 Uso de los eventos Filtros de tipos personalizados continuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el icono de filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante se muestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar la existencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no. Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividad de usuarios con privilegios. Administración de archivos de normalización de cadenas Antes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM. 1 En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas. 2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar. Creación de un archivo de normalización de cadenas que importar Si crea un archivo.csv de alias, es posible importarlo en la página Normalización de cadenas para poder utilizarlo como filtro. 1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formato siguiente: comando, cadena principal, alias Los comandos posibles son agregar, modificar y eliminar. 2 Guárdelo como archivo.csv y, después, importe este archivo. Filtros de tipos personalizados Los campos de tipos personalizados se pueden usar como filtros para vistas e informes, así como para crear reglas personalizadas, lo cual permite definir datos relevantes en su caso y, después, acceder a ellos. Los datos generados por estos campos de tipos personalizados se pueden ver en la sección Detalles de las vistas Análisis de eventos o Análisis de flujos. Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use la página Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puede cambiar la configuración de subtipo. Exportación o importación de tipos personalizados Al exportar los tipos personalizados, se exportan todos a la ubicación seleccionada. Al importar un archivo de tipos personalizados, los datos importados reemplazan los tipos personalizados existentes en el sistema. 290 McAfee Enterprise Security Manager Guía del producto

291 Uso de los eventos Filtros de tipos personalizados 7 Consultas personalizadas A la hora de configurar una consulta personalizada para una vista, los tipos personalizados predefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Si agrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la información consultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultado alguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al 10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipo personalizado. Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuario de origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como un filtro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta no devolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campo de usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en la tabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En caso de no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía, pero otras columnas mostrarán datos. Tipo de datos personalizados Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cada campo en un registro de varios campos. Por ejemplo, un registro ( ) contiene tres campos (100, y 1). El subtipo personalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal o booleano). Por ejemplo: Registro inicial: Tres subtipos: Integer decimal boolean Subtipo personalizado: Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra el número de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto de color rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64 bits. Tipo personalizado de nombre/valor Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya un grupo de pares de nombre/valor especificado. A continuación, se pueden filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas de coincidencia de campo. A continuación se indican algunas de las características de esta función: Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular. Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación. La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslog avanzado (ASP). El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Si supera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar el tamaño y el número de nombres. Los nombres deben constar de más de dos caracteres. McAfee Enterprise Security Manager Guía del producto 291

292 7 Uso de los eventos Filtros de tipos personalizados El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres. Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> - <nombre>. Formato de expresión regular para tipos personalizados no indizados Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoria y cadena con hash: Puede utilizar la sintaxis contains(<expresión regular>) o simplemente escribir un valor en los campos de cadena aleatoria no indizada o cadena con hash y después filtrar los tipos personalizados. Es posible emplear la sintaxis regex(). Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado no indizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y el asterisco actúan como una barra ( ) y un punto seguido por un asterisco (.*) en un campo de cadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco (*), se sustituye por un punto seguido por el asterisco (.*). Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar un error que indica que la expresión regular no es válida. Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado de las cadenas con hash y las cadenas aleatorias indizadas o no indizadas. El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>) y regex(<en una parte de un mensaje de regla>). Un filtro de búsqueda común para contains es un único valor, no un valor con.* antes y después. Estos son algunos filtros de búsqueda habituales: Un valor único Varios valores separados por comas que se convierten en una expresión regular Una sentencia contains con un * que actúa como.* Expresiones regulares avanzadas donde se emplea la sintaxis regex() Véase Descripción de los filtros contains y regex. Creación de tipos personalizados Es posible agregar tipos personalizados para usarlos como filtros si se dispone de privilegios de administrador. 1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipos personalizados. 2 Haga clic en Agregar y rellene la información solicitada. 3 Haga clic en Aceptar para guardar el tipo personalizado. 292 McAfee Enterprise Security Manager Guía del producto

293 Uso de los eventos Filtros de tipos personalizados 7 Tabla de tipos personalizados predefinidos Si dispone de privilegios de administrador, puede ver una lista de los tipos personalizados predefinidos en la tabla de tipos personalizados (Propiedades del sistema Tipos personalizados). Si no cuenta con privilegios de administrador, utilice esta lista de tipos personalizados predefinidos. Nombre Tipo de datos Campo de evento Campo de flujo Application (Aplicación) Cadena Campo personalizado - 1 Ninguno Application_Layer ID de firma Ninguno Campo personalizado - 4 Application_Protocol Cadena Campo personalizado - 1 Authoritative_Answer Cadena Campo personalizado - 10 Bcc (CCO) Cadena Campo personalizado - 9 CC (CC) Cadena Campo personalizado - 8 Client_Version Cadena Campo personalizado - 9 Command (Comando) Cadena Campo personalizado - 2 Confidence (Confianza) Entero no firmado Campo personalizado - 8 Contact_Name Cadena Campo personalizado - 6 Contact_Nickname Cadena Campo personalizado - 8 Cookie Cadena Campo personalizado - 9 Database_Name Cadena Campo personalizado - 8 Destination User (Usuario de destino) Cadena Campo personalizado - 6 Destination_Filename Cadena Campo personalizado - 9 Direction (Dirección) Cadena Campo personalizado - 10 DNS_Class Cadena Campo personalizado - 8 DNS_Name Cadena Campo personalizado - 5 DNS_Type Cadena Campo personalizado - 6 Domain (Dominio) Cadena Campo personalizado - 3 End_Page Entero no firmado Campo personalizado - 9 File_Operation Cadena Campo personalizado - 5 Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Campo personalizado - 1 Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno McAfee Enterprise Security Manager Guía del producto 293

294 7 Uso de los eventos Filtros de tipos personalizados Nombre Tipo de datos Campo de evento Campo de flujo File_Operation_Succeeded Cadena Campo personalizado - 6 Filename (Nombre de archivo) Cadena Campo personalizado - 3 Ninguno Ninguno Flow_Flags Entero no firmado Ninguno Campo personalizado - 1 From (De) Cadena Campo personalizado - 5 Hops (Saltos) Entero no firmado Campo personalizado - 8 Host Cadena Campo personalizado - 4 Ninguno Ninguno Ninguno HTTP_Layer ID de firma Ninguno Campo personalizado - 5 HTTP_Req_Cookie Cadena Ninguno Campo personalizado - 3 HTTP_Req_Host Cadena Ninguno Campo personalizado - 5 HTTP_Req_Method Cadena Ninguno Campo personalizado - 6 HTTP_Req_Reference Cadena Ninguno Campo personalizado - 4 HTTP_Req_URL Cadena Ninguno Campo personalizado - 2 HTTP_Resp_Length Entero no firmado Ninguno Campo personalizado - 5 HTTP_Resp_Status Entero no firmado Ninguno Campo personalizado - 4 HTTP_Resp_TTFB Entero no firmado Ninguno Campo personalizado - 6 HTTP_Resp_TTLB Entero no firmado Ninguno Campo personalizado - 7 HTTP_User_Agent Cadena Ninguno Campo personalizado - 7 Interface (Interfaz) Cadena Campo personalizado - 8 Job_Name Cadena Campo personalizado - 5 Language (Idioma) Cadena Campo personalizado - 10 Local_User_Name Cadena Campo personalizado - 5 Message_Text Cadena Campo personalizado - 9 Method (Método) Cadena Campo personalizado - 5 Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno 294 McAfee Enterprise Security Manager Guía del producto

295 Uso de los eventos Filtros de tipos personalizados 7 Nombre Tipo de datos Campo de evento Campo de flujo NAT_Details NAT_Address NAT_Port NAT_Type Personalizado Dirección IPv4 Entero no firmado Entero no firmado Campo personalizado - 9 Campo personalizado - 1 Network_Layer ID de firma Ninguno Campo personalizado - 1 NTP_Client_Mode Cadena Campo personalizado - 5 NTP_Offset_To_Monitor Entero no firmado Campo personalizado - 8 NTP_Opcode Cadena Campo personalizado - 10 NTP_Request Cadena Campo personalizado - 9 NTP_Server_Mode Cadena Campo personalizado - 6 Num_Copies Entero no firmado Campo personalizado - 6 Object (Objeto) Cadena Campo personalizado - 5 Object_Type Cadena Campo personalizado - 2 Priority (Prioridad) Entero no firmado Campo personalizado - 8 Query_Response Cadena Campo personalizado - 9 Referer (Sitio de referencia) Cadena Campo personalizado - 10 Response Time (Tiempo de respuesta) Seconds (Segundos) Milliseconds (Milisegundos) Personalizado Entero no firmado Entero no firmado Campo personalizado - 10 RTMP_Application Cadena Campo personalizado - 9 Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Session_Layer Cadena Ninguno Campo personalizado - 3 SNMP_Error_Code Cadena Campo personalizado - 10 SNMP_Item Cadena Campo personalizado - 6 SNMP_Item_Type Cadena Campo personalizado - 8 SNMP_Operation Cadena Campo personalizado - 5 Ninguno Ninguno Ninguno Ninguno McAfee Enterprise Security Manager Guía del producto 295

296 7 Uso de los eventos Filtros de tipos personalizados Nombre Tipo de datos Campo de evento Campo de flujo SNMP_Version Cadena Campo personalizado - 9 Source User (Usuario de origen) Cadena Campo personalizado - 7 Start_Page Entero no firmado Campo personalizado - 8 Subject (Asunto) Cadena Campo personalizado - 10 SWF_URL Cadena Campo personalizado - 5 TC_URL Cadena Campo personalizado - 6 To (Para) Cadena Campo personalizado - 6 Ninguno Ninguno Ninguno Ninguno Ninguno Ninguno Transport_Layer ID de firma Ninguno Campo personalizado - 2 URL Cadena Campo personalizado - 8 User_Agent Cadena Campo personalizado - 6 User_Nickname Cadena Campo personalizado - 5 Version (Versión) Cadena Campo personalizado - 10 Ninguno Ninguno Ninguno Ninguno Adición de tipos personalizados de tiempo Es posible agregar tipos personalizados que permiten almacenar datos temporales. Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos. Tiempo - Precisión de nanosegundos almacena datos temporales con una precisión de nanosegundos. Incluye un número de coma flotante con nueve valores de precisión que representan los nanosegundos. Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en las consultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible en el enriquecimiento de datos, las listas de vigilancia ni las alarmas. 1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y, a continuación, haga clic en Tipos personalizados Agregar. 2 En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos, rellene la información restante y haga clic en Aceptar. Tipos personalizados de nombre/valor El tipo personalizado de nombre/valor consta de un grupo de pares de nombre/valor que se especifica. Es posible filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas de Coincidencia de evento interno. A continuación se indican algunas de las características de esta función: 296 McAfee Enterprise Security Manager Guía del producto

297 Uso de los eventos Filtros de tipos personalizados 7 Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular. Se pueden correlacionar para permitir su selección en el Editor de reglas de correlación. La parte del par correspondiente al valor solo se puede recopilar mediante ASP. El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres. Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar el tamaño y el número de nombres. Los nombres deben constar de más de dos caracteres. El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres. Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> - <nombre>. Adición de un tipo personalizado de grupo de nombre/valor Si agrega un grupo de pares de nombre/valor, puede filtrar las vistas y las consultas con respecto a ellos y utilizarlos en las alarmas de tipo Coincidencia de evento interno. 1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades. 2 Haga clic en Tipos personalizados y, después, en Agregar. 3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clic en Aceptar. McAfee Enterprise Security Manager Guía del producto 297

298 7 Uso de los eventos Filtros de tipos personalizados 298 McAfee Enterprise Security Manager Guía del producto

299 8 Administración 8 de casos Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporte asociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tenga el privilegio Usuario administrador de casos activado. Hay cinco maneras de agregar un caso: En la vista Administración de casos En el panel Casos, sin vinculación con ningún evento En la vista Análisis de eventos, con vinculación a un evento Al configurar una alarma En una notificación de una alarma activada Contenido Adición de un caso Creación de un caso a partir de un evento Adición de eventos a un caso existente Edición o cierre de un caso Visualización de detalles de casos Adición de niveles de estado de casos Envío de casos por correo electrónico Visualización de todos los casos Generación de informes de administración de casos Adición de un caso El primer paso para rastrear una tarea generada como resultado de un evento de red es agregar un caso al sistema de administración de casos. 1 En el panel Casos, haga clic en el icono Agregar caso. 2 Rellene la información solicitada y, después, haga clic en Aceptar. El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso por correo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico). McAfee Enterprise Security Manager Guía del producto 299

300 8 Administración de casos Creación de un caso a partir de un evento Creación de un caso a partir de un evento Para rastrear un evento en la vista Análisis de eventos, cree un caso. Esto permite rastrear el flujo de trabajo. 1 En la lista de vistas, seleccione Vistas de eventos Análisis de eventos. 2 Haga clic en el evento, haga clic en el icono de menú caso. y, después, en Acciones Crear un nuevo 3 Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso. El nuevo caso incluye los datos de evento en la tabla Mensaje. Adición de eventos a un caso existente Es posible agregar uno o varios eventos a un caso existente a fin de rastrear las acciones realizadas como respuesta a esos eventos. 1 En el panel de vistas, seleccione Vistas de evento en la lista desplegable de vistas y, a continuación, haga clic en Análisis de eventos. 2 Seleccione los eventos y, después, realice una de las siguientes acciones: Haga clic en el icono Asignar eventos a un caso o Remedy y seleccione Agregar eventos a un caso. Haga clic en el icono Menú, resalte Acciones y haga clic en Agregar eventos a un caso. 3 Seleccione el caso y haga clic en Agregar. La página Detalles del caso muestra el ID de evento en la tabla Mensajes. 4 Haga clic en Aceptar y, a continuación, en Cerrar. Edición o cierre de un caso Si dispone de privilegios de Administrador de administración de casos, puede modificar cualquier caso del sistema. Si cuenta con privilegios de Usuario administrador de casos, solamente puede modificar los casos que tenga asignados. 1 Acceda a Detalles del caso de una de las formas siguientes. 300 McAfee Enterprise Security Manager Guía del producto

301 Administración de casos Visualización de detalles de casos 8 Para... Un caso que tiene asignado Un caso que no tiene asignado Haga esto... 1 Seleccione el caso en el panel Casos. 2 Haga clic en el icono Editar caso. 1 Haga clic en el icono Abrir ventana de administración de casos en el panel Casos. 2 Seleccione el caso que desea modificar. 3 Haga clic en el icono Editar caso, situado en la parte inferior de la vista. 2 Edite la configuración o cierre el caso en el campo Estado. 3 Haga clic en Aceptar para guardar los cambios. Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya no aparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado. Visualización de detalles de casos Si dispone de derechos de Administrador en el ESM, puede ver todos los casos del ESM y realizar acciones al respecto. Todos los usuarios de un grupo pueden ver cualquier caso perteneciente al grupo. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos. Se abrirá la vista Administración de casos con todos los casos del sistema. 2 Revise los datos de las fichas Notas y Eventos de origen. 3 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles del caso. Adición de niveles de estado de casos El administrador de casos ofrece dos niveles de estado: Abierto y Cerrado. Es posible agregar otros estados a los que asignar los casos. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos. 2 En la vista Administración de casos, haga clic en el icono Configuración de administración de casos barra de herramientas de la parte inferior y, después, haga clic en Agregar. en la McAfee Enterprise Security Manager Guía del producto 301

302 8 Administración de casos Envío de casos por correo electrónico 3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casos nuevos. 4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar. Envío de casos por correo electrónico Es posible configurar el sistema para que envíe de forma automática un mensaje de correo electrónico a la persona o el grupo a los que está asignado un caso cada vez que se agregue o se reasigne un caso. Antes de empezar Es necesario disponer de privilegios de Administrador de administración de casos. También se puede enviar por correo electrónico una notificación de caso manualmente, así como incluir notas sobre el caso y detalles del evento. Para... Enviar por correo electrónico un caso automáticamente Haga esto... 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos. 2 Haga clic en el icono Configuración de administración de casos. 3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clic en Cerrar. Las direcciones de correo electrónico de los usuarios deben encontrarse en el ESM (véase Configuración de usuarios). Enviar un caso existente por correo electrónico manualmente 1 En el panel Casos, seleccione el caso que desee enviar por correo electrónico y haga clic en el icono Editar caso. 2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene los campos Desde y Hasta. 3 Indique si desea incluir las notas y adjuntar un archivo CSV con los detalles de evento. 4 Escriba las notas que desee incluir en el mensaje de correo electrónico y haga clic en Enviar. Visualización de todos los casos Si tiene privilegios de tipo Administrativo en el ESM, podrá administrar todos los casos del sistema, tanto abiertos como cerrados. Los privilegios de Administrador de administración de casos permiten crear estados y organizaciones, así como establecer la funcionalidad automática de correo electrónico. 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos. Se abrirá la vista Administración de casos. 302 McAfee Enterprise Security Manager Guía del producto

303 Administración de casos Generación de informes de administración de casos 8 2 Realice una de las operaciones siguientes: Para... Agregar un caso Ver o editar el caso seleccionado Enviar el caso seleccionado por correo electrónico Configurar un caso para que se envíe un mensaje de correo electrónico cuando se agregue o cambie Agregar o editar los estados disponibles para los casos Ver las notas, el historial y los eventos de origen del caso seleccionado Filtrar los casos Haga esto... Haga clic en el icono Agregar caso, situado en la barra de herramientas de la parte inferior de la vista. Haga clic en el icono Editar caso, situado en la barra de herramientas de la parte inferior de la vista. Haga clic en el icono Enviar caso por correo electrónico, situado en la barra de herramientas de la parte inferior de la vista. Haga clic en el icono Configuración de administración de casos, situado en la barra de herramientas de la parte inferior de la vista. Haga clic en el icono Configuración de administración de casos en Agregar, Editar o Eliminar. y, después, Haga clic en Notas, Historial o Eventos de origen. Al hacer clic en Eventos de origen, se abren las fichas de detalles de Eventos de origen. Si las fichas no están visibles o lo están pero desea ocultarlas, haga clic en el icono Ver detalles de evento de origen, situado en la barra de herramientas de la parte inferior de la vista. La ficha Historial registra todas las ocasiones en que un usuario visualiza un caso. Si el mismo usuario visualiza un caso más de una vez en cinco minutos, el registro no se actualiza en cada ocasión. En el panel Filtros, seleccione o escriba los datos por los que desee filtrar los casos y haga clic en el icono Ejecutar consulta. La lista de casos cambiará para mostrar únicamente los que cumplan los criterios de filtrado. Generación de informes de administración de casos Existen seis informes de administración de casos disponibles en el ESM. 1 En la página Propiedades del sistema, haga clic en Informes Agregar. 2 Rellene las secciones 1, 2 y 3. 3 En la sección 4, seleccione Consulta en CSV. McAfee Enterprise Security Manager Guía del producto 303

304 8 Administración de casos Generación de informes de administración de casos 4 En la sección 5, seleccione el informe de administración de casos que desee ejecutar. Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienen asignada, su estado, los usuarios a los que están asignados, las organizaciones a las que están asignados (si procede), la fecha y la hora de adición de los casos, la fecha y la hora de actualización de los casos (si procede) y los resúmenes de los casos. Detalles de administración de casos: incluye toda la información del informe Resumen de administración de casos, además de los números de ID de los eventos vinculados a los casos y la información contenida en las secciones de notas de los casos. Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo, la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, se muestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, la organización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo. Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo. Casos por organización: incluye el número de casos por organización. Casos por estado: incluye el número de casos por tipo de estado. 5 Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar. El informe se guardará y se agregará a la lista de Informes. 304 McAfee Enterprise Security Manager Guía del producto

305 9 Uso 9 de Asset Manager Asset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importar activos. En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar a cabo las siguientes operaciones en el grupo al completo: Cambiar los atributos de todos los activos del grupo. Este cambio no es persistente. Si se agrega un activo a un grupo modificado, no heredará automáticamente la configuración anterior. Realizar operaciones de arrastrar y colocar. Cambiar el nombre de un grupo si es necesario. Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante el etiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de las instalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describen el sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable el activo. Existen dos formas de definir las etiquetas de un activo: lo hace el sistema cuando se recupera un activo o lo hace el usuario cuando agrega o edita un activo. Si el sistema define las etiquetas, se actualizan cada vez que se recupera el activo, en caso de haber cambiado. Si las define el usuario, el sistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayan cambiado. Si agrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando se recupere el activo, haga clic en Restablecer. Es necesario realizar esta acción cada vez que se realicen cambios en la configuración de las etiquetas. La administración de la configuración forma parte de las normativas de conformidad estándar, tales como PCI, HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de los enrutadores y conmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función de administración de configuraciones permite hacer lo siguiente: Establecer la frecuencia con la que deben sondearse los dispositivos. Seleccionar los dispositivos descubiertos en los que comprobar la configuración. Identificar un archivo de configuración recuperado como predeterminado para el dispositivo. Ver los datos de configuración, descargar los datos a un archivo y comparar la información de configuración de ambos dispositivos. Contenido Administración de activos Establecimiento de la administración de configuración Descubrimiento de la red Orígenes de activos Administración de orígenes de evaluación de vulnerabilidades McAfee Enterprise Security Manager Guía del producto 305

306 9 Uso de Asset Manager Administración de activos Administración de zonas Evaluación de activos, amenazas y riesgo Administración de amenazas conocidas Administración de activos Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a un grupo de activos. Los activos descubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también se pueden manipular. 1 Haga clic en el icono de inicio rápido de Asset Manager. 2 Asegúrese de que esté seleccionada la ficha Activo. 3 Administre los activos según proceda y, después, haga clic en Aceptar. s Definición de activos antiguos en la página 306 El grupo Activos antiguos de Asset Manager permite almacenar activos que no se han detectado en el periodo de tiempo definido. Definición de activos antiguos El grupo Activos antiguos de Asset Manager permite almacenar activos que no se han detectado en el periodo de tiempo definido. 1 Haga clic en el icono de inicio rápido de Asset Manager. 2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos. 3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse a la carpeta Activos antiguos y, después, haga clic en Aceptar. Establecimiento de la administración de configuración La administración de configuración permite recuperar los archivos de configuración de los dispositivos que se han descubierto correctamente mediante el perfil de la interfaz de línea de comandos (CLI). Cuando termina el proceso de descubrimiento de red, es necesario establecer la administración de configuración. 306 McAfee Enterprise Security Manager Guía del producto

307 Uso de Asset Manager Descubrimiento de la red 9 1 Haga clic en el icono de inicio rápido de Asset Manager configuración. y seleccione la ficha Administración de 2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Aceptar. s Administración de archivos de configuración recuperados en la página 307 Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando se comprueba la configuración de los enrutadores y los conmutadores. Administración de archivos de configuración recuperados Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando se comprueba la configuración de los enrutadores y los conmutadores. Antes de empezar Recupere los archivos de configuración (véase Establecimiento de la administración de configuración). 1 Haga clic en el icono de inicio rápido de Asset Manager configuración. y seleccione la ficha Administración de 2 Lleve a cabo cualquiera de las acciones disponibles en la sección Archivos de configuración recuperados de la página. Descubrimiento de la red El Descubrimiento de la red muestra las ubicaciones físicas donde se producen los eventos en la red, lo cual aumenta la capacidad de rastrear los eventos. El Descubrimiento de la red es para usuarios avanzados con un conocimiento amplio de la red, y requiere la asignación de privilegios. Es necesario disponer de privilegios activados para crear y ver el Descubrimiento de la red, así como para modificar la configuración de conmutación en Control de puertos de red. El Descubrimiento de la red a través de SNMPv3, Telnet o SSH no es conforme a FIPS. Si está obligado a cumplir las normativas de FIPS, no utilice estas funciones. Descubrimiento de red El primer paso para crear un mapa de la red es su descubrimiento. Es necesario establecer los parámetros antes de iniciar el análisis. McAfee Enterprise Security Manager Guía del producto 307

308 9 Uso de Asset Manager Descubrimiento de la red 1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. 2 Haga clic en Configuración y, después, en Agregar en la página Configurar opciones de red a fin de agregar los parámetros para el descubrimiento. 3 Indique la configuración de Parámetros de descubrimiento de red. 4 Haga clic en Aceptar. Los parámetros definidos se agregarán a la lista Configurar opciones de red. 5 Lleve a cabo otras acciones según proceda. 6 Haga clic en Descubrir red a fin de iniciar el análisis. Si es necesario detener el descubrimiento, haga clic en Detener descubrimiento. La sección Dispositivo de red de la página se rellenará con los datos del análisis. 7 Haga clic en Aceptar. Administración de la lista de exclusiones de IP Es posible agregar direcciones IP a la Lista de exclusiones de IP a fin de excluirlas de la búsqueda de descubrimiento de red. 1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. 2 Haga clic en Lista de exclusiones de IP. 3 Agregue una nueva dirección, o bien edite o quite una existente. 4 Haga clic en Aceptar para guardar los cambios. Descubrimiento de endpoints A la hora de configurar la red, agregar direcciones IP a la lista de exclusiones y descubrir la red, es necesario descubrir los endpoints conectados a los dispositivos. 1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red. 2 Haga clic en Descubrir endpoints a fin de iniciar el análisis inmediatamente. Los resultados y el estado del análisis se indicarán en la sección Dispositivos endpoint de la página. 3 Para planificar el descubrimiento automático de endpoints, seleccione Descubrir automáticamente cada y seleccione la frecuencia. Visualización de un mapa de la red Existe la posibilidad de generar una representación gráfica de la red que permita mover los dispositivos a cualquier posición. 308 McAfee Enterprise Security Manager Guía del producto

309 Uso de Asset Manager Orígenes de activos 9 1 Haga clic en el icono de inicio rápido de Asset Manager red. y, después, en la ficha Descubrimiento de la 2 Haga clic en Mapa de red. Se abrirá la representación gráfica de la red. 3 Mueva los dispositivos o pase el ratón sobre un dispositivo a fin de ver sus propiedades. Cambio del comportamiento de Descubrimiento de red Existe la posibilidad de cambiar la configuración predeterminada de ping, número de estaciones finales y dispositivos simultáneos de Descubrimiento de red. 1 En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos. 2 Haga clic en la ficha Descubrimiento de red, haga clic en Configuración y por último, en Opciones avanzadas. 3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar. Orígenes de activos Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través de Orígenes de activos. Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como los de PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan a la tabla de activos. Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en la consola de administración de Altiris. Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS para consultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar la dirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debe contener la información de DNS correspondiente a los equipos de Active Directory. Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributo networkaddress de los objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar de realizar una consulta DNS. Administración de orígenes de activos Es posible recuperar datos de Active Directory o un servidor Altiris. McAfee Enterprise Security Manager Guía del producto 309

310 9 Uso de Asset Manager Administración de orígenes de evaluación de vulnerabilidades 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos. El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes de activos actuales. Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios. 2 Seleccione un dispositivo y, después, seleccione alguna de las acciones disponibles. Administración de orígenes de evaluación de vulnerabilidades Es posible recuperar datos de una serie de proveedores de evaluación de vulnerabilidades mediante el uso de Evaluación de vulnerabilidades. Para comunicarse con los orígenes de evaluación de vulnerabilidades deseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar los datos de evaluación de vulnerabilidades. 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades. 2 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades y, después, escríbalos en el dispositivo. 3 Haga clic en Aceptar. Administración de zonas Es posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red. Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en la ubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona y desea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas y asignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agrupar los eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada una de las zonas. Administración de las zonas Las zonas ayudan a categorizar los dispositivos y los orígenes de datos según la geolocalización o el ASN. Es necesario agregar zonas, ya sea individualmente o mediante la importación de un archivo exportado de otro equipo, y asignar los dispositivos o los orígenes de datos a las zonas. 310 McAfee Enterprise Security Manager Guía del producto

311 Uso de Asset Manager Administración de zonas 9 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas. 2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte la configuración de zonas. 3 Despliegue los cambios realizados y, después, haga clic en Aceptar Adición de una zona El primer paso para la administración de zonas es agregar las zonas empleadas para categorizar los dispositivos y los orígenes de datos. Se pueden agregar individualmente mediante la función Agregar zona, o bien se puede importar un archivo exportado de otro sistema. Cuando se agrega una zona, es posible editar su configuración en caso de ser necesario. 1 Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas. 2 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar. Exportación de la configuración de zonas Es posible exportar la configuración de zonas del ESM para poder importarla a otro ESM. 1 Haga clic en el icono de Asset Manager y, después, en Administración de zonas. 2 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar. 3 Haga clic en Aceptar y seleccione el archivo que descargar inmediatamente. Importación de la configuración de zonas La función de importación permite importar un archivo de zonas tal cual está o editar los datos antes de su importación. Antes de empezar Exporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM. McAfee Enterprise Security Manager Guía del producto 311

312 9 Uso de Asset Manager Administración de zonas 1 Abra el archivo de configuración de zonas que desee importar. Si se trata de un archivo de importación de definición de zonas, tendrá ocho columnas: Comando, Nombre de zona, Nombre de principal, Geolocalización, ASN, Predeterminado, Inicio de IP y Fin de IP. Si es un archivo de importación de asignación de dispositivos a zonas, tendrá tres columnas: Comando, Nombre de dispositivo y Nombre de zona. 2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cada línea cuando se importe. add (agregar): importar los datos de la línea tal cual están. edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible para el archivo de definición de zonas). Para realizar cambios en un intervalo de subzonas, es necesario eliminar el intervalo existente y, después, agregar el intervalo con los cambios. No es posible la edición directa. remove (quitar): eliminar la zona que coincide con esta línea del ESM. 3 Guarde los cambios realizados y cierre el archivo. 4 Haga clic en el icono de inicio rápido de Asset Manager zonas. y, después, en la ficha Administración de 5 Haga clic en Importar y seleccione el tipo de importación. 6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar. El sistema le notificará si se detectan errores en el archivo. 7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo. 8 Despliegue los cambios a fin de actualizar los dispositivos. Adición de una subzona Una vez agregada una zona, es posible agregar subzonas a fin de categorizar aún más los dispositivos y eventos según la dirección IP. Antes de empezar Agregue zonas en la ficha Administración de zonas. 1 Haga clic en el icono de inicio rápido de Asset Manager zonas. y, después, en la ficha Administración de 2 Seleccione una zona y haga clic en Agregar subzona. 3 Rellene la información solicitada y, después, haga clic en Aceptar. 312 McAfee Enterprise Security Manager Guía del producto

313 Uso de Asset Manager Evaluación de activos, amenazas y riesgo 9 Evaluación de activos, amenazas y riesgo McAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades del sistema generan una lista de amenazas conocidas. Se utilizan la gravedad de estas amenazas y la criticidad de cada activo para calcular el nivel de riesgo que para la empresa. Administrador de activos Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna un nivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene un único equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, su criticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno de ellos con una copia de seguridad, el nivel de criticidad es considerablemente menor. Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menú Editar de la ficha Activo. Administración de amenazas La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, su gravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivar amenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detalles de las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de la amenaza, así como las contramedidas que se pueden utilizar. Vistas predefinidas Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobre activos, amenazas y riesgo. Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles de amenaza, y los niveles de amenaza según el riesgo. Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo y productos de protección disponibles. Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos. Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús del componente. Vistas personalizadas Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas (véase Adición de una vista personalizada) que muestren los datos necesarios. En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarial media y la calificación de riesgo empresarial total. En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, la protección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y las amenazas por proveedor. En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activos principales por calificación de riesgo y las amenazas principales por calificación de riesgo. McAfee Enterprise Security Manager Guía del producto 313

314 9 Uso de Asset Manager Administración de amenazas conocidas Administración de amenazas conocidas Seleccione qué amenazas conocidas se deben usar en los cálculos de riesgo. Cada amenaza tiene una calificación de gravedad. Esta calificación y la calificación de criticidad de los activos se emplean para calcular la gravedad global de una amenaza para su sistema. 1 En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos. 2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas. 3 Seleccione una amenaza conocida y haga una de estas cosas: Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza. Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo, haga clic en Desactivar. Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, haga clic en Activar. 4 Haga clic en Aceptar. 314 McAfee Enterprise Security Manager Guía del producto

315 10 Administración de directivas y reglas Es posible crear, aplicar y ver las reglas y plantillas de directiva. Contenido Descripción del Editor de directivas El Árbol de directivas Tipos de reglas y sus propiedades Configuración de la directiva predeterminada Operaciones relacionadas con reglas Asignación de etiquetas a reglas o activos Modificación de la configuración de agregación Omisión de la acción en las reglas descargadas Ponderaciones de gravedad Visualización del historial de cambios de directiva Aplicación de cambios de directivas Administración del tráfico prioritario Descripción del Editor de directivas El Editor de directivas permite crear plantillas de directiva y personalizar las directivas individuales. Las plantillas de directiva, así como la configuración de directiva de cualquier dispositivo, pueden heredar valores de sus elementos principales. La herencia permite que la configuración de directiva aplicada a un dispositivo presente infinidad de opciones de configuración, a la vez que se mantiene el nivel de simplicidad y facilidad de uso. Todas las directivas agregadas, al igual que todos los dispositivos, cuentan con una entrada en el Árbol de directivas. En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay que actualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas). El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos o valores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estas configuraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De forma predeterminada, las opciones de configuración del resto de directivas y dispositivos heredan los valores de la Directiva predeterminada. Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o el dispositivo en el árbol de navegación y haga clic en el icono del Editor de directivas de la barra de herramientas de acciones. McAfee Enterprise Security Manager Guía del producto 315

316 10 Administración de directivas y reglas El Árbol de directivas 1 Barra de menús 4 Pantalla de reglas 2 Panel de ruta de navegación 5 Campo de búsqueda de etiquetas 3 Panel de tipos de reglas 6 Panel Filtros/etiquetado Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivo seleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra la jerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de la directiva en el panel de ruta de navegación y haga clic en la flecha del panel de ruta de navegación, que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en el icono del Árbol de directivas directiva.. El menú del Árbol de directivas indica las cosas que se pueden hacer con una Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección de visualización de reglas. Las columnas indican los parámetros de regla específicos que se pueden ajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad de cambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la lista desplegable. El panel Filtros/etiquetado permite filtrar las reglas que aparecen en el Editor de directivas de forma que solo se vean las que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones. El Árbol de directivas El Árbol de directivas enumera las directivas y los dispositivos del sistema. El Árbol de directivas permite: 316 McAfee Enterprise Security Manager Guía del producto

317 Administración de directivas y reglas El Árbol de directivas 10 Navegar para ver los detalles de una directiva o un dispositivo concretos Agregar una directiva al sistema Modificar el orden de las directivas o los dispositivos Localizar cualquier directiva o dispositivo por su nombre Renombrar, eliminar, copiar o copiar y reemplazar, importar o exportar una directiva Icono Descripción Directiva El dispositivo no está sincronizado El dispositivo está preparado El dispositivo está actualizado El dispositivo virtual no está sincronizado El dispositivo virtual está preparado para la aplicación El dispositivo virtual está actualizado El origen de datos no está sincronizado El origen de datos está preparado para la aplicación El origen de datos está actualizado El ADM no está sincronizado El DEM no está sincronizado Administración de directivas en el Árbol de directivas Es posible administrar las directivas del sistema mediante la realización de acciones en el Árbol de directivas. 1 En la consola de ESM, haga clic en el icono del Editor de directivas de directivas. y, después, en el icono del Árbol 2 Realice cualquiera de las acciones siguientes: Para... Ver las reglas de una directiva Convertir una directiva en secundaria de otra Localizar una directiva o un dispositivo Haga esto... Haga doble clic en la directiva. Las reglas se enumeran en la sección de visualización de reglas del Editor de directivas. Seleccione el elemento secundario, arrástrelo y suéltelo en el principal. Solo se pueden arrastrar y soltar dispositivos en directivas. Escriba el nombre en el campo de búsqueda. McAfee Enterprise Security Manager Guía del producto 317

318 10 Administración de directivas y reglas El Árbol de directivas Para... Agregar una nueva directiva Haga esto... 1 Seleccione la directiva a la que desee agregar la nueva directiva y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Nueva, introduzca un nombre para la directiva y haga clic en Aceptar. Cambiar el nombre de una directiva Eliminar una directiva 1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar. 1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Eliminar y después en Aceptar en la página de confirmación. Copiar una directiva 1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos de menú del árbol de directivas. 2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clic en Aceptar. Mover dispositivos a una directiva 1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos de menú del árbol de directivas. 2 Resalte la opción Mover y seleccione la directiva a la que desee mover los dispositivos. Copiar y reemplazar una directiva 1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos de menú del árbol de directivas y seleccione Copiar y reemplazar. 2 En Seleccionar directiva, seleccione la directiva que desee reemplazar. 3 Haga clic en Aceptar y, a continuación, en Sí. La configuración de la directiva copiada se aplicará a la directiva reemplazada, pero el nombre seguirá siendo el mismo. 318 McAfee Enterprise Security Manager Guía del producto

319 Administración de directivas y reglas Tipos de reglas y sus propiedades 10 Para... Importar una directiva Haga esto... La importación se produce desde el dispositivo seleccionado hacia abajo. 1 Seleccione en el árbol el nivel al que desee importar la nueva directiva, haga clic en el icono Elementos de menú del árbol de directivas y seleccione Importar. 2 Busque el archivo que desee importar y cárguelo. Si aparece un mensaje de error, véase Importar directiva para encontrar una solución. 3 Seleccione las opciones de importación que desee usar y, a continuación, haga clic en Aceptar. Exportar una directiva 1 Seleccione la directiva que desee exportar. La exportación incluye desde el nodo seleccionado hacia arriba en la jerarquía. Solo se exportan las reglas estándar con configuración personalizada o las reglas personalizadas, así que es necesario seleccionar una de estas opciones para que se active la función Exportar. 2 Haga clic en Menú y seleccione Exportar. 3 Seleccione las opciones de exportación que desee emplear, haga clic en Aceptar y seleccione la ubicación para guardar el archivo de directiva exportado. 3 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clic en el icono de cierre. Tipos de reglas y sus propiedades El panel Tipos de regla de la página Editor de directivas permite acceder a todas las reglas por tipo. Es posible importar, exportar, agregar y editar las reglas, así como realizar diversas operaciones con ellas cuando se seleccionan. Las funciones que se pueden llevar a cabo están limitadas según el tipo de regla. Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elemento principal. La regla (excepto en el caso de las reglas de Variable y Preprocesador) se marca con un icono para indicar cómo hereda su uso, y el icono cuenta con un punto en la esquina inferior izquierda si la cadena de herencia se ha roto en algún punto por debajo de la fila actual. Icono Descripción Indica que el uso de este elemento está determinado por la configuración del elemento principal. La mayoría de las reglas están configuradas para heredar la configuración de forma predeterminada, pero el uso se puede cambiar. Indica que la cadena de herencia está rota en este nivel y el valor de herencia está desactivado. Se emplea el uso actual de la regla cuando la cadena de herencia se ha roto. Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de este punto no heredan nada que se encuentre en un nivel superior de la cadena. Esta configuración resulta útil para forzar a las reglas a usar los valores predeterminados. Indica un valor personalizado; el valor se configura de forma distinta a la predeterminada. McAfee Enterprise Security Manager Guía del producto 319

320 10 Administración de directivas y reglas Tipos de reglas y sus propiedades Propiedades Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas de ese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades pueden encontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete. Esta propiedad... Acción Permite... Establecer la acción que realiza esta regla. Las opciones disponibles dependen del tipo de regla. Los elementos de lista negra no se pueden mover a su destino; si se selecciona Paso en la columna Lista negra, el sistema lo cambia automáticamente por Alerta. Gravedad Lista negra Agregación Copiar paquete Seleccione la gravedad de la porción de regla cuando se active la regla. La gravedad puede oscilar entre 1 y 100, siendo 100 la gravedad más alta. Permite crear automáticamente una entrada de lista negra por cada regla cuando se activa en el dispositivo. Puede elegir entre incluir en la lista negra solo la dirección IP o la dirección IP y el puerto. Establezca para cada regla la agregación de los eventos creados cuando se active la regla. La configuración de agregación definida en las páginas de Agregación de eventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidas en el Editor de directivas. Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de que se produzca una pérdida de comunicación. Si existe una copia de los datos de paquete, es posible acceder a la información a través de su recuperación. Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor. Variables Una variable es una configuración global o un marcador de posición para información específica de cada usuario o sitio. Muchas reglas hacen uso de las variables. Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificar variables. Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puede variar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece la posibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen a modo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la página Nueva variable. Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valores correspondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir un nombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizar la efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NET de acuerdo con la red protegida por el dispositivo concreto. En esta tabla se muestra una lista de variables habituales y sus valores predeterminados. 320 McAfee Enterprise Security Manager Guía del producto

Guía del producto Revisión A. McAfee Secure Web Mail Client 7.0.0 Software

Guía del producto Revisión A. McAfee Secure Web Mail Client 7.0.0 Software Guía del producto Revisión A McAfee Secure Web Mail Client 7.0.0 Software COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción,

Más detalles

Administración de cuentas

Administración de cuentas Guía de administración Revisión E Administración de cuentas COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Guía del producto. McAfee Endpoint Security 10.1

Guía del producto. McAfee Endpoint Security 10.1 Guía del producto McAfee Endpoint Security 10.1 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES DE MARCAS

Más detalles

Extensión de McAfee Security-as-a-Service

Extensión de McAfee Security-as-a-Service Guía del usuario Extensión de McAfee Security-as-a-Service Para su uso con el software epolicy Orchestrator 4.6.0 COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la

Más detalles

McAfee SiteAdvisor Enterprise 3.5 Patch1

McAfee SiteAdvisor Enterprise 3.5 Patch1 Guía de instalación McAfee SiteAdvisor Enterprise 3.5 Patch1 Para uso con el software epolicy Orchestrator 4.5, 4.6 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa.

Más detalles

McAfee Enterprise Security Manager 9.5.1

McAfee Enterprise Security Manager 9.5.1 Notas de la versión McAfee Enterprise Security Manager 9.5.1 Contenido Acerca de esta versión Funciones nuevas de la versión 9.5.1 Problemas resueltos Problemas conocidos Instrucciones de ampliación Búsqueda

Más detalles

McAfee Enterprise Security Manager 9.5.0

McAfee Enterprise Security Manager 9.5.0 Notas de la versión McAfee Enterprise Security Manager 9.5.0 Contenido Acerca de esta versión Nuevas funciones de la versión 9.5.0 Problemas resueltos Problemas conocidos Instrucciones de ampliación Búsqueda

Más detalles

Guía de instalación. McAfee Enterprise Security Manager 9.5.1

Guía de instalación. McAfee Enterprise Security Manager 9.5.1 Guía de instalación McAfee Enterprise Security Manager 9.5.1 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Guía del usuario Revisión A. McAfee Web Reporter 5.2.1

Guía del usuario Revisión A. McAfee Web Reporter 5.2.1 Guía del usuario Revisión A McAfee Web Reporter 5.2.1 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee,

Más detalles

Guía del producto. McAfee epolicy Orchestrator 5.3.0 Software

Guía del producto. McAfee epolicy Orchestrator 5.3.0 Software Guía del producto McAfee epolicy Orchestrator 5.3.0 Software COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Guía del producto. McAfee epolicy Orchestrator 4.6.0 Software

Guía del producto. McAfee epolicy Orchestrator 4.6.0 Software Guía del producto McAfee epolicy Orchestrator 4.6.0 Software COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento

Más detalles

McAfee Security-as-a-Service

McAfee Security-as-a-Service Guía de solución de problemas McAfee Security-as-a-Service Para utilizar con el software epolicy Orchestrator 4.6.0 Esta guía proporciona información complementaria relacionada con la instalación y el

Más detalles

Guía del producto Revisión B. McAfee epolicy Orchestrator 5.1.0 Software

Guía del producto Revisión B. McAfee epolicy Orchestrator 5.1.0 Software Guía del producto Revisión B McAfee epolicy Orchestrator 5.1.0 Software COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee,

Más detalles

Guía de administración Revisión D. SaaS Email Protection

Guía de administración Revisión D. SaaS Email Protection Guía de administración Revisión D SaaS Email Protection COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

McAfee Endpoint Security 10.0.0 Software

McAfee Endpoint Security 10.0.0 Software Guía de instalación McAfee Endpoint Security 10.0.0 Software Para su uso con el software epolicy Orchestrator 5.1.1 5.2.0 y McAfee SecurityCenter COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la

Más detalles

Guía del producto Revisión A. McAfee Quarantine Manager 7.1.0

Guía del producto Revisión A. McAfee Quarantine Manager 7.1.0 Guía del producto Revisión A McAfee Quarantine Manager 7.1.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Guía del producto. McAfee epolicy Orchestrator 5.1.0 Software

Guía del producto. McAfee epolicy Orchestrator 5.1.0 Software Guía del producto McAfee epolicy Orchestrator 5.1.0 Software COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Guía de instalación. McAfee Enterprise Security Manager 9.5.0

Guía de instalación. McAfee Enterprise Security Manager 9.5.0 Guía de instalación McAfee Enterprise Security Manager 9.5.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

McAfee Endpoint Security 10.1.0

McAfee Endpoint Security 10.1.0 Notas de la versión McAfee Endpoint Security 10.1.0 Para su uso con el software epolicy Orchestrator Contenido Acerca de esta versión Nuevas funciones y mejoras Problemas solucionados Problemas conocidos

Más detalles

McAfee SiteAdvisor Enterprise 3.5 Patch1

McAfee SiteAdvisor Enterprise 3.5 Patch1 Guía del producto McAfee SiteAdvisor Enterprise 3.5 Patch1 Para uso con el software epolicy Orchestrator 4.5, 4.6 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa.

Más detalles

Guía del producto Revisión A. McAfee Web Reporter 5.2.1

Guía del producto Revisión A. McAfee Web Reporter 5.2.1 Guía del producto Revisión A McAfee Web Reporter 5.2.1 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de

Más detalles

Guía de instalación. McAfee epolicy Orchestrator 5.3.0 Software

Guía de instalación. McAfee epolicy Orchestrator 5.3.0 Software Guía de instalación McAfee epolicy Orchestrator 5.3.0 Software COPYRIGHT Copyright 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Guía del producto. McAfee epolicy Orchestrator 5.0.0 Software

Guía del producto. McAfee epolicy Orchestrator 5.0.0 Software Guía del producto McAfee epolicy Orchestrator 5.0.0 Software COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Guía del producto. McAfee Endpoint Security 10

Guía del producto. McAfee Endpoint Security 10 Guía del producto McAfee Endpoint Security 10 COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee

Más detalles

Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0

Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0 Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0 COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento

Más detalles

Software Anti-Spyware Enterprise Module

Software Anti-Spyware Enterprise Module Software Anti-Spyware Enterprise Module versión 8.0 Guía Qué es Anti-Spyware Enterprise Module? Anti-Spyware Enterprise Module de McAfee es un complemento del producto VirusScan Enterprise 8.0i que amplía

Más detalles

McAfee Web Gateway 7.4.0

McAfee Web Gateway 7.4.0 Notas de la versión Revisión A McAfee Web Gateway 7.4.0 Contenido Acerca de esta versión Nuevas funciones y mejoras Problemas resueltos Instrucciones de instalación Problemas conocidos Documentación del

Más detalles

Sophos Mobile Control Guía de inicio

Sophos Mobile Control Guía de inicio Sophos Mobile Control Guía de inicio Versión: 5 Edición: abril 2015 Contenido 1 Acerca de esta guía...3 1.1 Terminología...3 2 Licencias de Sophos Mobile Control...5 2.1 Licencias de evaluación...5 3 Pasos

Más detalles

Ayuda de Active System Console

Ayuda de Active System Console Ayuda de Active System Console Introducción... 1 Instalación... 2 Visualización de la información del sistema... 4 Umbrales de monitoreo del sistema... 5 Configuración de notificaciones por correo electrónico...

Más detalles

Symantec Network Access Control Guía de inicio

Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según

Más detalles

Guía del usuario de Cisco Unified MeetingPlace para Outlook Versión 7.1

Guía del usuario de Cisco Unified MeetingPlace para Outlook Versión 7.1 Guía del usuario de Cisco Unified MeetingPlace para Outlook Versión 7.1 Sede central de América Cisco Systems, Inc. 170 West Tasman Drive San José, CA 95134-1706 EE. UU. http://www.cisco.com Tel.: 408

Más detalles

Guía del usuario de Cisco Unified MeetingPlace para Outlook, versión 8.5 (Reservas de MeetingPlace)

Guía del usuario de Cisco Unified MeetingPlace para Outlook, versión 8.5 (Reservas de MeetingPlace) Guía del usuario de Cisco Unified MeetingPlace para Outlook, versión 8.5 (Reservas de MeetingPlace) Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com

Más detalles

Guía del producto. McAfee SaaS Endpoint Protection (versión de octubre de 2012)

Guía del producto. McAfee SaaS Endpoint Protection (versión de octubre de 2012) Guía del producto McAfee SaaS Endpoint Protection (versión de octubre de 2012) COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

Dell SupportAssist versión 1.0 para servidores Guía de inicio rápido

Dell SupportAssist versión 1.0 para servidores Guía de inicio rápido Dell SupportAssist versión 1.0 para servidores Guía de inicio rápido Notas, precauciones y avisos NOTA: Una NOTA proporciona información importante que le ayuda a utilizar mejor su equipo. PRECAUCIÓN:

Más detalles

Outlook Connector Manual

Outlook Connector Manual GFI MailArchiver para Exchange Outlook Connector Manual Por GFI Software http://www.gfi.com Correo electrónico: info@gfi.com La información del presente documento está sujeta a cambio sin aviso. Las empresas,

Más detalles

Sophos Enterprise Manager Ayuda

Sophos Enterprise Manager Ayuda Sophos Enterprise Manager Ayuda Versión: 4.7 Edición: julio de 2011 Contenido 1 Acerca de Sophos Enterprise Manager...3 2 Descripción de la ventana de Enterprise Manager...4 3 Para empezar...12 4 Configurar

Más detalles

McAfee Data Loss Prevention Discover 9.4.0

McAfee Data Loss Prevention Discover 9.4.0 Notas de la versión Revisión B McAfee Data Loss Prevention Discover 9.4.0 Para uso con McAfee epolicy Orchestrator Contenido Acerca de esta versión Funciones Productos compatibles Instrucciones de instalación

Más detalles

Samsung Drive Manager Manual del usuario

Samsung Drive Manager Manual del usuario Samsung Drive Manager Manual del usuario El contenido de este manual está sujeto a cambios sin previo aviso. Salvo que se indique lo contrario, las empresas, los nombres y los datos que se utilizan en

Más detalles

Guía de instalación. McAfee epolicy Orchestrator 5.0.0 Software

Guía de instalación. McAfee epolicy Orchestrator 5.0.0 Software Guía de instalación McAfee epolicy Orchestrator 5.0.0 Software COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Software Intel para administración de sistemas. Guía del usuario del Paquete de administración de servidores modulares Intel

Software Intel para administración de sistemas. Guía del usuario del Paquete de administración de servidores modulares Intel Software Intel para administración de sistemas Guía del usuario del Paquete de administración de servidores modulares Intel Declaraciones legales LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA

Más detalles

McAfee Security Management Center

McAfee Security Management Center Security Management Center Administración centralizada y eficaz de soluciones Next Generation Firewall en entornos empresariales distribuidos Principales ventajas Administración centralizada y eficaz de

Más detalles

Uso de MioNet. 2008 Western Digital Technologies Inc. Manual del usuario de MioNet Versión 1.08

Uso de MioNet. 2008 Western Digital Technologies Inc. Manual del usuario de MioNet Versión 1.08 Uso de MioNet 1 Aviso de copyright No se permite la reproducción, transmisión, trascripción, almacenamiento en un sistema de recuperación ni traducción a ningún idioma ni lenguaje de computación, en ninguna

Más detalles

Uso de la red telefónica

Uso de la red telefónica Copyright y marca comercial 2004 palmone, Inc. Todos los derechos reservados. palmone, Treo, los logotipos de palmone y Treo, Palm, Palm OS, HotSync, Palm Powered, y VersaMail son algunas de las marcas

Más detalles

CA Nimsoft Monitor. Guía de sondas de HP Service Manager Gateway. Serie de hpsmgtw 1.0

CA Nimsoft Monitor. Guía de sondas de HP Service Manager Gateway. Serie de hpsmgtw 1.0 CA Nimsoft Monitor Guía de sondas de HP Service Manager Gateway Serie de hpsmgtw 1.0 Aviso de copyright de CA Nimsoft Monitor Este sistema de ayuda en línea (el "Sistema") se proporciona con el único propósito

Más detalles

Instalación de IBM SPSS Modeler Server Adapter

Instalación de IBM SPSS Modeler Server Adapter Instalación de IBM SPSS Modeler Server Adapter Contenido Instalación del adaptador de IBM SPSS Modeler Server............ 1 Acerca de la instalación de IBM SPSS Modeler Server Adapter................

Más detalles

Notas de la versión McAfee Web Gateway 7.3.1

Notas de la versión McAfee Web Gateway 7.3.1 Notas de la versión McAfee Web Gateway 7.3.1 Acerca de este documento Funciones nuevas y mejoradas Problemas resueltos Problemas conocidos Instalación Descripción Ampliación desde la versión 7.3 o 7.3.0.x

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.2.1, 5.2.2 Edición: septiembre de 2014 Contenido 1 Acerca de Enterprise Console...6 2 Descripción de la ventana de Enterprise Console...7 2.1 Ventana principal...7

Más detalles

Guía de instalación. McAfee epolicy Orchestrator 5.1.0 Software

Guía de instalación. McAfee epolicy Orchestrator 5.1.0 Software Guía de instalación McAfee epolicy Orchestrator 5.1.0 Software COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Guía de migración de políticas de Symantec Client Firewall

Guía de migración de políticas de Symantec Client Firewall Guía de migración de políticas de Symantec Client Firewall Guía de migración de políticas de Symantec Client Firewall El software que se describe en este manual se suministra con acuerdo de licencia y

Más detalles

Guía de instalación. McAfee epolicy Orchestrator 4.6.0

Guía de instalación. McAfee epolicy Orchestrator 4.6.0 Guía de instalación McAfee epolicy Orchestrator 4.6.0 COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en

Más detalles

Guía de migración de políticas de Symantec Client Firewall

Guía de migración de políticas de Symantec Client Firewall Guía de migración de políticas de Symantec Client Firewall Guía de migración de políticas de Symantec Client Firewall El software que se describe en este manual se suministra con acuerdo de licencia y

Más detalles

Samsung Drive Manager Manual del usuario

Samsung Drive Manager Manual del usuario Samsung Drive Manager Manual del usuario El contenido de este manual está sujeto a cambios sin previo aviso. Salvo que se indique lo contrario, las empresas, los nombres y los datos que se utilizan en

Más detalles

Soporte: visite mysupport.mcafee.com para encontrar soporte, avisos y documentación de productos.

Soporte: visite mysupport.mcafee.com para encontrar soporte, avisos y documentación de productos. Notas de la versión McAfee Web Reporter versión 5.2.0 Este documento contiene información sobre McAfee Web Reporter versión 5.2.0. Puede encontrar información adicional en las siguientes ubicaciones: Ayuda:

Más detalles

Para utilizar este equipo correctamente y de forma segura, le rogamos que lea la información de seguridad antes de usarlo.

Para utilizar este equipo correctamente y de forma segura, le rogamos que lea la información de seguridad antes de usarlo. Para utilizar este equipo correctamente y de forma segura, le rogamos que lea la información de seguridad antes de usarlo. Copyright 2005. La presente protección de copyright abarca toda la información

Más detalles

Total Protection para Small Business Guía de inicio rápido

Total Protection para Small Business Guía de inicio rápido Total Protection para Small Business Guía de inicio rápido Qué es Total Protection para Small Business? Total Protection para Small Business es una aplicación basada en web que protege todos los equipos

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

Avisos legales. Información sobre marcas comerciales. 2013 KYOCERA Document Solutions Inc.

Avisos legales. Información sobre marcas comerciales. 2013 KYOCERA Document Solutions Inc. Avisos legales No se permite la reproducción parcial o total no autorizada de esta guía. La información de esta guía está sujeta a cambios sin previo aviso. No nos consideraremos responsables de ningún

Más detalles

Table of Contents. iii

Table of Contents. iii Rebit 5 Help Table of Contents Iniciación... 1 Crear el primer punto de recuperación... 1 Qué hace Rebit 5?... 1 Características de Rebit 5... 1 Crear el primer punto de recuperación... 3 Qué son los puntos

Más detalles

CA ARCserve Backup Patch Manager para Windows

CA ARCserve Backup Patch Manager para Windows CA ARCserve Backup Patch Manager para Windows Guía del usuario r16 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

Guía de instalación Command WorkStation 5.5 con Fiery Extended Applications 4.1

Guía de instalación Command WorkStation 5.5 con Fiery Extended Applications 4.1 Guía de instalación Command WorkStation 5.5 con Fiery Extended Applications 4.1 Acerca de Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 es un paquete que incluye las siguientes aplicaciones

Más detalles

GUÍA DE INSTALACIÓN. AXIS Camera Station

GUÍA DE INSTALACIÓN. AXIS Camera Station GUÍA DE INSTALACIÓN AXIS Camera Station Acerca de esta guía Esta guía va dirigida a administradores y usuarios de AXIS Camera Station, y es aplicable a la versión de software 3.31 y posteriores. Abarca

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.1 Edición: junio de 2012 Contenido 1 Acerca de Enterprise Console...3 2 Descripción de la ventana de Enterprise Console...4 3 Empezar a usar Sophos Enterprise

Más detalles

Sage CRM 7.3 Avance de la versión

Sage CRM 7.3 Avance de la versión Sage CRM 7.3 Avance de la versión Presentación Este avance de la versión le ofrece información sobre las nuevas funciones de Sage CRM 7.3 y las mejoras de las funciones existentes. Hemos incluido una descripción

Más detalles

12.2.4 Laboratorio optativo: Personalización de la configuración en Windows 7

12.2.4 Laboratorio optativo: Personalización de la configuración en Windows 7 12.2.4 Laboratorio optativo: Personalización de la configuración en Windows 7 Introducción Imprima y realice este laboratorio. Este laboratorio consta de cinco partes. Está diseñado para realizarse en

Más detalles

Versión 1.0 del software ConnectKey Share to Cloud Abril de 2013. Xerox ConnectKey Share to Cloud Guía del usuario/administrador

Versión 1.0 del software ConnectKey Share to Cloud Abril de 2013. Xerox ConnectKey Share to Cloud Guía del usuario/administrador Versión 1.0 del software ConnectKey Share to Cloud Abril de 2013 Xerox ConnectKey Share to Cloud Guía del usuario/administrador 2013 Xerox Corporation. Todos los derechos reservados. Xerox, Xerox and Design

Más detalles

Guía de instalación Revisión B. McAfee epolicy Orchestrator 5.1.0 Software

Guía de instalación Revisión B. McAfee epolicy Orchestrator 5.1.0 Software Guía de instalación Revisión B McAfee epolicy Orchestrator 5.1.0 Software COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee,

Más detalles

BlackBerry Social Networking Application Proxy para entornos de Microsoft SharePoint

BlackBerry Social Networking Application Proxy para entornos de Microsoft SharePoint BlackBerry Social Networking Application Proxy para entornos de Microsoft SharePoint Versión: 1.1 Guía de instalación y configuración Publicado: 2011-07-25 SWDT1177102-1588746-0725105247-005 Contenido

Más detalles

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Novedades de StruxureWare Data Center Expert 7.2.x Información acerca de las nuevas funciones disponibles en StruxureWare Data Center Expert versión

Más detalles

PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves.

PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. Principios básicos 1 Configuración 2 SIMATIC Information Server 2013 Estructura 3 Administración 4 Manual de sistema 02/2013 A5E32171460-04 Notas jurídicas Filosofía en la señalización de advertencias

Más detalles

Guía de implementación

Guía de implementación Guía de implementación Instalación de software Contenido Descripción general de la implementación de software Servidor CommNet Windows Clúster de Windows - Servidor virtual Agente CommNet Windows Clúster

Más detalles

GUÍA DEL USUARIO DE SOFTWARE

GUÍA DEL USUARIO DE SOFTWARE GUÍA DEL USUARIO DE SOFTWARE Serie RJ El contenido de esta guía y las especificaciones de este producto pueden cambiar sin notificación. Brother se reserva el derecho de modificar sin previo aviso las

Más detalles

Actualizaciones, copias de seguridad y recuperaciones de software

Actualizaciones, copias de seguridad y recuperaciones de software Actualizaciones, copias de seguridad y recuperaciones de software Guía del usuario Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft es una marca registrada de Microsoft Corporation en

Más detalles

El iphone en la empresa Guía de configuración para usuarios

El iphone en la empresa Guía de configuración para usuarios El iphone en la empresa Guía de configuración para usuarios El iphone está listo para los negocios. Es compatible con Exchange ActiveSync de Microsoft y admite servicios basados en estándares, por lo que

Más detalles

CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? CUALES SON LAS PRINCIPALES CARACTERÍSTICAS Y FUNCIONES?

CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? CUALES SON LAS PRINCIPALES CARACTERÍSTICAS Y FUNCIONES? MANUAL DE USUARIO DE Firewall PC PARA EMPRESAS CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? QUÉ ES FIREWALL PC? Telefónica de España le proporciona Firewall PC como servicio de

Más detalles

Guía del usuario de Cisco Unified CCX Web Chat Agent y Supervisor Desktop, versión 9.0(1)

Guía del usuario de Cisco Unified CCX Web Chat Agent y Supervisor Desktop, versión 9.0(1) Guía del usuario de Cisco Unified CCX Web Chat Agent y Supervisor Desktop, versión 9.0(1) Cisco Unified Contact Center Express Mayo de 2012 Sede central para América Cisco Systems, Inc. 170 West Tasman

Más detalles

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.4 Novedades de StruxureWare Data Center Expert 7.2.x Información acerca de las nuevas funciones disponibles en StruxureWare Data Center Expert versión

Más detalles

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Notas de la versión McAfee Advanced Threat Defense 3.0 Revision A Contenido Acerca de este documento Funciones de McAfee Advanced Threat Defense 3.0 Problemas resueltos Notas de instalación y ampliación

Más detalles

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guía rápida de inicio

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guía rápida de inicio Acronis Backup & Recovery 10 Advanced Server Virtual Edition Guía rápida de inicio Este documento describe cómo instalar y comenzar a utilizar Acronis Backup & Recovery 10 Advanced Server Virtual Edition.

Más detalles

Guía del administrador 2015-04-30

Guía del administrador 2015-04-30 Guía del administrador 2015-04-30 Contents Capítulo 1: Introducción a Mozy...7 Descripción de Mozy...7 Conceptos clave de Mozy...8 Funciones y prestaciones...9 Consola de administración...10 Iniciar sesión

Más detalles

BlackBerry Link para Windows. Versión: 1.1.1. Guía del usuario

BlackBerry Link para Windows. Versión: 1.1.1. Guía del usuario BlackBerry Link para Windows Versión: 1.1.1 Guía del usuario Publicado: 2013-07-22 SWD-20130722150052226 Contenido Introducción... 5 Acerca deblackberry Link... 5 Conozca BlackBerry Link...5 Conectar a

Más detalles

Backup Exec Continuous Protection Server. Guía de instalación rápida

Backup Exec Continuous Protection Server. Guía de instalación rápida Backup Exec Continuous Protection Server Guía de instalación rápida Guía de instalación rápida Este documento incluye los temas siguientes: Antes de la instalación Requisitos del sistema para el producto

Más detalles

BlackBerry Desktop Manager Versión: 5.0. Manual del usuario

BlackBerry Desktop Manager Versión: 5.0. Manual del usuario BlackBerry Desktop Manager Versión: 5.0 Manual del usuario SWDT26573-1093851-0401080214-005 Contenido Conexiones... 3 Conexión del dispositivo al ordenador utilizando una conexión USB... 3 Requisitos previos:

Más detalles

BlackBerry Link para Mac OS. Versión: 1.2.1. Guía del usuario

BlackBerry Link para Mac OS. Versión: 1.2.1. Guía del usuario BlackBerry Link para Mac OS Versión: 1.2.1 Guía del usuario Publicado: 2014-01-21 SWD-20140121092416404 Contenido Recursos relacionados... 5 Introducción... 6 Acerca deblackberry Link... 6 Conozca BlackBerry

Más detalles

Manual del usuario de InfoView de SAP BusinessObjects Enterprise

Manual del usuario de InfoView de SAP BusinessObjects Enterprise Manual del usuario de InfoView de SAP BusinessObjects Enterprise SAP BusinessObjects Enterprise XI 3.1 Service Pack 3 Copyright 2010 SAP AG.Reservados todos los derechos. SAP, R/3, SAP NetWeaver, Duet,

Más detalles

Seguridad de punto final. Protección en Internet. Seguridad de Internet

Seguridad de punto final. Protección en Internet. Seguridad de Internet Manual del administrador Seguridad de punto final Protección en Internet Seguridad de Internet Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.4 Edición: abril de 2016 Contenido 1 Acerca de Sophos Enterprise Console 5.4...6 2 Descripción de la ventana de Enterprise Console...7 2.1 Ventana principal...7

Más detalles

Guía del administrador de Citrix EdgeSight. Citrix EdgeSight para puntos finales 5.1 Citrix EdgeSight para Presentation Server 5.1

Guía del administrador de Citrix EdgeSight. Citrix EdgeSight para puntos finales 5.1 Citrix EdgeSight para Presentation Server 5.1 Guía del administrador de Citrix EdgeSight Citrix EdgeSight para puntos finales 5.1 Citrix EdgeSight para Presentation Server 5.1 Aviso de copyright y referencias a marcas El uso del producto descrito

Más detalles

Guía de instalación de Presto 2015.01 (20/07/2015)

Guía de instalación de Presto 2015.01 (20/07/2015) Guía de instalación de Presto 2015.01 (20/07/2015) Guía de instalación 1 Requisitos del sistema 1 Permisos necesarios 1 Presto 2 Instalación de Presto: Monopuesto 2 Instalación de Presto: Servidor de red

Más detalles

BlackBerry Desktop Software. Versión: 7.1. Guía del usuario

BlackBerry Desktop Software. Versión: 7.1. Guía del usuario BlackBerry Desktop Software Versión: 7.1 Guía del usuario Publicado: 2012-06-05 SWD-20120605131219667 Contenido Conceptos básicos... 7 Acerca de BlackBerry Desktop Software... 7 Configurar el smartphone

Más detalles

Symantec Enterprise Vault

Symantec Enterprise Vault Symantec Enterprise Vault Guía para usuarios de Microsoft Outlook 2010 9.0 Symantec Enterprise Vault: Guía para usuarios de Microsoft Outlook 2010 El software descrito en este manual se ofrece conforme

Más detalles

CA Nimsoft Monitor Snap

CA Nimsoft Monitor Snap CA Nimsoft Monitor Snap Guía de configuración de Monitorización de WebSphere Serie de WebSphere 1.6 Aviso de copyright de CA Nimsoft Monitor Snap Este sistema de ayuda en línea (el "Sistema") se proporciona

Más detalles

Manual del explorador WAP de Palm

Manual del explorador WAP de Palm Manual del explorador WAP de Palm Copyright Copyright 2002 Palm, Inc. Reservados todos los derechos. Graffiti y Palm OS son marcas registradas de Palm, Inc. Palm y el logotipo de Palm son marcas comerciales

Más detalles

Guía paso a paso para empezar a trabajar con Microsoft Windows Server Update Services

Guía paso a paso para empezar a trabajar con Microsoft Windows Server Update Services Guía paso a paso para empezar a trabajar con Microsoft Windows Server Update Services Microsoft Corporation Publicación: 14 de marzo de 2005 Autor: Tim Elhajj Editor: Sean Bentley Resumen Este documento

Más detalles

Guía del usuario de Cisco Unified Communications Manager Assistant para Cisco Unified Communications Manager 6.0

Guía del usuario de Cisco Unified Communications Manager Assistant para Cisco Unified Communications Manager 6.0 Guía del usuario de Cisco Unified Communications Manager Assistant para Cisco Unified Communications Manager 6.0 Sede central en América Cisco Systems, Inc. 170 West Tasman Drive San José, CA 95134-1706

Más detalles

Guía del producto. McAfee Agent 5.0.0

Guía del producto. McAfee Agent 5.0.0 Guía del producto McAfee Agent 5.0.0 COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee Active

Más detalles

CA Identity Manager. Guía de diseño de la Consola de usuario 12.6.5

CA Identity Manager. Guía de diseño de la Consola de usuario 12.6.5 CA Identity Manager Guía de diseño de la Consola de usuario 12.6.5 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

CA Nimsoft Monitor. Guía de sondas de Monitorización de la conectividad de red. Serie de net_connect 3.0

CA Nimsoft Monitor. Guía de sondas de Monitorización de la conectividad de red. Serie de net_connect 3.0 CA Nimsoft Monitor Guía de sondas de Monitorización de la conectividad de red Serie de net_connect 3.0 Aviso de copyright de CA Nimsoft Monitor Este sistema de ayuda en línea (el "Sistema") se proporciona

Más detalles