McAfee Host Intrusion Prevention 8.0 Guía del producto para su uso con epolicy Orchestrator 4.5

Transcripción

1 McAfee Host Intrusion Prevention 8.0 Guía del producto para su uso con epolicy Orchestrator 4.5

2 COPYRIGHT Copyright 2010 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales. ATRIBUCIONES DE MARCAS COMERCIALES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUSHIELD, MA (MCAFEE SECURITYALLIANCE ECHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad eclusiva de sus propietarios respectivos. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2

3 Contenido Introducción a Host Intrusion Prevention Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Gestión de la protección Gestión de la información Paneles de IPS en host Consultas de IPS en host Gestión de directivas Dónde encontrar directivas Configuración de directivas Protección predeterminada y ajustes Migración de directivas de Host IPS Gestión del sistema Conjuntos de permisos de IPS en host Tareas del servidor de IPS en host Respuestas de eventos de IPS en host Actualizaciones de protección de IPS en host Configuración de directivas IPS Resumen de directivas IPS Métodos para la entrega de protección IPS Firmas Reglas de comportamiento Reacciones Ecepciones Reglas de protección de aplicaciones Eventos Activar la protección IPS Configuración de la directiva de opciones IPS Configuración de la reacción para firmas IPS

4 Contenido Configuración de la directiva Protección IPS Definición de protección de IPS Configuración de la directiva Reglas IPS Asignación de varias instancias de la directiva Preguntas frecuentes: directivas de instancias múltiples Cómo funcionan las firmas de IPS Cómo funcionan las reglas de protección de aplicaciones de IPS Cómo funcionan las ecepciones de IPS Supervisión de eventos IPS Gestión de eventos IPS Creación de una ecepción para un evento Creación de una aplicación de confianza de un evento Supervisión de reglas de cliente IPS Gestión de reglas de cliente IPS Configuración de directivas de firewall Resumen de directivas de firewall Cómo funcionan las reglas de firewall Cómo funcionan los grupos de reglas de firewall Cómo funciona el catálogo de IPS en host Inspección y filtrado de paquetes con seguimiento de estado del firewall Cómo afectan los modos aprendizaje y adaptación al firewall Reglas de firewall para cliente Activación de protección por firewall Configuración de la directiva Opciones del firewall Preguntas frecuentes: McAfee TrustedSource y el firewall Definición de la protección de firewall Configuración de la directiva Reglas del firewall Creación y edición de reglas de firewall Creación y edición de grupos de reglas de firewall Creación de grupos de aislamiento de coneión Bloqueo del tráfico DNS Uso del catálogo de IPS en host Gestión de Reglas de cliente del firewall Preguntas frecuentes: uso de caracteres comodín en reglas de firewall Configuración de directivas generales Introducción a las directivas generales Definición de la funcionalidad de cliente

5 Contenido Configuración de una directiva IU de cliente Definición de opciones generales de IU de cliente Configuración de opciones avanzadas y contraseñas de IU de cliente Definición de opciones de solución de problemas de IU de cliente Definición de redes de confianza Configuración de una directiva de redes de confianza Definición de aplicaciones de confianza Configuración de una directiva de aplicaciones de confianza Creación y edición de reglas de aplicaciones de confianza Asignación de varias instancias de la directiva Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Menú Icono de la bandeja de sistema Consola de clientes para clientes Windows Desbloqueo de la interfaz del cliente Windows Definición de opciones de IU de cliente Solución de problemas del cliente Windows Alertas del cliente Windows Acerca de la ficha Directiva de IPS Acerca de la ficha Directiva de firewall Acerca de la ficha Hosts bloqueados Edición de la lista de hosts bloqueados Acerca de la ficha Lista de protección de aplicaciones Acerca de la Ficha Registro de actividad Introducción al cliente Solaris Aplicación de directivas con el cliente Solaris Solución de problemas del cliente Solaris Introducción al cliente Linu Aplicación de directivas con el cliente Linu Notas acerca del cliente Linu Solución de problemas del cliente Linu Apéndice A -- Escritura de firmas personalizadas y ecepciones Estructura de regla Secciones comunes Secciones comunes opcionales Caracteres comodín y variables Firmas personalizadas de Windows

6 Contenido Desbordamiento de búfer de clase Windows Archivos de clase de Windows Hook de la clase Windows Uso de host ilegal IPS API, clase Windows Uso ilegal, clase Windows Isapi (HTTP) de clase Windows Programa de clase Windows Registro de la clase Windows Servicios de la clase Windows SQL de clase Windows Clases y directivas de la plataforma Windows Firmas personalizadas no Windows Solaris/Linu clase UNI_file Solaris/Linu class UNI_apache (HTTP) Solaris/Linu clase UNI_Misc Solaris clase UNI_bo Solaris clase UNI_map Solaris clase UNI_GUID Clases y directivas de la plataforma UNI Apéndice B: solución de problemas Problemas generales Registros de Host IPS Utilidad Clientcontrol.ee

7 Introducción a Host Intrusion Prevention McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y eternos. Proporciona una solución escalable y de fácil manejo para evitar intrusiones en estaciones de trabajo, portátiles y servidores críticos, incluidos servidores web y de bases de datos. Su tecnología patentada bloquea proactivamente ataques de día cero (zero day) y ataques conocidos. Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede proteger información e impedir la puesta en peligro de los recursos del sistema y de la red, así como de las aplicaciones que almacenan y proporcionan información. Logra este objetivo mediante la función de firewall de punto final y la función IPS (Intrusion Prevention System, sistema de prevención de intrusiones). La función IPS dispone de actualizaciones de contenido mensuales, lo que reduce la urgencia de los parches para nuevas amenazas. La función de firewall de Host Intrusion Prevention se adquiere por separado o en combinación con la función IPS de Host Intrusion Prevention. Host Intrusion Prevention está totalmente integrado con epolicy Orchestrator y utiliza su estructura para proporcionar y aplicar directivas. Este enfoque proporciona una solución de gestión única que permite el despliegue masivo en un total de hasta sistemas en varios idiomas y en la totalidad de la empresa con el objetivo de ofrecer una ehaustiva cobertura real. Contenido Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Protección de IPS en host Una vez que todos los componentes necesarios para Host Intrusion Prevention estén instalados y puedan comunicarse, ya está preparado para aplicar la protección, supervisar los eventos y actualizar las directivas y los contenidos según sea necesario. Protección básica Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que proporcionan una protección básica para su entorno. Las opciones incluyen: Para protección de IPS: Las firmas de gravedad alta se evitan y las demás firmas se ignoran. 7

8 Introducción a Host Intrusion Prevention Directivas de Host IPS Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las reglas, ecepto para las reglas de autoprotección de IPS. Se protegen las aplicaciones y procesos predefinidos. Para la protección de firewall: Se permite la conectividad básica de red. NOTA: cuando Host Intrusion Prevention 8.0 se instala por primera vez, no está activa ninguna protección. Debe activar la protección en la directiva Opciones de IPS u Opciones del firewall y aplicar la directiva al cliente. Protección avanzada Para obtener protección avanzada, cambie de configuraciones IPS predeterminadas a configuraciones preestablecidas más estrictas o cree configuraciones personalizadas. Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuración. Los ajustes necesitan equilibrar la protección contra prevención de intrusos y acceder a la información necesaria y a las aplicaciones por tipos de grupo. Directivas de Host IPS Una directiva es un conjunto de parámetros que puede configurar y aplicar en la consola de epolicy Orchestrator. La aplicación de directivas asegura que las necesidades de seguridad en sistemas gestionados se cumplan. Host Intrusion Prevention proporciona tres funciones de directiva, cada una con un conjunto de opciones de seguridad. Son las siguientes: IPS, Firewall y General. Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas. La propiedad de las directivas se asigna en Catálogo de directivas. Una vez creada una directiva, esta solo puede modificarla o eliminarla su creador, la persona asociada como propietario de la directiva o el administrador global. La eliminación de las directivas solo puede llevarse a cabo en Catálogo de directivas. Directivas de IPS La función IPS incluye tres directivas que protegen los equipos Windows y los que no son Windows. Detalla las ecepciones, las firmas, las reglas de protección de aplicaciones, los eventos y las ecepciones generadas por los clientes. Opciones de IPS (todas las plataformas). Activa o desactiva la protección IPS y la aplicación del modo de adaptación para el ajuste. Protección de IPS (todas las plataformas). Define la reacción de protección a los eventos que generan las firmas. Reglas IPS (todas las plataformas). Define ecepciones, firmas y reglas de protección de aplicaciones. Esta directiva es una directiva de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de Reglas IPS, en lugar de una sola direciva. Por lo tanto, la directiva efectiva es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto, se aplica la configuración eplícita que ofrezca mayor protección. 8

9 Introducción a Host Intrusion Prevention Gestión de directivas de IPS en host Directivas de firewall La función Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el tráfico de red, lo que permite que el tráfico legítimo pase a través del firewall, y bloquea el resto. Opciones de firewall (solo Windows). Activa o desactiva la protección del firewall y la aplicación del modo de adaptación o de aprendizaje para el ajuste. Reglas de firewall (solo Windows). Define las reglas de firewall. Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio que han de bloquearse. Directivas generales La función General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall. IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion Prevention en los sistemas de cliente Windows, así como a las opciones de solución de problemas. También proporciona protección mediante contraseña a todos los sistemas de clientes que no son Windows. Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer comunicación. Se usa con las funciones IPS y Firewall. Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de confianza para realizar operaciones. Se usa con la función IPS. Esta directiva es una directiva de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto, se aplica la configuración que ofrezca mayor protección. Gestión de directivas de IPS en host La consola de epolicy Orchestrator le permite configurar las directivas de Host Intrusion Prevention desde una localización central. Cómo se hacen efectivas las directivas Cuando se modifican las directivas de Host Intrusion Prevention en la consola de epolicy Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicación entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar las directivas inmediatamente, puede enviar una llamada de activación del agente desde la consola de epolicy Orchestrator. Directivas y sus categorías La información de directivas de Host Intrusion Prevention se agrupa según función y categoría. Cada categoría se refiere a un subconjunto específico de valores de directivas. Una directiva es un grupo de configuraciones definidas con un propósito específico. Puede crear, modificar o eliminar tantas directivas como sea necesario. Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o eliminar. Con ecepción de las reglas IPS y las aplicaciones de confianza, todas las directivas tienen tambien una directiva Mis valores predeterminados que se puede editar y que está basada en la directiva predeterminada. Algunas categorías de directivas incluyen directivas 9

10 Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse y personalizar el duplicado, si fuera necesario. Las reglas IPS y las aplicaciones de confianza son directivas de instancias múltiples, ya que puede asignar múltiples instancias de directivas bajo una única directiva. Las instancias de directivas se combinan automáticamente en una directiva en vigor. SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se actualizan automáticamente como parte del proceso de actualización de contenido. McAfee recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales de la directiva para personalizar el comportamiento de estas dos directivas. Cómo se aplican las directivas Las directivas se aplican a cada grupo o sistema del árbol del sistema, ya sea por herencia o por asignación. Herencia determina si la configuración de directivas de cualquier sistema procede de su nodo principal. La herencia está activada de forma predeterminada en todo el árbol de sistemas. Puede romper la herencia mediante asignación directa de directivas. Host Intrusion Prevention, si se gestiona desde epolicy Orchestrator, le permite crear directivas y asignarlas sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva, todos los grupos y sistemas secundarios heredan la nueva directiva. Propietarios de las directivas Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie más que el administrador global, el creador de la directiva o la persona asociada como propietario de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que eista en el catálogo, pero únicamente el creador, el propietario o el administrador global podrán modificarla. SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente, se aconseja duplicar la directiva y, a continuación, asignar el duplicado. Por otro lado, si asigna una directiva de la que no es propietario a grupos de árbol del sistema que administra y el propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva recibirán estas modificaciones. Seguimiento y ajuste de directivas de IPS en host El despliegue y la gestión de los clientes de Host Intrusion Prevention se realizan desde epolicy Orchestrator. En el árbol del sistema de epo, puede agrupar sistemas jerárquicamente por atributos. Por ejemplo, puede agrupar un primer nivel por localización geográfica y un segundo nivel por plataforma del sistema operativo o dirección IP. McAfee recomienda agrupar los sistemas en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar sistemas que se ajusten a un perfil de uso común en un grupo común del árbol del sistema. De hecho, puede nombrar un grupo según su perfil de uso (por ejemplo, Servidores web) Con los equipos agrupados en el árbol del sistema según el tipo, la función o la ubicación geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios. Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones del producto, como IPS o firewall. 10

11 Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fácilmente, ya que la mayoría de los equipos encajan en un pequeño número de perfiles de uso. La gestión de un gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles eistentes y colocarse en el grupo correcto del árbol del sistema. Protección preconfigurada Host Intrusion Prevention ofrece dos tipos de protección: La protección básica está disponible mediante la configuración de directiva McAfee Default. Esta protección requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos entornos esta protección básica podría ser suficiente. La protección avanzada también está disponible en algunas directivas de IPS y firewall preconfiguradas o mediante la creación de directivas personalizadas. Los servidores, por ejemplo, necesitan una protección más potente que la que ofrece la protección básica. En ambos casos, son necesarios algunos ajustes de la configuración de protección para entornos reales de trabajo. Modo de adaptación Para ayudar a ajustar la configuración de la protección, los clientes de Host Intrusion Prevention pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen actividades inofensivas. La creación automática de reglas de cliente se permite cuando los clientes están en modo de adaptación. En el modo de adaptación, las reglas del cliente se crean sin interacción por parte del usuario. Después de crear reglas de cliente, necesita analizarlas detenidamente y decidir cuál de ellas se debe convertir a directiva impuesta por el servidor. Con frecuencia, en organizaciones de gran tamaño, evitar las interrupciones en las actividades de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podría ser necesario instalar periódicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion Prevention permite colocar equipos específicos en modo de adaptación para protección IPS. Estos equipos pueden realizar un perfil de una aplicación recién instalada y reenviar las reglas de cliente resultantes al servidor de epolicy Orchestrator. El administrador puede promover estas reglas de cliente a un directiva nueva o eistente y, a continuación, aplicar la directiva a otros equipos para gestionar el nuevo software. En el modo de adaptación, los sistemas no tienen virtualmente ninguna protección, así que el modo de adaptación debe usarse solo para ajustar un entorno, y es necesario desactivarlo para aumentar la protección del sistema. Ajuste Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo es ajustar un despliegue de prueba y después comenzar a reducir el número de falsos positivos y eventos generados. Este proceso se denomina ajuste. Reglas IPS más estrictas señalan un rango más amplio de infracciones y generan muchos más eventos que en un entorno básico. Si aplica la protección avanzada, McAfee recomienda utilizar la directiva Protección IPS para escalonar el impacto. Esto implica el trazado de cada uno de los niveles de gravedad (alta, media, baja o información) con una reacción (prevenir, registrar, ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como Ignorar, ecepto las de gravedad alta, se aplican solo estas últimas. Los otros niveles pueden elevarse de manera gradual a medida que progresa el ajuste. 11

12 Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host Puede reducir el número de falsos positivos mediante la creación de reglas de ecepción, aplicaciones de confianza y reglas de firewall. Las reglas de ecepción son mecanismos que ignoran una firma de IPS en circunstancias específicas. Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS y de firewall. Las reglas de firewall determinan si se permite el tráfico y si se permitirá o bloqueará la recepción o transmisión de paquetes. Paneles y consultas Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez. Esta consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada. Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos específicos de esos datos, por ejemplo, eventos de alto nivel notificados por clientes concretos durante un período de tiempo determinado. Los informes se pueden planificar y enviar como mensaje de correo electrónico. 12

13 Gestión de la protección La gestión de un despliegue de Host Intrusion Prevention incluye el seguimiento, el análisis y la reacción a las actividades, el cambio y actualización de directivas, y la realización de tareas del sistema. Contenido Gestión de la información Gestión de directivas Gestión del sistema Gestión de la información Tras la instalación de Host Intrusion Prevention, puede hacer un seguimiento y un informe sobre los asuntos de seguridad que surjan en su entorno. Utilice los paneles para obtener una visión diaria de la situación de seguridad o para ejecutar consultas sobre información detallada acerca de asuntos concretos. Paneles de IPS en host Los paneles son una recopilación de seguimientos, una herramienta esencial para la gestión del entorno. Los seguimientos pueden ser cualquier cosa, desde una consulta basada en tablas a una pequeña aplicación web, como el servicio MyAvert Threat. Puede crear y editar múltiples paneles, siempre y cuando tenga los permisos. Utilice cualquier consulta basada en formularios, como un panel que se actualiza con una frecuencia especificada, para que pueda poner sus consultas más útiles en un panel en vivo. Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores: Tabla 1: Paneles y monitores de Host IPS Panel Monitores IPS en host Estado del firewall Estado de IPS en host Estado del servicio Recuento de reglas IPS de cliente Versiones del contenido Primeros 10 eventos NIPS por IP de origen Firmas desencadenadas por IPS en host Firmas desencadenadas por alto nivel en el escritorio Firmas desencadenadas por medio nivel en el escritorio Firmas desencadenadas por bajo nivel en el escritorio Firmas desencadenadas por alto nivel en el servidor 13

14 Gestión de la protección Gestión de la información Panel Monitores Firmas desencadenadas por medio nivel en el servidor Firmas desencadenadas por bajo nivel en el servidor Para obtener más información acerca de la creación y el uso de paneles, consulte la documentación de epolicy Orchestrator. Consultas de IPS en host Host Intrusion Prevention incluye la funcionalidad de consulta mediante epolicy Orchestrator. Puede crear consultas útiles de eventos y propiedades almacenados en la base de datos de epo o puede utilizar consultas predefinidas. Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. Puede eportar informes en una gran variedad de formatos de archivo, entre ellos HTML y Microsoft Ecel. Opciones de consulta: Definir un filtro para recopilar solo información seleccionada. Elegir el grupo o etiqueta que se han de incluir en el informe. Definir un filtro de datos, utilizando operadores lógicos, para definir filtros precisos en los datos devueltos por el informe. Generar informes gráficos a partir de la información de la base de datos, filtrar los informes según sea necesario, imprimir los informes y eportarlos a otro software. Ejecutar consultas de equipos, eventos e instalaciones. Consultas predefinidas y personalizadas para analizar la protección La función de generación de informes contiene consultas predeterminadas de Host Intrusion Prevention y permite la creación de consultas personalizadas. Organice y mantenga consultas personalizadas de acuerdo con sus necesidades. Por ejemplo, si personaliza la configuración para un informe, eporte esta configuración como una plantilla. Tras crear plantillas personalizadas, organícelas en agrupaciones lógicas para que pueda ejecutarlas cuando lo necesite de forma diaria, semanal o mensual. Cuando se haya generado un informe, puede ver la información resumida, como lo determina el filtro, si eiste, que ha definido. Desde la información resumida, profundice uno o dos niveles para obtener información detallada, todo en el mismo informe. Controle cuánta información del informe será visible para los distintos usuarios; por ejemplo, para los administradores globales o para los otros usuarios. Algunos usuarios solo ven informes de sistemas en sitios en los que tengan permisos. La información del informe también se controla con la aplicación de filtros. Consultas personalizadas Puede crear cuatro consultas concretas de Host IPS con Query Builder en Otros: Reglas de cliente de firewall de Host IPS 8.0, Ejecutables de regalas de cliente de firewall de Host IPS 8.0, Reglas de cliente IPS de Host IPS 8.0 y Ecepciones IPS de Host IPS

15 Gestión de la protección Gestión de la información Los parámetros para estas consultas incluyen: Tabla 2: Consultas de IPS en host y parámetros Consulta Reglas de firewall y reglas de cliente de firewall del catálogo de Host IPS 8.0 Parámetros Acción Dirección NOTA: esta consulta devuelve las reglas de firewall del catálogo de IPS, los grupos de firewall del catálogo de IPS y las reglas de cliente de firewall. Activado Última modificación Los valores posibles de las acciones son permitir, Usuario de la última modificación bloquear y saltar; saltar es la acción para grupos que no tienen la acción permitir/bloquear. Las ID de nodo de hoja reglas y grupos del catálogo de IPS tienen el valor Servicios locales de filtro leafnodeid establecido a 0; por lo tanto, Estado de registro para ver las reglas de cliente de firewall, establezca el valor de filtro leafnodeld a > 0. Protocolo IP Coincidir con intrusión Tipo de soporte Nombre Nota Servicios remotos ID de regla Planificar fin Planificar inicio Cambiar cuando caduque Protocolo de transporte Ejecutables de regla de cliente de firewall de Host IPS 8.0 Huella digital Nombre Nota Ruta ID de regla Nombre del firmante Reglas IPS de cliente de Host IPS 8.0 Fecha de creación Descripción Nombre del ejecutable Ruta del ejecutable Huella digital Nombre completo del ejecutable Incluir todos los ejecutables Incluir todas las firmas Incluir todos los usuarios Fecha de la última modificación Versión local Reacción ID de firma Nombre del firmante Estado Nombre de usuario Ecepciones IPS de Host IPS 8.0 Regla de ecepción IPS 15

16 Gestión de la protección Gestión de la información Consulta Parámetros Directiva Reglas IPS Propiedades de IPS en host comunes Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le permiten incluir estas propiedades de IPS en host: Tipo de agente Atacantes bloqueados Idioma Versión del cliente Estado del modo de adaptación de IPS Recuento de regla de ecepción local Versión de contenido Estado de IPS de red Estado del modo de adaptación de firewall Reinicio pendiente Error en el firewall (Errores) Versión de complemento Estado del modo de aprendizaje entrante Estado del producto del firewall Servicio en ejecución Estado del modo de aprendizaje saliente Versión de hotfi/parche del firewall Versión del producto Recuento de regla del firewall Service Pack Estado del firewall Información del evento de IPS en host Errores de IPS en host (oculto, leído) Estado de IPS en host Nombre de la firma Instalar directorio Consultas predefinidas Además de las consultas personalizadas, puede usar varias consultas predefinidas tal cual o editarlas para obtener solo la información que necesita. Escoja entre las siguientes consultas predefinidas de Host IPS: Consulta HIP Reglas para cliente por proceso Reglas para cliente por proceso/intervalo de puertos Reglas para cliente por proceso/usuario Reglas para cliente por protocolo/nombre de sistema Resumen Muestra las reglas de firewall para cliente enumeradas por proceso. Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de puertos. Muestra las reglas de firewall para cliente enumeradas por proceso y usuario. Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de sistema. Reglas para cliente por protocolo/intervalo de puertos Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo de puertos. Reglas para cliente por protocolo/proceso Versiones del cliente Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso. Muestra las primeras tres versiones del cliente con una categoría única para el resto de las versiones. Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host está desplegado y el instalador debe reiniciar el sistema. 16

17 Gestión de la protección Gestión de directivas Consulta HIP Versiones del contenido Recuento de reglas de cliente de firewall Recuento de reglas IPS de cliente Firmas desencadenadas por alto nivel en el escritorio Firmas desencadenadas por medio nivel en el escritorio Firmas desencadenadas por bajo nivel en el escritorio Resumen Muestra las primeras tres versiones del contenido con una categoría única para el resto de las versiones. Muestra el número de reglas de firewall para cliente que se han creado con el paso del tiempo. Muestra el número de reglas IPS de cliente que se han creado con el paso del tiempo. Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Eventos de redes de confianza de IPS en host Muestra los eventos generados por sistemas que forman parte de redes de confianza de IPS en host. Errores de firewall Estado del firewall Errores de IPS en host Estado de IPS en host Informe de ecepciones IPS Firmas desencadenadas por alto nivel en el servidor Firmas desencadenadas por medio nivel en el servidor Firmas desencadenadas por bajo nivel en el servidor Estado del servicio 10 eventos IPS principales por destino 10 NIPS principales por IP de origen 10 firmas más activadas Muestra los sistemas administrados en los que la función de firewall está activada mediante directiva, pero que no se iniciaron correctamente. Muestra dónde está activada o desactivada la protección del firewall en sistemas gestionados. Muestra los sistemas administrados en los que la función de IPS está activada mediante directiva, pero que no se iniciaron correctamente. Muestra dónde está activada o desactivada la protección IPS en sistemas gestionados. Muestra las directivas de reglas IPS que presentan ecepciones IPS. Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Muestra dónde está instalado Host IPS y si se está ejecutando o no en sistemas gestionados. Muestra los 10 sistemas con mayor número de eventos IPS. Muestra los 10 eventos de intrusión en la red por direcciones IP de origen que más se han dado en los últimos tres meses. Muestra las 10 primeras firmas IPS activadas. Gestión de directivas La gestión de directivas implica la configuración y aplicación de directivas y el ajuste de la protección para los recursos y las aplicaciones del sistema. Parte de este proceso necesita un análisis de los eventos y las reglas de los clientes. 17

18 Gestión de la protección Gestión de directivas Dónde encontrar directivas epolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host Intrusion Prevention: la ficha Directivas asignadas (ficha Sistemas Árbol de sistemas Directivas asignadas para un grupo seleccionado en el Árbol de sistemas) y la ficha Catálogo de directivas (Sistemas Catálogo de directivas). Para un grupo o sistema seleccionado, use la ficha Directivas asignadas para: Ver directivas disponibles de una función concreta del producto Ver detalles de la directiva Ver la información de herencia Editar la asignación de directivas Editar las directivas personalizadas Utilice la ficha Catálogo de directivas para: Crear directivas Ver y editar la información de la directiva Ver dónde está asignada una directiva Ver la configuración y el propietario de una directiva Ver las asignaciones en las que se ha desactivado la aplicación de directivas Para... Crear una directiva Editar una directiva Ver una directiva Cambiar el nombre de una directiva Duplicar una directiva Eliminar una directiva Haga lo siguiente... Haga clic en Nueva directiva, póngale un nombre y edite las opciones. Haga clic en Editar (solo disponible para Mis valores predeterminados o directivas personalizadas). Haga clic en Ver (solo disponible para McAfee Default o directivas preconfiguradas). Haga clic en Cambiar nombre y cambie el nombre de la directiva (no disponible para directivas predeterminadas o preconfiguradas). Haga clic en Duplicar, cambie el nombre de la directiva y edite su configuración. Haga clic en Eliminar (no disponible para directivas predeterminadas o preconfiguradas). NOTA: cuando se elimina una directiva, todos los grupos a los que está actualmente aplicada heredan la directiva de esta categoría desde su ascendiente. Antes de eliminar una directiva, eamine todos los sistemas a los que está asignada y asigne una directiva distinta, si no desea que la directiva se herede desde el ascendiente. Si elimina una directiva que está aplicada en el nivel superior, se aplica la directiva predeterminada de esta categoría. Asignar un propietario de directiva Eportar una directiva Eportar todas las directivas Importar directivas Haga clic en el propietario de la directiva y seleccione otro propietario de la lista (no disponible para directivas predeterminadas o preconfiguradas). Haga clic en Eportar; a continuación, dé un nombre a la directiva y guárdela (un archivo ML) en la ubicación deseada. Haga clic en Eportar todas las directivas; a continuación, dé un nombre a la directiva y guarde el archivo ML correspondiente en la ubicación deseada. Haga clic en Importar, en la parte superior de la página Catálogo de directivas, seleccione el archivo ML de la directiva y, a continuación, haga clic en Aceptar. 18

19 Gestión de la protección Gestión de directivas Para obtener más detalles sobre alguna de estas funciones, consulte la documentación de epolicy Orchestrator. Configuración de directivas Después de instalar el software Host Intrusion Prevention, McAfee recomienda configurar las directivas para proporcionar el máimo nivel de seguridad sin entrar en conflicto con las actividades diarias. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. Para ajustar las directivas para que se adapten a su situación concreta, se recomienda lo siguiente: Con cuidado, defina su configuración de seguridad de Host Intrusion Prevention. Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales los permisos adecuados. Cambie las directivas de protección IPS o de las reglas de Firewall predeterminadas, que proporcionan niveles crecientes de la protección preestablecida. Modifique los niveles de gravedad de firmas específicas. Por ejemplo, cuando una firma se activa por el trabajo cotidiano de los usuarios, reduzca el nivel de gravedad. Configure los paneles para ver un resumen rápido de conformidad y asuntos. Configure respuestas automáticas para alertar a usuarios específicos cuando se produzcan eventos concretos. Por ejemplo, se puede enviar una notificación cuando una actividad que activa un evento de gravedad alta se produce en un servidor concreto. Creación de nuevas directivas Para crear una nueva directiva, copie una eistente y dé un nombre a la nueva copia. Puede hacerlo en el Catálogo de directivas o desde una página de directivas. Tarea Para ver las definiciones de las opciones, haga clic en? en la interfaz. Realice una de las acciones siguientes desde el Catálogo de directivas: Haga clic en el botón Nueva directiva. Seleccione la directiva de la que quiera realizar una copia, escriba el nombre de la nueva directiva y haga clic en Aceptar. Haga clic en el enlace Duplicar para una directiva. Escriba el nombre de la nueva directiva y haga clic en Aceptar. Haga clic en el enlace Ver o Editar de una directiva y, a continuación, en la página de directivas, haga clic en el botón Duplicar. Escriba el nombre de la nueva directiva y haga clic en Aceptar. Se muestra la directiva duplicada. Edite la directiva y haga clic en Guardar. Cambio de la asignación de directivas Utilice esta tarea para cambiar la asignación de directivas de Host Intrusion Prevention para un grupo o un único sistema del árbol de sistemas de epolicy Orchestrator. Tarea Para ver las definiciones de las opciones, haga clic en? en la interfaz. Siga uno de estos procedimientos: 19

20 Gestión de la protección Gestión de directivas Para un grupo, vaya a Sistemas Árbol del sistema, seleccione un grupo y, a continuación, en la ficha Directivas haga clic en Editar asignación. Para un sistema, vaya a Sistemas Árbol del sistema, seleccione un grupo que contenga el sistema y, a continuación, en la ficha Sistema, seleccione el sistema y seleccione Acciones Agentes Modificar directivas en un único sistema. Protección predeterminada y ajustes Host Intrusion Prevention trabaja con directivas predeterminadas para la protección básica. Esto permite una mayor protección a través de las configuraciones personalizadas que se obtienen con el ajuste manual o automático. Protección predeterminada Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que proporcionan protección básica para su entorno. Tanto la protección IPS como por firewall están desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen las directivas de reglas predeterminadas. Para obtener protección avanzada, cambie de directivas IPS predeterminadas a directivas preestablecidas más estrictas o cree directivas personalizadas. Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones. Los ajustes implican ajustar la protección de prevención de intrusos y el acceso a la información requerida y a las aplicaciones por tipo de grupo. Ajuste manual El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de los eventos y las reglas de clientes que se creen. Para obtener protección IPS, supervise los eventos para encontrar falsos positivos y cree ecepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir. Para la protección por firewall, supervise el tráfico de red y agregue redes de confianza para permitir el tráfico de red adecuado. Supervise los efectos de las ecepciones nuevas, las aplicaciones de confianza y las redes de confianza. Si estas reglas funcionan correctamente al prevenir falsos positivos, mantener el tráfico de red a un nivel mínimo y permitir la actividad legítima, haga que estas ecepciones formen parte de una directiva nueva o eistente. Aplique la nueva directiva a un conjunto de equipos y supervise los resultados. Repita este proceso con cada tipo de grupo de producción. Ajuste automático El ajuste automático elimina la necesidad de supervisar constantemente todos los eventos y actividades de todos los usuarios. Aplique el modo de adaptación para las directivas IPS y Firewall. En el modo de adaptación, no se producen eventos IPS y no se bloquea la actividad, ecepto para vulnerabilidades malintencionadas. Se crean reglas de cliente de forma automática para permitir la actividad legítima. Revisión de la lista de reglas de clientes. 20