McAfee Enterprise Security Manager 9.5 acompaÑan al paquete de software, o que haya recibido por separado como parte de la compra (por ejemplo, un manual, un

Guía del producto

McAfee Enterprise Security Manager 9.5.1

COPYRIGHT

Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Enterprise Security Manager 9.5.1 Guía del producto

http://www.intelsecurity.com

Contenido

Prefacio 9Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1 Introducción 13Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . 13Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2 Primeros pasos 19Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 21Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . 22Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . 23Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . 26

Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . 26Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . 28Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . 29Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . 30Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . 31Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 31Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . 32Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 32Administración de un grupo en un tipo de pantalla personalizada . . . . . . . . . . . 33Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 34Eliminación de dispositivos duplicados en el árbol de navegación del sistema . . . . . . . 34

Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . 36Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . . 36Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . 36Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 36Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 37

McAfee Enterprise Security Manager 9.5.1 Guía del producto 3

3 Configuración del ESM 39Administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Visualización de estadísticas de dispositivo . . . . . . . . . . . . . . . . . . . . 41Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 42Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 42Actualización del software en un dispositivo . . . . . . . . . . . . . . . . . . . . 45Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 45Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 61Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 62Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 62Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 62Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . . 63Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 65Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . 66Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 67Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 123Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 140Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 143Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 159Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 166Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 167Configuración de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 173Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 177Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 179

Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 180Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 181Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 181Detención de la actualización automática del Árbol de sistemas de ESM . . . . . . . . 182Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . 182Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 184Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 185Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 192Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 192Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 201Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 202Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 202Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 202Configuración de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 203Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 203Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 204Administración de la configuración de índice de la base de datos . . . . . . . . . . . 204Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 204Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 205

Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 206Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 210Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 211Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 211Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 211Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 212

Contenido


Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . 212Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 213Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 213Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 214Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 214Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 215

ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Configuración de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . 215Sustitución de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . . 216

Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . 218Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . 219Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . 220Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . 220Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . . 220Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . 221Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . 221Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . . 222Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . . 222Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . 222Utilización de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . . 223Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . 223

Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . 225

Qué es el enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 225Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . 226Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO

™

. . . . 226Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . 227Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . 227Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . 228

4 Administración de Cyber Threat 231Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . . 231Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . 232

5 Uso de paquetes de contenido 235Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 235

6 Flujo de trabajo de alarmas 237Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . 237

Configuración de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . . 238Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . . 243Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . . 244

Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . . 245Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . . 250Visualización y administración de alarmas activadas . . . . . . . . . . . . . . . . 251Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . 253Integración con Threat Intelligence Exchange . . . . . . . . . . . . . . . . . . . 253Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . . 254

Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Creación de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . 256Adición de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . . 259Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . 268

Contenido


Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . 270Configuración de una captura SNMP para la notificación de fallos de alimentación . . . . 270Creación de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . . 271Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . . 272Administración de orígenes de datos no sincronizados . . . . . . . . . . . . . . . 273

7 Uso de los eventos 275Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . 276Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . 276Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . 276Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 277Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . 277Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . 278Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 278Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . 278Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . 280

Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . 286Adición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . . 286Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . 287Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . . 287Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . . 287

Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . 288Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . 292Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . . 293Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Adición de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . . 298Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . 310Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . 313Búsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . . 313Visualización de los detalles de dirección IP de un evento . . . . . . . . . . . . . . 314Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . . 314Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Normalización de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . 324Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . 324Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . 328Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . 328Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . 328

Visualización de la hora del evento . . . . . . . . . . . . . . . . . . . . . . . . . . 329

8 Administración de casos 331Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . 332Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . 332Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . 333Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . 333Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . 334

Contenido


Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . . 335

9 Uso de Asset Manager 337Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . 338Establecimiento de la administración de configuración . . . . . . . . . . . . . . . . . . 338

Administración de archivos de configuración recuperados . . . . . . . . . . . . . . 339Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339Administración de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . . 340Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . 340Visualización de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . . 340Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . . 341

Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . 341

Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . 342Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . 342Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . 343Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . 343Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . 345Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 346

10 Administración de directivas y reglas 347Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 347El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . . 349Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . 351

Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . . 355Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356Reglas de inspección profunda de paquetes (DPI) . . . . . . . . . . . . . . . . . 358Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . 360Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . 363Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371Visualización de los detalles de las reglas de correlación . . . . . . . . . . . . . . 371Adición de reglas de correlación, base de datos o ADM personalizadas . . . . . . . . . 372Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . 380

Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . 380Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . . 381Visualización del estado de actualización de directivas de los dispositivos . . . . . . . . 381

Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . 382Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Contenido


Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Configuración de reglas para la inclusión automática en la lista negra . . . . . . . . . 384Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . 385Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . 386Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . 387Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . 387Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . 388Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . 388Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . 389Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . 389

Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . 390Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . . 390Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . 391Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . 392Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . 392Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 393Administración del tráfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . . 393

Índice 395

Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Usuarios: personas que usan el equipo en el que se está ejecutando el software y que puedenacceder a todas o algunas de sus funciones.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.


Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.

Búsqueda de documentación de productosUna vez que se lanza un producto, la información del producto se introduce en el Centro deconocimiento online de McAfee.

Procedimiento1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com.

2 En el panel KnowledgeBase, haga clic en un origen de contenido:

• Documentación del producto para encontrar documentación del producto

• Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase

3 Seleccione No borrar mis filtros.

4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una listacon documentos.

Procedimientos• Búsqueda de información localizada en la página 10

Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalaciónde McAfee ESM localizadas (traducidas) en los idiomas siguientes:

• Preguntas más frecuentes en la página 11A continuación se incluyen las respuestas a las preguntas más frecuentes.

Búsqueda de información localizadaSe proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfeeESM localizadas (traducidas) en los idiomas siguientes:

• Chino simplificado • Japonés

• Chino tradicional • Coreano

• Inglés • Portugués brasileño

• Francés • Español

• Alemán

Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en ESM, cambia automáticamente el idioma empleado en laAyuda online.

1 Inicie sesión en ESM.

2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.

PrefacioBúsqueda de documentación de productos


http://support.mcafee.com

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.

Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. LaAyuda localizada se instalará mediante una actualización futura.

Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentación del producto localizada mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión

• Producto: SIEM Enterprise Security Manager

• Versión: 9.5.0 o posterior

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.

Véase también Uso de la Ayuda de ESM en la página 16

Preguntas más frecuentesA continuación se incluyen las respuestas a las preguntas más frecuentes.

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

Se localizan las notas de la versión, la Ayuda online, la guía del producto y la guía de instalaciónde ESM en los idiomas siguientes:• Chino simplificado y tradicional • Japonés

• Inglés • Coreano

• Francés • Portugués brasileño

• Alemán • Español

Búsqueda de información localizada en la página 10

¿Dónde puedo obtener información sobre McAfee ESM?

• Uso de la Ayuda de ESM en la página 16

• Visite el Centro de conocimiento

• Visite el Centro de expertos

• Vea los vídeos de McAfee ESM

¿Qué dispositivos de la solución SIEM se admiten?

Visite el sitio web de McAfee ESM

¿Cómo se configuran los orígenes de datos concretos?

Busque las guías de configuración de los orígenes de datos actuales en el Centro deconocimiento



https://support.mcafee.com/

https://support.mcafee.com

https://community.mcafee.com/community/business/expertcenter/products/siem

https://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWC

http://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdf

https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance


¿Qué paquetes de contenido hay disponibles?

Lea este artículo de la base de conocimiento en el Centro de conocimiento



https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

1 Introducción

McAfee®

Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y laconformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos,desde una única ubicación.

Contenido Cómo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones La consola de ESM Uso de la Ayuda de ESM Preguntas más frecuentes Búsqueda de información localizada

Cómo funciona McAfee Enterprise Security ManagerMcAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red,sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación coninformación contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona estainformación para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, esposible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes.

ESM consta de tres capas.

• Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conocecomo consola de ESM).

• Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos losservicios necesarios de manipulación de datos, tales como configuración, generación de informes,visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido(DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones.

• Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquierendatos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver(receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estasfunciones.

Todas las funciones de comando, control y comunicación entre los componentes se coordinan a travésde canales de comunicación seguros.

1


Los dispositivos y sus funcionesEl ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno deseguridad, así como interactuar con ellos.

Véase también Configuración de Event Receiver en la página 67Configuración de Enterprise Log Manager (ELM) en la página 123Configuración de Application Data Monitor (ADM) en la página 143Configuración de Database Event Monitor (DEM) en la página 159Configuración de Advanced Correlation Engine (ACE) en la página 140Configuración del ESM distribuido (DESM) en la página 166Configuración de ePolicy Orchestrator en la página 167Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 173

1 IntroducciónLos dispositivos y sus funciones


La consola de ESMLa consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, asícomo acceso rápido a notificaciones de alarmas y casos asignados.

1 Barra de navegación del sistema para las funciones de configuración generales.

2 Iconos para acceder a páginas de uso frecuente.

3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurarcada dispositivo.

4 Panel de navegación del sistema para ver los dispositivos del sistema.

5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.

6 Panel de vistas para los datos de eventos, flujos y registro.

7 Barra de herramientas de vistas para crear, editar y administrar las vistas.

8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.

IntroducciónLa consola de ESM 1


Uso de la Ayuda de ESM¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual,donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a pasosobre el uso de ESM.

Antes de empezarOpcional: Búsqueda de información localizada en la página 10.

Procedimiento1 Para abrir la Ayuda de ESM, realice una de estas acciones:

• Seleccione la opción de menú Ayuda | Contenido de la Ayuda.

• Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas deESM para buscar ayuda contextual específica de cada pantalla.

2 En la ventana de la Ayuda:

• Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerándebajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en elpanel de la derecha.

• Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de laAyuda.

• Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave estánorganizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clavedeseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.

• Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el iconode la impresora, situado en la parte superior derecha del tema de la Ayuda.

• Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parteinferior del tema de la Ayuda.

Véase también Búsqueda de información localizada en la página 10

Preguntas más frecuentesA continuación se incluyen las respuestas a las preguntas más frecuentes.

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

Se localizan las notas de la versión, la Ayuda online, la guía del producto y la guía de instalaciónde ESM en los idiomas siguientes:• Chino simplificado y tradicional • Japonés

• Inglés • Coreano

• Francés • Portugués brasileño

• Alemán • Español

Búsqueda de información localizada en la página 10

¿Dónde puedo obtener información sobre McAfee ESM?

1 IntroducciónUso de la Ayuda de ESM


• Uso de la Ayuda de ESM en la página 16

• Visite el Centro de conocimiento

• Visite el Centro de expertos

• Vea los vídeos de McAfee ESM

¿Qué dispositivos de la solución SIEM se admiten?

Visite el sitio web de McAfee ESM

¿Cómo se configuran los orígenes de datos concretos?

Busque las guías de configuración de los orígenes de datos actuales en el Centro deconocimiento

¿Qué paquetes de contenido hay disponibles?

Lea este artículo de la base de conocimiento en el Centro de conocimiento

Búsqueda de información localizadaSe proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfeeESM localizadas (traducidas) en los idiomas siguientes:

• Chino simplificado • Japonés

• Chino tradicional • Coreano

• Inglés • Portugués brasileño

• Francés • Español

• Alemán

Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en ESM, cambia automáticamente el idioma empleado en laAyuda online.

1 Inicie sesión en ESM.

2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.

Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. LaAyuda localizada se instalará mediante una actualización futura.

IntroducciónBúsqueda de información localizada 1


https://support.mcafee.com

https://community.mcafee.com/community/business/expertcenter/products/siem

https://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWC

http://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdf



https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentación del producto localizada mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión

• Producto: SIEM Enterprise Security Manager

• Versión: 9.5.0 o posterior

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.

Véase también Uso de la Ayuda de ESM en la página 16

1 IntroducciónBúsqueda de información localizada


https://support.mcafee.com/

2 Primeros pasos

Verifique que su entorno de ESM esté actualizado y listo para funcionar.

Contenido Requisitos de hardware y software Acerca del modo FIPS Configuración evaluada según los Criterios comunes Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Preferencias de la consola

Requisitos de hardware y softwareEl sistema debe satisfacer los requisitos mínimos en cuanto a hardware y software.

Requisitos del sistema

• Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD claseAM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8)

• RAM: 1,5 GB

• Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1

• Navegador: Internet Explorer 9 o posterior, Mozilla Firefox 9 o posterior, Google Chrome 33 oposterior

• Flash Player: versión 11.2.x.x o posterior

Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive elbloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.

Requisitos de la máquina virtual

• Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/Dual Opteron64 o superior

• RAM: depende del modelo (4 GB o más)

2


• Espacio en disco: depende del modelo (250 GB o más)

• ESXi 5.0 o posterior

• Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para suservidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente conmás. Consulte las especificaciones correspondientes a su máquina virtual.

La máquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entornoESXi comparte los requisitos de CPU/RAM con otras máquinas virtuales, el rendimiento de la máquinavirtual ENMELM se verá afectado. Asegúrese de incluir la capacidad de CPU y RAM necesaria deacuerdo con los requisitos.

Acerca del modo FIPSFIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento dela información) son estándares desarrollados y anunciados públicamente por el gobierno de losEstados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares,deberá utilizar este sistema en el modo FIPS.

El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posiblecambiarlo posteriormente.

Véase también Información sobre el modo FIPS en la página 21

Contenido Información sobre el modo FIPS Selección del modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS

2 Primeros pasosAcerca del modo FIPS


Información sobre el modo FIPSDebido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funcionesdisponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estasfunciones se indican a lo largo del presente documento y se enumeran aquí.

Estado defunción

Descripción

Funcioneseliminadas

• Receptores de disponibilidad alta.

• Terminal de interfaz gráfica de usuario.

• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.

• En la consola del dispositivo, el shell raíz se sustituye por un menú deadministración de dispositivos.

Funciones solodisponibles en elmodo FIPS

• Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuarioavanzado, Administrador de auditorías y Administrador de claves y certificados.

• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS quepermite verificar si el sistema funciona correctamente en el modo FIPS.

• Si se produce un error de FIPS, se agrega un indicador de estado al árbol denavegación del sistema para reflejar este fallo.

• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abrela página Token de identidad de FIPS. Esta página muestra un valor que se debecomparar con el valor mostrado en las secciones del documento mencionadas paraasegurarse de que no hay riesgos en relación con FIPS.

• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye elprivilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo laautorización para ejecutar pruebas automáticas de FIPS.

• Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves,es necesario seleccionar el tipo de clave que se desea importar o exportar.

• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en elpuerto 22. El puerto SSH se puede cambiar.

Selección del modo FIPSLa primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en elmodo FIPS o no. Una vez realizada la selección, no es posible cambiarla.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

1 La primera vez que inicie sesión en ESM:

a En el campo Nombre de usuario, escriba NGCP.

b En el campo Contraseña, escriba security.4u.

Se le pedirá que cambie su contraseña.

2 Introduzca y confirme la nueva contraseña.

Primeros pasosAcerca del modo FIPS 2


3 En la página Activar FIPS, haga clic en Sí.

La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que elsistema funcione en el modo FIPS de forma permanente.

4 Haga clic en Sí para confirmar su selección.

Comprobación de integridad de FIPSSi utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad delsoftware de forma regular. Esta comprobación se debe realizar en el sistema y en todos losdispositivos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que estéseleccionada la opción Información del sistema.

2 Realice cualquiera de las acciones que se indican a continuación.

En estecampo...

Haga esto...

Estado deFIPS

Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM.

Prueba oPruebaautomáticade FIPS

Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmosutilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro demensajes.

Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producidoalgún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.

Ver oIdentidad deFIPS

Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software.Compare el valor siguiente con la clave pública que aparece en esta página:

Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase encontacto con el Soporte de McAfee.



Adición de un dispositivo con clave aplicada en el modo FIPS Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM.Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos.

Terminología

• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; nose emplea con fines criptográficos.

• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de clavesautorizadas de un dispositivo.

• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH enun ESM a fin de establecer la conexión SSH con un dispositivo.

• ESM principal: el ESM utilizado originalmente para registrar el dispositivo.

• ESM secundario: un ESM adicional que se comunica con el dispositivo.

Extensiones de archivo de los distintos archivos de exportación

• .exk: contiene la clave de dispositivo.

• .puk: contiene la clave pública.

• .prk: contiene la clave privada y la clave de dispositivo.

Copia de seguridad y restauración de información de un dispositivo enmodo FIPSEste método se emplea para crear copias de seguridad de la información de comunicación de undispositivo y restaurarlas en el ESM.

Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si lainformación de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no sepodrá restablecer. Este método exporta e importa el archivo .prk.

La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación conel dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clavepública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la claveprivada del ESM principal e inicia la comunicación con su propio par de claves pública/privada.



Acción Pasos

Exportar elarchivo .prk delESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivocon la información de comunicación de la que desee crear una copia de seguridady, después, haga clic en el icono Propiedades.

2 Seleccione Administración de claves y haga clic en Exportar clave.

3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.

4 Escriba y confirme una contraseña; a continuación, establezca la fecha decaducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no sepuede comunicar con el dispositivo hasta que se exporta otra clave con una fechade caducidad futura. Si selecciona No caduca nunca, la clave no caducará alimportarla a otro ESM.

5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creadopor el ESM y cierre la sesión en el ESM principal.

Agregar undispositivo alESM secundarioe importar elarchivo .prk

1 En el árbol de navegación del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic enSiguiente.

5 Introduzca la dirección IP de destino del dispositivo, indique el puerto decomunicación FIPS y haga clic en Siguiente.

6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar.

Escriba la contraseña especificada al exportar esta clave inicialmente.

7 Cierre la sesión en el ESM secundario.

Activación de la comunicación con varios dispositivos ESM en el modo FIPSEs posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportacióne importación de archivos .puk y .exk.

En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESMprincipal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clavepública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquencon el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal yse importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo.



Acción Pasos

Exportar elarchivo .puk delESM secundario

1 En la página Propiedades del sistema del ESM secundario, seleccione Administración deESM.

2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar elarchivo .puk.

3 Haga clic en Guardar y cierre la sesión.

Importar elarchivo .puk alESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administración de claves.

3 Haga clic en Administrar claves SSH.

4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.

5 Haga clic en Aceptar y cierre la sesión en el ESM principal.

Exportar elarchivo .exk deldispositivo delESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administración de claves.

3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia deseguridad y haga clic en Siguiente.

4 Escriba y confirme una contraseña; a continuación, establezca la fecha decaducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no sepuede comunicar con el dispositivo hasta que se exporta otra clave con unafecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará alimportarla a otro ESM.

5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar.

6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESMprincipal.

Importar elarchivo .exk en elESM secundario

1 En el árbol de navegación del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y hagaclic en Siguiente.

5 Haga clic en Importar clave y busque el archivo .exk.

6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta claveinicialmente.

7 Cierre la sesión en el ESM secundario.



Solución de problemas del modo FIPSEs posible que surjan problemas al utilizar el ESM en el modo FIPS.

Problema Descripción y solución

No haycomunicación conel ESM

• Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Siindica Fallo de FIPS, póngase en contacto con el Soporte de McAfee.

• Busque una situación de error en la interfaz HTTP; para ello, acceda a lapágina web Prueba automática de FIPS de ESM mediante un navegador.- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha falladouna prueba automática de FIPS, reinicie el dispositivo ESM para intentarcorregir el problema. Si el fallo persiste, póngase en contacto con el serviciode Soporte para obtener instrucciones adicionales.

- Si aparece únicamente el dígito 1, el problema de comunicación no se debea un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtenerinstrucciones adicionales.

No haycomunicación conel dispositivo

• Si hay una marca de estado junto al dispositivo en el árbol de navegación delsistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contactocon el Soporte de McAfee a través del portal de soporte.

• Siga la descripción correspondiente al problema No hay comunicación con elESM.

Error El archivo no esválido al agregar undispositivo

No se puede exportar una clave de un dispositivo no FIPS e importarla a undispositivo que funcione en el modo FIPS. De igual forma, no se puede exportaruna clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Esteerror aparece cuando se intenta cualquiera de estas dos cosas.

Configuración evaluada según los Criterios comunesEl dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que existaconformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a lahora de configurar el sistema.

Tipo Requisitos

Físico El dispositivo de McAfee debe:• Estar protegido frente a modificaciones físicas no autorizadas.

• Estar situado en unas instalaciones con acceso controlado que evite el acceso físico noautorizado.

Utilización El dispositivo de McAfee debe:• Tener acceso a todo el tráfico de red para realizar sus funciones.

• Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo deevaluación.

• Ser proporcionado con respecto al tráfico de red que supervisa.

2 Primeros pasosConfiguración evaluada según los Criterios comunes


Tipo Requisitos

Personal • Deben existir una o varias personas competentes encargadas de la administración deldispositivo de McAfee y de la seguridad de la información que contiene. Los ingenierosde McAfee proporcionan asistencia in situ para la instalación y la configuración, asícomo formación sobre el funcionamiento del dispositivo en las instalaciones para todoslos clientes de McAfee.

• Los administradores autorizados no deben ser descuidados, negligentes ni de tratodifícil, y deben respetar y acatar las instrucciones proporcionadas en la documentacióncorrespondiente al dispositivo de McAfee.

• Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee.

• Los responsables del dispositivo de McAfee deben asegurarse de que los usuariosprotejan todas las credenciales de acceso de forma coherente con la seguridad de TI.

Otros • No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaríauna configuración distinta de la correspondiente a la evaluada según los Criterioscomunes. Póngase en contacto con el Soporte de McAfee para obtener actualizacionescertificadas.

• En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzaromisión en la página Configuración de la interfaz de red provoca una configuración distinta de laevaluada según los Criterios comunes.

• En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta desupresión provoca una configuración diferente de la evaluada según los Criterioscomunes.

• La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca unacomunicación segura. El entorno de TI proporciona una transmisión segura de datosentre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUSpuede proporcionar los servicios de autenticación externa.

• El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point noforma parte del objetivo de evaluación.

• El uso de Snort Barnyard no forma parte del objetivo de evaluación.

• El uso del cliente de MEF no forma parte del objetivo de evaluación.

• El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación.

Inicio y cierre de sesiónTras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primeravez.


1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar lainterfaz de red.

2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y lacontraseña predeterminados.

• Nombre de usuario predeterminado: NGCP

• Contraseña predeterminada: security.4u

Primeros pasosInicio y cierre de sesión 2


3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.

4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.

5 Indique si desea activar o no el modo FIPS.

En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que iniciesesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee seproduzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo.Para obtener más información, consulte Información sobre el modo FIPS.

6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios paraacceder a las actualizaciones de reglas.

7 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos conesta cuenta; después, haga clic en Siguiente.

c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono

Mostrar Ayuda de cada página para obtener instrucciones.

8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o alas funciones nuevas disponibles en esta versión de ESM.

9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:

• Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema,situada en la esquina superior derecha de la consola.

• Si hay alguna página abierta, cierre el navegador.

Véase también Acerca del modo FIPS en la página 20

Personalización de la página de inicio de sesiónEs posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo laspolíticas de seguridad de la empresa o su logotipo.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada.

2 Realice cualquiera de las acciones siguientes:

2 Primeros pasosPersonalización de la página de inicio de sesión


Para... Haga esto...

Agregar textopersonalizado

1 Haga clic en el cuadro de texto situado en la parte superior de la página.

2 Escriba el texto que desee agregar a la página Inicio de sesión.

3 Seleccione Incluir texto en pantalla de inicio de sesión.

Agregar una imagenpersonalizada

1 Haga clic en Seleccionar imagen.

2 Cargue la imagen que desee utilizar.

3 Seleccione Incluir imagen en pantalla de inicio de sesión.

Si sigue apareciendo el logotipo anterior en la página Inicio de sesión trascargar un nuevo logotipo personalizado, borre la caché del navegador.

Eliminar una imagenpersonalizada

Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado.

Actualización del software de ESMEs posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través deun ingeniero de seguridad y, después, cargarlas en el ESM.

Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM.

2 En la ficha Mantenimiento, haga clic en Actualizar ESM.

3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.

El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala laactualización.

Véase también Actualización de un ESM principal o redundante en la página 222

Obtención y adición de credenciales de actualización de reglasESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato demantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes.

Primeros pasosActualización del software de ESM 2



1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico [email protected] con la siguiente información:

• Número de concesión de McAfee

• Nombre de cuenta

• Dirección

• Nombre de contacto

• Dirección de correo electrónico de contacto

2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Informacióndel sistema | Actualización de reglas en el árbol de navegación del sistema.

3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña.

4 Haga clic en Validar.

Comprobación de la existencia de actualizaciones de reglasEl equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráficode red actualiza constantemente estas firmas, las cuales están disponibles para su descarga medianteel servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de formaautomática o manual.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar laopción Información del sistema.

2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado.

Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas.

3 Si la licencia es válida, haga clic en Actualización de reglas.

4 Seleccione una de estas opciones:

• Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existenciade actualizaciones automáticamente con la frecuencia seleccionada.

• Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.

• Actualización manual, para actualizar las reglas desde un archivo local.

5 Haga clic en Aceptar.

Véase también Obtención y adición de credenciales de actualización de reglas en la página 29

2 Primeros pasosComprobación de la existencia de actualizaciones de reglas


Cambio de idioma de los registros de eventosCuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrareventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puedemodificar esta configuración de idioma.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.

2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic enAceptar.

Conexión de los dispositivosConecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, lasupervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y lageneración de informes de conformidad en tiempo real.

A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Porejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según suzona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas.Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin decontinuar con su organización.

Contenido Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas Administración de un grupo en un tipo de pantalla personalizada Eliminación de un grupo o dispositivo Eliminación de dispositivos duplicados en el árbol de navegación del sistema

Adición de dispositivos a la consola de ESMTras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos (véase la Guía de instalación de McAfee EnterpriseSecurity Manager).

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic enSiguiente.

Primeros pasosCambio de idioma de los registros de eventos 2


5 Proporcione la información solicitada.

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciarsesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar parala comunicación con la base de datos.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después,indique un número de puerto SSH de destino válido para su uso con la dirección IP.

6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y,después, haga clic en Siguiente.

7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELMo Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.

Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación,se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de laversión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESMde la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo,tales como el privilegio Configurar dispositivos virtuales.

8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

Selección de un tipo de pantallaSeleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación delsistema.

Antes de empezarPara seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véaseAdministración de tipos de pantallas personalizadas).

Procedimiento1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de

visualización.

2 Seleccione uno de los tipos de pantalla.

La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tiposeleccionado para la sesión de trabajo en curso.

Administración de tipos de pantallas personalizadasExiste la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación delsistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.

2 Primeros pasosConexión de los dispositivos



1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo depantalla.

2 Siga uno de estos procedimientos:


Agregar un tipo de pantallapersonalizada

1 Haga clic en Agregar pantalla.

2 Rellene los campos y haga clic en Aceptar.

Editar un tipo de pantallapersonalizada

1 Haga clic en el icono Editar situado junto al tipo de pantallaque desee editar.

2 Realice cambios en la configuración y después haga clic enAceptar.

Eliminar un tipo de pantallapersonalizada Haga clic en el icono Eliminar situado junto al tipo de pantalla que

desee eliminar.

Administración de un grupo en un tipo de pantallapersonalizadaEs posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos enagrupaciones lógicas.

Antes de empezarAgregue un tipo de pantalla personalizada (véase Administración de tipos de pantallaspersonalizadas).


1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.

2 Seleccione la pantalla personalizada y haga una de estas cosas:

Primeros pasosConexión de los dispositivos 2



Agregar unnuevo grupo

1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el

icono Agregar grupo de la barra de herramientas de acciones.


3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo.

Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo dedispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol desistemas.

Editar ungrupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la

página Propiedades de grupo.

Eliminar ungrupo

Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y losdispositivos contenidos en él se eliminarán de la pantalla personalizada. Losdispositivos no se eliminarán del sistema.

Véase también Administración de tipos de pantallas personalizadas en la página 32

Eliminación de un grupo o dispositivoCuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbolde navegación del sistema.


1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y hagaclic en el icono Eliminar de la barra de acciones.

2 Cuando se le solicite confirmación, haga clic en Aceptar.

Eliminación de dispositivos duplicados en el árbol denavegación del sistemaLos nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuandose arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen gruposconfigurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones.



2 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.

3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar.

Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.

2 Primeros pasosConexión de los dispositivos


Preferencias de la consolaCabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del colordel tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuraciónpredeterminadas. Las credenciales de McAfee

®

ePolicy Orchestrator®

(McAfee ePO™

) se puedenconfigurar también.

La consola de ESMLa consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, asícomo acceso rápido a notificaciones de alarmas y casos asignados.

1 Barra de navegación del sistema para las funciones de configuración generales.

2 Iconos para acceder a páginas de uso frecuente.

3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurarcada dispositivo.

4 Panel de navegación del sistema para ver los dispositivos del sistema.

5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.

6 Panel de vistas para los datos de eventos, flujos y registro.

7 Barra de herramientas de vistas para crear, editar y administrar las vistas.

8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.

Primeros pasosPreferencias de la consola 2


Uso del tema de color de la consolaEs posible personalizar la consola de ESM mediante la selección de un tema de color existente o eldiseño de uno propio. También es posible editar o eliminar temas de color personalizados.


1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.

2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado.

3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic enAceptar.

Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione untema.

4 Haga clic en Aceptar para guardar la configuración.

Selección de las opciones de visualización de la consolaEstablezca la configuración predeterminada para las vistas de la consola de ESM.

En esta página, puede establecer el sistema para que haga lo siguiente:

• actualizar los datos automáticamente en una vista abierta;

• cambiar las vistas que se abren de forma predeterminada al iniciar el sistema;

• cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos.



2 En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar.

Establecimiento del valor de tiempo de espera de la consolaLa sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definirla cantidad de tiempo de inactividad necesaria para que se cierre la sesión.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión.

2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrirde inactividad y, después, haga clic en Aceptar.

Si selecciona cero (0), la consola permanecerá abierta indefinidamente.

Selección de la configuración de usuarioLa página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Sepuede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y elidioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la fichaAlarmas y la ficha Casos.

2 Primeros pasosPreferencias de la consola




2 Verifique que esté seleccionada la opción Configuración de usuario.

3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar.

La consola cambiará de aspecto en función de la configuración establecida.

Configuración de credenciales para McAfee ePOEs posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales deusuario.

Antes de empezarEl dispositivo McAfee ePO no debe estar configurado para requerir la autenticación deusuario global (véase Configuración de la autenticación de usuarios global).


1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccioneCredenciales de ePO.

2 Haga clic en el dispositivo y, después, en Editar.

Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para laautenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo(véase Cambio de la conexión con ESM).

3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar.

Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseñaagregados.

Primeros pasosPreferencias de la consola 2


2 Primeros pasosPreferencias de la consola


3 Configuración del ESM

El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica convarios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuentadetenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar elciclo de vida de administración de la seguridad de la organización.

Contenido Administración de dispositivos Configuración de dispositivos Configuración de los servicios auxiliares Administración de la base de datos Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema ESM redundante Administración de ESM Uso de una lista negra global Qué es el enriquecimiento de datos

Administración de dispositivosEl panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posiblellevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se

3


pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemasexistentes.

Tabla 3-1 Definiciones de las funciones

Esta función... Permite...

1 Barra de herramientas deacciones

Seleccionar una acción para realizarla en los dispositivos del árbol denavegación del sistema.

Icono de propiedades Configurar las opciones del sistema o el dispositivo seleccionados en elárbol de navegación del sistema.

Icono de adición de

dispositivos

Agregar dispositivos al árbol de navegación del sistema.

Marcas de estado Ver alertas de estado de dispositivo.

Administración de varios

dispositivos

Iniciar, detener, reiniciar y actualizar varios dispositivos de formaindividual.

Obtener eventos y flujos Recuperar eventos y flujos de los dispositivos seleccionados.

Eliminar un dispositivo Eliminar el dispositivo seleccionado.

Actualizar Actualizar los datos de todos los dispositivos.

3 Configuración del ESMAdministración de dispositivos


Tabla 3-1 Definiciones de las funciones (continuación)

Esta función... Permite...

2 Tipo de pantalla Seleccionar la forma en que se desea organizar los dispositivos delárbol. El ESM incluye tres tipos predefinidos.• Pantalla física: se muestran los dispositivos de forma jerárquica. El

primer nivel corresponde a nodos del sistema (pantalla física, ESMlocal y dispositivo de base del ESM local). El segundo nivelcorresponde a los dispositivos individuales, mientras que el resto deniveles son los orígenes que se agregan a los dispositivos (origen dedatos, dispositivo virtual, etc.). Los dispositivos de base se agreganautomáticamente bajo los nodos de ESM local, origen de datos,dispositivo virtual y servidor de base de datos. Cuentan con un iconoatenuado y se muestran entre paréntesis.

• Pantalla de tipos de dispositivo: los dispositivos se agrupan portipo de dispositivo (Nitro IPS, ADM, DEM, etc.).

• Pantalla de zonas: los dispositivos se organizan según la zona, lacual se define mediante la función Administración de zonas.

También es posible agregar tipos de pantallas personalizados (véaseOrganización de los dispositivos).

3 Búsqueda rápida Llevar a cabo una búsqueda rápida de un dispositivo en el árbol denavegación del sistema.

4 Árbol de navegación delsistema

Ver los dispositivos del sistema.

Véase también Organización de los dispositivos en la página 45Informes de estado de mantenimiento de los dispositivos en la página 63Administración de varios dispositivos en la página 61

Visualización de estadísticas de dispositivoEs posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.

Antes de empezarVerifique que dispone del permiso Administración de dispositivo.


1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono

Propiedades .

2 Haga clic en la opción Administración del dispositivo y, después, en Ver estadísticas.

Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diezminutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo demétrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada.Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métricacorrespondiente.

Configuración del ESMAdministración de dispositivos 3


Adición de dispositivos a la consola de ESMTras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos (véase la Guía de instalación de McAfee EnterpriseSecurity Manager).

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic enSiguiente.

5 Proporcione la información solicitada.

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciarsesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar parala comunicación con la base de datos.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después,indique un número de puerto SSH de destino válido para su uso con la dirección IP.

6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y,después, haga clic en Siguiente.

7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELMo Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.

Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación,se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de laversión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESMde la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo,tales como el privilegio Configurar dispositivos virtuales.

8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

Acerca de las claves de dispositivoPara que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clavede comunicación creada al aplicar la clave a dicho dispositivo.

Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña.Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso deque se produzca una emergencia, o bien para exportar una clave a otro dispositivo.

Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las clavesque se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se estácomunicando correctamente con ese dispositivo.



Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves dedispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles seda cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada elmartes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave deldispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráficocodificado con la clave del martes. Esta clave se tiene que importar para que sea posible lacomunicación con el dispositivo.

Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usapara reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin dedisponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a unsegundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo laadministración de directivas, el registro y la administración de ELM, y la configuración de origen dedatos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración deldispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivosconectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otroESM.

Aplicación de la clave a un dispositivoTras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación.La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentesexternas de comunicación.


1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades

.

2 Haga clic en Administración de claves | Aplicar clave a dispositivo.

Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá elAsistente para aplicar clave a dispositivo.

3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.

4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si no va a realizar laexportación en este momento.

Exportación de una claveTras aplicar la clave a un dispositivo, expórtela a un archivo.

Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo conclave aplicada en el modo FIPS para conocer el proceso correcto.



.

2 Haga clic en Administración de claves | Exportar clave.



3 Defina la configuración en la página Exportar clave y haga clic en Aceptar.

El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla.

4 Haga clic en Sí y seleccione dónde quiere guardar el archivo.

Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configuradacomo No caduca nunca que incluya todos los privilegios.

Importación de una claveEs posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarlaen otro ESM o consola heredada.

Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de laversión 8.5 o posterior.



.

2 Haga clic en Administración de claves | Importar clave.

3 Ubique y seleccione el archivo de clave guardado.

4 Haga clic en Cargar y escriba la contraseña establecida al exportar la clave.

Una vez que la clave se importa correctamente, aparece una página con el estado.

Administración de claves SSHLos dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los quenecesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si seelimina la clave.



.

2 Haga clic en Administración de claves y, después, en Administrar claves SSH.

La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica eldispositivo.

3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de lossistemas de la lista.

4 Confirme la eliminación y haga clic en Aceptar.



Actualización del software en un dispositivoSi el software del dispositivo está obsoleto, cargue una nueva versión del software mediante unarchivo en el ESM o su equipo local.

Antes de empezarSi hace más de 30 días que dispone del sistema, deberá obtener e instalar las credencialespermanentes a fin de acceder a las actualizaciones (véase Obtención y adición decredenciales de actualización de reglas).

Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESMde esta forma. Póngase en contacto con el Soporte de McAfee para obtener unaactualización certificada.



.

2 En el dispositivo, haga clic en Administración | Actualizar dispositivo.

3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local.

El dispositivo se reiniciará con la versión de software actualizada.

Organización de los dispositivosEl árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puedeseleccionar la forma de visualizarlos mediante la función de tipo de pantalla.

A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de maneralógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en variasubicaciones, podría ser mejor mostrar los dispositivos según su zona.

Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro decada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con laorganización de los dispositivos.

Configuración del control de tráfico de la red en un dispositivo Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS,ADM y DEM.

Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar lacantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb),megabits (Mb) y gigabits (Gb) por segundo.

Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.




1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el

icono Propiedades .

2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último,haga clic en la ficha Tráfico.

La tabla presenta una lista de los controles existentes.

3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y lamáscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.

Si establece la máscara como cero (0), se controlan todos los datos enviados.

4 Haga clic en Aplicar.

Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.

Configuración del dispositivoLa página Configuración de cada dispositivo proporciona opciones que permiten llevar a cabo laconfiguración del dispositivo, como en el caso de la interfaz de red, las notificaciones SNMP, laconfiguración de NTP y el registro de ELM.

Configuración de interfaces de redLa configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estasopciones para cada dispositivo.



.

2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces.

3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar.

Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicaciónde los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.

Administración de interfaces de redLa comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de lasrutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una direcciónIP.

Interfaz de administración

Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con unadirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivorequieren el uso de una interfaz de administración:

• Control completo de las tarjetas de red de omisión

• Uso de la sincronización de hora NTP



• Syslog generado por dispositivo

• Notificaciones SNMP

Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta unadirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir lacomunicación hacia otra dirección IP o nombre de host de destino.

No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red públicay su seguridad podría ponerse en peligro.

En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cadaruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en eldispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo.

NIC de omisión

Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. Encircunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundoscuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale deél. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterarestas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivopasa al modo de omisión y cuando sale de él.

Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfasten el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar lostiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS comoen el otro dispositivo) con la misma configuración o podría producirse un problema de negociación enel modo de omisión (véase Configuración de NIC de omisión).

Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo3).

Adición de rutas estáticasUna ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red nodisponibles a través del gateway predeterminado.



.

2 Haga clic en Configuración | Interfaces.

3 Junto a la tabla Rutas estáticas, haga clic en Agregar.

4 Introduzca la información y, a continuación, haga clic en Aceptar.

NIC de omisión

En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundoscuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale deél. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterarestas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivopasa al modo de omisión y cuando sale de él.



Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfasten el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar lostiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS comoen el otro dispositivo) con la misma configuración o podría producirse un problema de negociación enel modo de omisión.


Configuración de NIC de omisiónEn los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pasetodo el tráfico.

Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC deomisión, pero no cambiar la configuración.



.


3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parteinferior.

4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración.


Adición de VLAN y aliasEs posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los aliasson pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de undispositivo de red con más de una dirección IP.


1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades

y, después, en la opción Configuración correspondiente al dispositivo.

2 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.

3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.

4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.

5 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.

Configuración de notificaciones SNMPPara configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturasse deben enviar, así como sus destinos.

Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendránsu origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesarioestablecer uno para la dirección IP compartida.





.

2 Haga clic en Configuración | SNMP.

3 Defina la configuración y haga clic en Aceptar.

Configuración de NTP en un dispositivoCabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP(Network Time Protocol).



.

2 Haga clic en Configuración | NTP.

3 Rellene la información solicitada y, después, haga clic en Aceptar.

Procedimientos• Visualización del estado de los servidores NTP en la página 184

Es posible ver el estado de todos los servidores NTP del ESM.

Sincronización del dispositivo con ESMSi tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar laconfiguración. Si no dispone de una copia de seguridad de la base de datos actualizada, tambiéndeberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base dedatos con ESM para que puedan reanudar la extracción de eventos.



.

2 Haga clic en Configuración | Sincronizar dispositivo.

3 Una vez completada la sincronización, haga clic en Aceptar.

Configuración de la comunicación con ELMSi pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y SincronizarELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizarel ELM con el dispositivo.





.

2 Haga clic en la opción Configuración y realice una de las acciones siguientes:

Haga clic en... Para...

IP de ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberáhacer esto si cambia la dirección IP del ELM o la interfaz de administración deELM a través de la cual este dispositivo se comunica con el ELM.

Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usaresta función, la comunicación SSH entre ambos dispositivos se restablece pormedio de la clave del nuevo dispositivo y la configuración anterior.

Establecimiento del grupo de registro predeterminadoSi tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos deeventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registropredeterminado.

El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación.



.

2 Haga clic en Configuración | Registro.

3 Realice las selecciones adecuadas en las páginas que se abrirán.

Se le informará cuando se active el registro de datos de este dispositivo en el ELM.

Información y configuración generales de los dispositivosCada dispositivo cuenta con una página que proporciona información general, como por ejemplo elnúmero de serie y la versión del software. Esta página también permite definir la configuración deldispositivo, como seleccionar la zona y sincronizar el reloj.

Visualización de registros de mensajes y estadísticas del dispositivoEs posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento deldispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.





.

2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones:

Opción Descripción

Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo elarchivo para descargar los datos a un archivo.

Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfazEthernet, ifconfig y el filtro iptables.

Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Leresultará útil si colabora con el Soporte de McAfee para solucionar un problemadel sistema.

Actualización del software en un dispositivoSi el software del dispositivo está obsoleto, cargue una nueva versión del software mediante unarchivo en el ESM o su equipo local.

Antes de empezarSi hace más de 30 días que dispone del sistema, deberá obtener e instalar las credencialespermanentes a fin de acceder a las actualizaciones (véase Obtención y adición decredenciales de actualización de reglas).

Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESMde esta forma. Póngase en contacto con el Soporte de McAfee para obtener unaactualización certificada.



.

2 En el dispositivo, haga clic en Administración | Actualizar dispositivo.

3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local.

El dispositivo se reiniciará con la versión de software actualizada.

Introducción de comandos Linux en un dispositivoUtilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función estádestinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte deMcAfee en caso de emergencia.

Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.





.

2 En el dispositivo, haga clic en Administración | Terminal.

3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.

4 Introduzca los comandos Linux, exporte el archivo o transfiera archivos.

5 Haga clic en Cerrar.

Otorgar acceso al sistemaCuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingenierode soporte técnico para que vea su sistema.



.

2 En el dispositivo, haga clic en Administración | Conectar.

El botón cambiará a Desconectar y se le proporcionará la dirección IP.

3 Informe de la dirección IP al ingeniero de soporte técnico.

Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña.

4 Haga clic en Desconectar para finalizar la conexión.

Supervisión del tráficoSi necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado deTCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo.



.

2 En el dispositivo, haga clic en Administración.

3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar lainstancia.

Visualización de información de dispositivoEs posible ver información general sobre un dispositivo. Abra la página Información del dispositivo paraver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc.





.

2 Vea la información disponible y, a continuación, haga clic en Aceptar.

Inicio, detención, reinicio o actualización de un dispositivoEs posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información.



.

2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después,haga clic en Iniciar, Detener, Reiniciar o Actualizar.

Cambio del nombre del dispositivoCuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dichoárbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar.



.

2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y ladescripción, o bien visualice el número de ID de dispositivo.


Adición de vínculos de URLSi desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculocorrespondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posibleacceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello,

haga clic en el icono Ejecutar URL de dispositivo , situado en la parte inferior de los componentes de lavista.



.

2 Haga clic en Nombre y descripción y escriba la URL.

3 Haga clic en Aceptar para guardar los cambios.



Cambio de la conexión con el ESMCuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe laposibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar elestado de la conexión.

El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que elESM se comunica con el dispositivo.



.

2 Haga clic en Conexión y realice los cambios.


Eventos, flujos y registrosLos dispositivos IPS, ADM y Event Receiver recopilan eventos, flujos y registros; los dispositivos ACE yDEM recopilan eventos y registros; y, por último, los dispositivos ELM recopilan solo registros.Configure cada dispositivo para que los busque de forma automática o manual. Además, es posibleagregar los eventos o los flujos generados por un dispositivo.

Configuración de descargas de eventos, flujos y registrosPuede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar eldispositivo de forma que lo haga automáticamente.



.

2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.

3 Configure las descargas y haga clic en Aplicar.

Definición de la configuración de geolocalización y ASNLa geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. Elnúmero de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y queidentifica de forma exclusiva cada una de las redes de Internet.

Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posiblerecopilar datos de geolocalización de origen y destino para los eventos.



.

2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.

3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.



Es posible filtrar los datos de eventos mediante esta información.

Agregación de eventos o flujosUn evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasarmiles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento oflujo con un recuento que indica el número de veces que se ha producido.

El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo comoen el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo alas reglas para las cuales se haya activado la agregación en el Editor de directivas.

Dirección IP de destino origen y destino

Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como"::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:

• ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).

• ::0000:10.0.12.7 sería 10.0.12.7.

Eventos y flujos agregados

Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar laduración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en losprimeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora dela primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la últimainstancia del evento) y el campo Total contiene el valor 30.

Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, enel caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglasindividuales (véase Administración de las excepciones de agregación de eventos).

La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplazala configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recuperaregistros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si seconfigura para la recuperación automática, el dispositivo solo comprime un registro hasta la primeravez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime unmáximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Siel tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia lacompresión en ese registro nuevo.

Cambio de la configuración de agregación de eventos o flujosLa agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Esposible cambiar la configuración según proceda. El rendimiento de cada opción de configuración sedescribe en la página Agregación.

Antes de empezarEs necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo oAdministrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.

La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientrasque la agregación de flujos lo está en los receptores y los dispositivos IPS.





.

2 Haga clic en Agregación de eventos o Agregación de flujos.


Administración de las excepciones de agregación de eventosEs posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. Tambiéncabe la posibilidad de editar o eliminar una excepción.



.

2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.

3 Realice los cambios necesarios y haga clic en Cerrar.

Adición de excepciones a la configuración de agregación de eventosLa configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posiblecrear expresiones para reglas individuales si la configuración general no es aplicable a los eventosgenerados por una regla.


1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar laexcepción.

2Haga clic en el icono Menú y seleccione Modificar configuración de agregación.

3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo3.

Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará parareflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuraciónde agregación de eventos definida para el dispositivo.

4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.

5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.

6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.

La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.



Dispositivos virtualesEs posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin desupervisar el tráfico, comparar patrones de tráfico y generar informes.

Finalidad y ventajas

Los dispositivos virtuales se pueden usar para diversos propósitos:

• Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico webcon las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos contráfico web y configurar una directiva que le permita activar o desactivar distintas reglas.

• Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.

• Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posibledisponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente deacuerdo con directivas distintas.

Número máximo de dispositivos por modelo

El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo:

Máximo de dispositivo Modelo

2 APM-1225NTP-1225

APM-1250

NTP-1250

4 APM-2230NTP-2230

NTP-2600

APM-3450

NTP-3450

8 NTP-2250

NTP-4245

NTP-5400

0 APM-VM

NTP-VM

Utilización de las reglas de selección

Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará undispositivo virtual.

Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtradodefinidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de unaúnica regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección encuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPSlo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de losdispositivos virtuales.



Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:

• Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquetede la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercerdispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercerdispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtualsituado antes en la lista.

• Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexiónestablecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivovirtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válidocon el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivovirtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base queparece que deberían haber ido a un dispositivo virtual.

El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquetecoincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para suprocesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto esel filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demásfiltros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar laeficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.

Orden de los dispositivos virtuales

El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes quellegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivovirtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega alas reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas deselección del primero.

• Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades deADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto.

• Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales(Propiedades de IPS | Dispositivos virtuales).

Dispositivos ADM virtuales

Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtrosde interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtualADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista defiltros disponibles hasta que se elimina de ese dispositivo.

Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexiónestablecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual quebusca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto deorigen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca eltráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberíanhaber ido a un dispositivo ADM virtual.

Administración de reglas de selecciónLas reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivovirtual. Es posible agregar, editar y eliminar reglas de selección.

El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquetecoincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para suprocesamiento.




1Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades .

2 Haga clic en Dispositivos virtuales y, después, en Agregar.

Se abrirá la ventana Agregar dispositivo virtual.

3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden.

Adición de un dispositivo virtualEs posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas deselección que determinan qué paquetes procesará cada dispositivo.

Antes de empezarAsegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado(véase Acerca de los dispositivos virtuales).


1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono

Propiedades .

2 Haga clic en Dispositivos virtuales | Agregar.


4 Haga clic en Escribir para agregar la configuración al dispositivo.

Administración de tipos de pantallas personalizadasExiste la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación delsistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.


1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo depantalla.





Agregar un tipo de pantallapersonalizada

1 Haga clic en Agregar pantalla.


Editar un tipo de pantallapersonalizada

1 Haga clic en el icono Editar situado junto al tipo de pantallaque desee editar.

2 Realice cambios en la configuración y después haga clic enAceptar.

Eliminar un tipo de pantallapersonalizada Haga clic en el icono Eliminar situado junto al tipo de pantalla que

desee eliminar.

Selección de un tipo de pantallaSeleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación delsistema.

Antes de empezarPara seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véaseAdministración de tipos de pantallas personalizadas).

Procedimiento1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de

visualización.

2 Seleccione uno de los tipos de pantalla.

La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tiposeleccionado para la sesión de trabajo en curso.

Administración de un grupo en un tipo de pantalla personalizadaEs posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos enagrupaciones lógicas.

Antes de empezarAgregue un tipo de pantalla personalizada (véase Administración de tipos de pantallaspersonalizadas).



2 Seleccione la pantalla personalizada y haga una de estas cosas:




Agregar unnuevo grupo

1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el

icono Agregar grupo de la barra de herramientas de acciones.


3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo.

Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo dedispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol desistemas.

Editar ungrupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la

página Propiedades de grupo.

Eliminar ungrupo

Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y losdispositivos contenidos en él se eliminarán de la pantalla personalizada. Losdispositivos no se eliminarán del sistema.

Véase también Administración de tipos de pantallas personalizadas en la página 32

Eliminación de dispositivos duplicados en el árbol de navegación delsistemaLos nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuandose arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen gruposconfigurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones.



2 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.

3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar.

Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.

Administración de varios dispositivosLa opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez,así como actualizar el software en ellos.


1 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar.

2Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones.

3 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; acontinuación, haga clic en Iniciar.



Administración de vínculos de URL para todos los dispositivosEs posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos enuna dirección URL.

Antes de empezarConfigure el sitio de la dirección URL para el dispositivo.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enConfiguración personalizada | Vínculos de dispositivo.

2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL.

El campo de URL tiene un límite de 512 caracteres.


Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior de las vistasAnálisis de eventos y Análisis de flujos de cada dispositivo.

Visualización de informes de resumen de dispositivosLos informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, asícomo la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar conformato de valores separados por comas (CSV).


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enInformación del sistema | Ver informes.

2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento.


Visualización de un registro de sistema o dispositivoLos registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos.Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y elúltimo evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registrodel sistema o Registro de dispositivo.


1 Visualización de un resumen de datos de eventos:

• Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema.

• Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo.

2 A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver.

Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante elintervalo de tiempo especificado.



Informes de estado de mantenimiento de los dispositivosCuando hay disponible un informe de estado, aparecen marcas de estado de color blanco

(informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos desistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la páginaAlertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquierproblema.

Una marcaen este tipode nodo...

Abre...

Sistema ogrupo

La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas deestado correspondientes a los dispositivos asociados con el sistema o el grupo. Puedemostrar las siguientes alertas de estado:• Partición eliminada: una tabla de base de datos que contiene los datos de eventos,

flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a finde agregar espacio para los registros nuevos. Los datos de eventos, flujos y registrose pueden exportar para evitar su pérdida permanente.

• Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Estopodría incluir el disco duro del ESM, el ESM redundante o el punto de montajeremoto.

• Crítico: el dispositivo no funciona bien y se debe arreglar.

• Advertencia: algo no funciona en el dispositivo como debería.

• Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado.

• Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor debase de datos del ESM no está sincronizada con el dispositivo.

• Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo quese ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo losantiguos.

• Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijadocomo umbral de inactividad.

• Desconocido: el ESM no ha podido conectar con el dispositivo.

Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrarmarcando las casillas de verificación situadas junto a los indicativos y haciendo clic enBorrar selección o Borrar todo.

Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a lasubicaciones donde se deben resolver los problemas. Podría incluir los siguientesbotones:• Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo

muestran un resumen de todas las acciones que han tenido lugar en el sistema o eldispositivo.

• Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores debase de datos: indica los dispositivos de este tipo que hay en el sistema, lo cualpermite comprobar la existencia de problemas.

• Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos losdispositivos. Este indicador señala que el dispositivo no ha generado ningún eventoen el intervalo de tiempo especificado.

Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertenciao crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo.



Estado Descripción e instrucciones

Modo de omisión La interfaz de red (NIC) está en el modo de omisión. Entre las causasposibles están el fallo de un proceso de sistema crítico, elestablecimiento manual del dispositivo en el modo de omisión o unfallo de otro tipo. Si desea sacar el dispositivo del modo de omisión,acceda en el dispositivo a Propiedades | Configuración | Interfaces.

No se está ejecutando lainspección profunda depaquetes (DPI)

Se ha producido un fallo de inspección profunda de paquetes (DPI).Podría recuperarse sin necesidad de intervención. Si no es así, reinicieel dispositivo.

El programa de alerta defirewall (ngulogd) no se estáejecutando

Se ha producido un fallo de funcionamiento del agregador de alertasde firewall (FAA). Podría recuperarse sin necesidad de intervención. Sino es así, reinicie el dispositivo.

La base de datos no se estáejecutando

Se ha producido un fallo de funcionamiento en el servidor de McAfeeExtreme Database (EDB). Puede que el problema se resuelvareiniciando el dispositivo, pero cabe la posibilidad de que la base dedatos necesite reconstrucción.

Modo de sobresuscripción Si la red supervisada tiene un tráfico superior al que Nitro IPS puedegestionar, los paquetes de red podrían no inspeccionarse. El monitorde estado genera una alerta que indica que existe sobresuscripción enel dispositivo Nitro IPS. De forma predeterminada, el valor del modode sobresuscripción está configurado para la supresión. Si deseacambiar este valor, acceda a Editor de directivas, haga clic en Variable en elpanel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredarpara la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso ySupresión para esta variable.

El canal de control nofunciona

El proceso que proporciona el canal de comunicación con el ESM hafallado. El problema se podría solucionar reiniciando el dispositivo.

Los programas RDEP oSyslog no se estánejecutando

Si existe un fallo de funcionamiento en el subsistema que gestiona losorígenes de datos de terceros (como Syslog o SNMP), se genera unaalerta crítica. Se genera una alerta de nivel de advertencia si elrecopilador no ha recibido datos del origen de datos de tercero duranteuna cantidad de tiempo concreta. Esto indica que el origen de datospodría no estar funcionando o no estar enviando datos al receptorcomo se esperaba.

El monitor de estado no sepuede comunicar con elprograma controlador deinspección profunda depaquetes (DPI)

El monitor de estado no es capaz de comunicarse con la inspecciónprofunda de paquetes (DPI) para recuperar su estado. Esto podríaindicar que el programa de control no se está ejecutando y que eltráfico de red podría no estar pasando por Nitro IPS. Es posible que elproblema se solucione volviendo a aplicar la directiva.

El registrador del sistema nose está ejecutando

El registrador del sistema no responde. El problema se podríasolucionar con el reinicio del dispositivo.

Queda poco espacio libre enla partición del disco duro

La cantidad de espacio libre es crítica.

Alerta de velocidad deventilador

El ventilador gira muy lentamente o no se mueve en absoluto. Hastaque se pueda reemplazar el ventilador, mantenga el dispositivo en unasala con aire acondicionado a fin de evitar daños.

Alerta de temperatura La temperatura de los componentes críticos supera un cierto umbral.Mantenga el dispositivo en una habitación con aire acondicionado paraevitar daños permanentes. Compruebe si hay algo bloqueando el flujode aire en el dispositivo.

Errores de red Existen errores en la red o un exceso de colisiones en ella. La causapodría ser un dominio con mucha colisión o fallos en los cables de red.

Problema en un punto demontaje remoto

Existe un problema en un punto de montaje remoto.



Estado Descripción e instrucciones

Poco espacio de disco libreen punto de montaje remoto

Queda poco espacio libre en el disco del punto de montaje remoto.

Todos los recopiladores deorigen de datos que no hanrecibido comunicación de unorigen de datos durante almenos diez minutos

El receptor no ha recibido comunicación alguna de un origen de datosdurante un mínimo de diez minutos.

El recopilador de orígenes dedatos no funciona

Existe un fallo de funcionamiento en el subsistema que controla losorígenes de datos de terceros (como Syslog o SNMP). El recopilador noha recibido ningún dato del origen de datos de terceros en unacantidad de tiempo concreta. Puede que el origen de datos no estéfuncionando o no esté enviando datos al receptor como se esperaba.

El monitor de estado nopuede obtener un estadoválido de un subsistema

El monitor de estado no ha podido obtener un estado válido para unsubsistema.

Recuperación de unsubsistema de un estado deadvertencia o crítico

Cuando se inicia y se detiene el monitor de estado, se genera unaalerta informativa. Si el monitor de estado tiene problemas decomunicación con otros subsistemas del dispositivo, también se generauna alerta. Es posible que el registro de eventos proporcione detallessobre las causas de las alertas de advertencia y críticas.

Eliminación de un grupo o dispositivoCuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbolde navegación del sistema.


1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y hagaclic en el icono Eliminar de la barra de acciones.

2 Cuando se le solicite confirmación, haga clic en Aceptar.

Actualización de dispositivosEs posible actualizar manualmente los dispositivos del sistema para que su información coincida con ladel ESM.

•En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos .

Configuración de dispositivosConecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, lasupervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y lageneración de informes de conformidad en tiempo real.

Contenido Los dispositivos y sus funciones Configuración de Event Receiver Configuración de Enterprise Log Manager (ELM) Configuración de Advanced Correlation Engine (ACE) Configuración de Application Data Monitor (ADM)

Configuración del ESMConfiguración de dispositivos 3


Configuración de Database Event Monitor (DEM) Configuración del ESM distribuido (DESM) Configuración de ePolicy Orchestrator Configuración de Nitro Intrusion Prevention System (Nitro IPS) Configuración de McAfee Vulnerability Manager Configuración de McAfee Network Security Manager

Los dispositivos y sus funcionesEl ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno deseguridad, así como interactuar con ellos.

Véase también Configuración de Event Receiver en la página 67Configuración de Enterprise Log Manager (ELM) en la página 123Configuración de Application Data Monitor (ADM) en la página 143Configuración de Database Event Monitor (DEM) en la página 159Configuración de Advanced Correlation Engine (ACE) en la página 140Configuración del ESM distribuido (DESM) en la página 166Configuración de ePolicy Orchestrator en la página 167Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 173

3 Configuración del ESMConfiguración de dispositivos


Configuración de Event ReceiverEvent Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenesde varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS,NetFlow, sFlow, etc.

Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución únicaque se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores,tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos endispositivos Nitro IPS y enrutadores que envían datos al receptor.

Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen comocopia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptorprincipal (A), y los cambios de configuración o de información de directiva se envían a ambosdispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origende datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguiráactuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor Acomo principal.

Visualización de eventos de transmisiónEl Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee

®

NetworkSecurity Manager, el receptor, el origen de datos, el origen de datos secundario o el clienteseleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista.


1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic

en el icono Ver eventos de transmisión en la barra de herramientas de acciones.

2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.

3 Seleccione cualquiera de las acciones disponibles en el visor.


Receptores de disponibilidad altaLos receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que elreceptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla.Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece unúnico receptor.

La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse alas normativas de FIPS, no utilice esta función.

Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro queactúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando elsecundario determina que el principal ha fallado, lo detiene y asume su función.

Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto sedetermina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor dedisponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta.



Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta:

• ERC-1225-HA • ERC-1250-HA

• ERC-2230-HA • ERC-1260-HA

• ERC-2250-HA • ERC-2600-HA

• ERC-4245-HA • ERC-4600-HA

• ERC-4500-HA

Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de losreceptores de disponibilidad alta).

Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direccionesIP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI seconectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan medianteun cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicacióncon el ESM, así como una NIC de origen de datos para recopilar datos.

Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre losiguiente:

• Los receptores se comunican constantemente a través de la NIC de latido y la NIC deadministración dedicadas.

• Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.

• Todos los orígenes de datos utilizan la NIC de origen de datos.

• Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estadointernos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.

• El ESM se comunica con los receptores periódicamente para determinar su estado.

• La información de configuración nueva se envía a los dos receptores, el principal y el secundario.

• El ESM también envía la directiva a los dos receptores.

• Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado.

En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad altaexperimenta problemas.

Fallo del receptor principal

El responsable de determinar un fallo del receptor principal es el receptor secundario. Debedeterminar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce laconmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivoprincipal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y latasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrarcuidadosamente para optimizar la disponibilidad de los datos.

Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro dealimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosyncreconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptorsecundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal.El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos losrecopiladores.



Fallo del receptor secundario

El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a lacomunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptorsecundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración ylatido.

Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundariocomo fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo.

Problema de estado del dispositivo principal

El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una basede datos que no responde, una interfaz de origen de datos que no responde y un número excesivo deerrores de disco.

Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones,pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. Laterminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptorsecundario.

Problema de estado del dispositivo secundario

Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente:

• El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a losprocesos de Corosync y Pacemaker.

• Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y dejade estar disponible en caso de fallo del receptor principal.

• El problema de estado se analiza y se intenta repararlo.

• Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normalmediante el procedimiento Nueva puesta en servicio.

• Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido.

Nueva puesta en servicio

Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo dealimentación, reparación del hardware o reparación de la red), ocurre lo siguiente:

• Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras elinicio. Permanecen en modo secundario hasta que se establecen como principal.

• El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origende datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, eldispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y arecopilar datos.

Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido.



Ampliación de receptor de disponibilidad alta

El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente,empezando por el secundario. Ocurre de la siguiente forma:

1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario.

2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambiode funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora elprincipal y el que no se ha ampliado aún sea el secundario.

3 El archivo de ampliación se aplica al nuevo receptor secundario.

4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante elproceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptoresasuman de nuevo sus funciones originales.

A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte

Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejorcambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración dedispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido.Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configuradoun receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuraciónde receptor principal preferido de nuevo.

Puertos de red de los receptores de disponibilidad altaEstos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta.

Creación de una conexión entre receptores de disponibilidad alta 1U

1 IPMI principal 4 IPMI secundario

2 Admin. 2 5 Latido (Heartbeat)

3 Admin. 1 6 Admin. 3



Creación de una conexión entre receptores de disponibilidad alta 2U

1 IPMI 5 Admin. 4 (eth3)

2 Admin. 2 (eth1) 6 Admin. 5 (eth4)

3 Admin. 1 (eth0) 7 Admin. 6 (eth5)

4 Admin. 3 (eth2)

Configuración de dispositivos receptores de disponibilidad altaDefina la configuración de los dispositivos receptores de disponibilidad alta.

Antes de empezarAgregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a laconsola de ESM). Debe disponer de tres o más NIC.

La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado aadecuarse a las normativas de FIPS, no utilice esta función.




1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad

alta principal y haga clic en el icono Propiedades .

2 Haga clic en Configuración del receptor y, después, en Interfaz.

3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.


Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplicaglobals.conf y sincroniza ambos receptores.

Reinicialización del dispositivo secundarioSi se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después devolver a instalarlo.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta.

2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria.

3 Haga clic en Reinicializar secundario.

El ESM llevará a cabo los pasos necesarios para reinicializar el receptor.

Restablecimiento de dispositivos de disponibilidad altaSi necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antesde configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con losreceptores, en el menú de la pantalla LCD.

• Siga uno de estos procedimientos:




Restablecer unreceptor en laconsola de ESM

1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y,después, haga clic en Configuración del receptor | Interfaz.

2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar.

3 Haga clic en Sí en la página de advertencia y, después, en Cerrar.

Ambos receptores se reiniciarán tras un tiempo de espera de unos cincominutos a fin de devolver las direcciones MAC a sus valores originales.

Restablecer elreceptor principal osecundario en elmenú de la pantallaLCD

1 En el menú LCD del receptor, pulse X.

2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivardisponibilidad alta).

3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary(Desactivar principal) en la pantalla LCD.

4 Para restablecer el receptor principal, pulse la marca de verificación.

5 Para restablecer el receptor secundario, pulse la flecha hacia abajo unavez y, después, la marca de verificación.

Intercambio de funciones de receptores de disponibilidad altaEste proceso de intercambio iniciado por el usuario permite intercambiar las funciones de losreceptores principal y secundario.

Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor paradevolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza lacantidad de datos perdidos.

Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptorde disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrácomunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambosasocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puedetardar desde unos minutos a varios días, en función de la configuración de la red.


1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y

haga clic en el icono Propiedades .

2 Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente:

• El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida yrecopile datos.

• El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin deintercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores.

• El ESM extrae todos los datos de alertas y flujos del receptor principal.

• El ESM marca el receptor secundario como principal y el principal como secundario.



Ampliación de los receptores de disponibilidad altaEl proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente,empezando por el secundario.

Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado dereceptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidadalta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de losdispositivos y producirse un periodo de inactividad.


1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y


2 Amplíe el receptor secundario:

a Haga clic en Administración del receptor y seleccione Secundario.

b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y hagaclic en Aceptar.

El receptor se reiniciará y se actualizará la versión del software.

c En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.

d Seleccione el receptor secundario y haga clic en Aceptar.

3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso deerror.

4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2.

Comprobación del estado de receptores de disponibilidad altaEs posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabouna ampliación.


1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta

principal y haga clic en el icono Propiedades .

2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad altadel dispositivo: online.



3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecuteel comando ha_status en la interfaz de línea de comandos de ambos receptores. La informaciónresultante muestra el estado de este receptor y el estado que este receptor piensa que tiene elotro. Tiene un aspecto similar a este:

OK

hostname=McAfee1

mode=primary

McAfee1=online

McAfee2=online

sharedIP=McAfee1

stonith=McAfee2

corosync=running

hi_bit=no

4 Compruebe lo siguiente en la información anterior:

• La primera línea de la respuesta es OK.

• El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandosmenos el número de modelo del receptor.

• El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de estereceptor; de lo contrario, el modo será secondary.

• Las siguientes dos líneas muestran los nombres de host de los receptores del par dedisponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casoses online.

• La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, quedebería ser running.

• El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o deotro.

Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit.Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contactocon el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción malconfigurada.

5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecuteel comando ifconfig en la interfaz de línea de comandos de ambos.



6 Compruebe lo siguiente en los datos generados:

• Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores.

• El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tienedirección IP en eth1.

Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfeeantes de realizar la ampliación a fin de corregir esta opción mal configurada.

Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direccionesIP, lo que implica que los dispositivos se pueden ampliar.

Sustitución de un receptor con problemasSi un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesariosustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos enla Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cablesconectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz.

2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configuraralta disponibilidad.

3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.

El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta.

Solución de problemas en un receptor fallidoSi un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla laescritura de orígenes de datos, opciones de configuración global, opciones de configuración deagregación, etc., y aparece un error de SSH.

De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un errorcuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no sedespliega. En esta situación, existen las siguientes opciones:

• Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.

• Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos deinactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.

Archivado de datos de receptor sin procesar Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sinprocesar al dispositivo de almacenamiento para su almacenamiento a largo plazo.

Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common InternetFile System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan,en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados alreceptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP,SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cadacinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modode un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de



la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo dealmacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar unode ellos para el archivado de datos.

Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.

Definición de la configuración de archivadoA fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar lasopciones empleadas por el receptor para el archivado.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enConfiguración del receptor | Archivado de datos.

2 Seleccione el tipo de recurso compartido e introduzca la información solicitada.

Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexiónde recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con elrecurso compartido SMB para el establecimiento de una conexión SMB.

3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar.

Visualización de los eventos de origen de los eventos de correlaciónEs posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos.

Antes de empezarYa debe existir un origen de datos de correlación en el ESM (véase Origen de datos decorrelación y Adición de un origen de datos).


1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.

2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos.

3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento decorrelación.

Solo aparecerá el signo más si el evento de correlación tiene eventos de origen.

Los eventos de origen aparecen debajo del evento de correlación.

Visualización de estadísticas de rendimiento del receptorEs posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) ysalida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24horas.

Antes de empezarVerifique que dispone del privilegio Administración de dispositivo.




1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de

propiedades .

2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento.

3 Vea las estadísticas del receptor.

Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica(en las últimas 24 horas) o como advertencia (en la última hora).

4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.

5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o pornúmero de registros.

6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificaciónActualizar automáticamente.

7 Para ordenar los datos, haga clic en el título de columna relevante.

Orígenes de datos de receptorMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de redmediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN),enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar quédatos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenesde datos y definir su configuración de manera que recopilen los datos requeridos.

La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivoreceptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como deimportarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios ycliente.

Adición de un origen de datosEs necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar alreceptor a fin de recopilar datos.


1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de

datos y haga clic en el icono Propiedades .

2 En Propiedades de receptor, haga clic en Orígenes de datos | Agregar.

3 Seleccione el proveedor y el modelo.

Los campos que hay que rellenar dependen de las selecciones realizadas.


El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol denavegación del sistema, debajo del receptor seleccionado.



Procesamiento de un origen de datos mediante una captura SNMPLa funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar decualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturasSNMP.

Las capturas estándar son:

• Error de autenticación • Vínculo inactivo

• Inicio en frío • Vínculo activo e Inicio en caliente

• Pérdida de vecino de EGP

A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como direcciónde conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:

2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.

Si selecciona Captura SNMP, existen tres opciones:

• Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes dedatos SNMP, donde podrá seleccionar el perfil que desee utilizar.

• Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Paracambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione unnuevo perfil.

• Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadrode diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP deorigen de datos.

Administración de orígenes de datosEs posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregarorígenes de datos secundarios y cliente en la página Orígenes de datos.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opcionesdisponibles a fin de administrarlos.

3 Haga clic en Aplicar o en Aceptar.

SIEM CollectorSIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexióncifrada.Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o unagente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema paraque no se pueda usar WMI.

El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro deeventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, talescomo DNS, DHCP e IIS, como tampoco por medio de un agente de terceros.

Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación deMcAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes deMcAfee existentes.



Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otrossistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.

Otras funciones disponibles son:

• Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible conSQL Server y Oracle).

• Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.

• Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc).

Integración de datos de evaluación de vulnerabilidadesLa evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos quese pueden recuperar de diversos proveedores de evaluación de vulnerabilidades.

Estos datos se pueden usar de varias formas.

• Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dichoevento.

• Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistemaoperativo y servicios detectados).

• Crear y manipular la pertenencia a los grupos de activos definidos por el usuario.

• Acceder a información detallada y de resumen sobre los activos de la red.

• Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si sedescubre un activo que ejecuta MySQL.

Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediantevistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son:

• Vistas de panel | Panel de vulnerabilidad de activos

• Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red

• Vistas ejecutivas | Vulner. críticas en activos regulados

Para crear una vista personalizada, véase Adición de una vista personalizada.

Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podríaver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat IntelligenceServices (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen deevaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo).

El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firmade McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure(CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedoresinforman de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq seincluyen en esta versión.

Definición de un perfil de sistema de evaluación de vulnerabilidadesCuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece laopción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesariodefinir antes el perfil.




1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic

en el icono Propiedades .

2 Haga clic en Evaluación de vulnerabilidades | Agregar.

3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM.

4 Haga clic en Usar perfil del sistema.

5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil.

6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil.

Los campos de la página se activan según la versión seleccionada.

7 Rellene la información solicitada y haga clic en Aceptar.

Adición de un origen de evaluación de vulnerabilidadesA fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cadaorigen al sistema, configurar los parámetros de comunicación correspondientes al proveedor deevaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación dedatos y modificar los cálculos de gravedad de eventos.


1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic

en el icono Propiedades .

2 Haga clic en Evaluación de vulnerabilidades.

3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir loscambios realizados en el dispositivo.


Recuperación de datos de evaluación de vulnerabilidadesUna vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existendos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de formaplanificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenesde evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clicen Evaluación de vulnerabilidades.

2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones.




Recuperarinmediatamente

• Haga clic en Recuperar.

El trabajo se ejecutará en segundo plano y se le informará si la recuperación hasido correcta (véase Solución de problemas de recuperación de evaluación devulnerabilidades en caso contrario).

Planificarrecuperación

1 Haga clic en Editar.

2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccionela frecuencia.


4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir loscambios en el dispositivo.


4Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager y seleccione la fichaEvaluación de vulnerabilidades.

Solución de problemas de recuperación de evaluación de vulnerabilidadesCuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirsealgún error. A continuación se enumeran algunas de las razones que producen errores derecuperación.

Este recurso... Provoca...

Nessus, OpenVAS yRapid7 MetasploitPro

• Directorio vacío.

• Error de configuración.

• Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Qualys, FusionVM yRapid7 Nexpose

Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo deNessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar larecuperación de evaluación de vulnerabilidades, no se devuelven datos porquese perciben como datos antiguos. Para evitar esta situación, elimine el archivode Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice unnombre distinto para el archivo que cargue.

Proveedores de evaluación de vulnerabilidades disponiblesEl ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades.

Proveedor de evaluación de vulnerabilidades Versión

Digital Defense Frontline 5.1.1.4

eEye REM (servidor de eventos de REM) 3.7.9.1721



Proveedor de evaluación de vulnerabilidades Versión

eEye Retina

El origen de evaluación de vulnerabilidades eEye Retina essimilar al origen de datos Nessus. Puede elegir entre usararchivos scp, ftp, nfs o cifs para obtener los archivos .rtd.Es necesario copiar manualmente los archivos .rtd en unrecurso compartido scp, ftp o nfs antes de extraerlos. Losarchivos .rtd suelen estar ubicados en el directorio Scansde Retina.

5.13.0, auditorías: 2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Compatible con PatchLink SecurityManagement Console 6.4.5 o posterior

nCircle 6.8.1.6

Nessus Compatible con Tenable Nessusversiones 3.2.1.1 y 4.2, así como losformatos de archivo NBE, .nessus(XMLv2) y .nessus (XMLv1); también elformato XML de OpenNessus 3.2.1

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose

Rapid7 Metasploit Pro

Se puede reducir la gravedad de un exploit de Metasploitque empieza por el nombre Nexpose mediante la adiciónde un origen de evaluación de vulnerabilidades Rapid7 almismo receptor. Si no se puede deducir, la gravedadpredeterminada es 100.

4.1.4 Update 1, formato de archivoXML

Saint

Creación automática de orígenes de datosEs posible configurar el receptor para la creación automática de orígenes de datos mediante las cincoreglas estándar incluidas en el receptor o las reglas que se creen.

Antes de empezarAsegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogoEventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el

icono Obtener eventos y flujos de la barra de herramientas de acciones a fin de extraereventos, flujos o ambas cosas.




1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

2 En la ventana Aprendizaje automático, haga clic en Configurar.

3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activarcreación automática para orígenes de datos y, después, seleccione las reglas de adición automática quedesee que emplee el receptor para crear los orígenes de datos de forma automática.

4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automáticoexistentes y, después, haga clic en Cerrar.

Adición de nuevas reglas de creación automáticaEs posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes dedatos de forma automática.


1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar.

2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir laregla y haga clic en Aceptar.

La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor dereglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuandolos datos de aprendizaje automático cumplan los criterios definidos en la regla.

Establecimiento del formato de fecha para los orígenes de datosSeleccione el formato de las fechas incluidas en los orígenes de datos.


1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de

datos .

2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día).

Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan elformato de fecha del origen de datos principal.

• Mes antes del día: el mes aparece antes que el día (04/23/2014).

• Día antes del mes: el día aparece antes que el mes (23/04/2014).




Orígenes de datos no sincronizadosComo resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder lasincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece unamarca roja junto al receptor en el árbol de navegación del sistema.

Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puedeadministrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véaseAdministración de orígenes de datos no sincronizados).

Los eventos no sincronizados pueden ser eventos antiguos o futuros.

Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.

1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración deusuario).

2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de unorigen de datos).

3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado.

4 Ha configurado el sistema de esa forma a propósito.

5 El sistema no está conectado a Internet.

6 El evento está desincronizado al llegar al receptor.

Véase también Adición de un origen de datos en la página 78Administración de orígenes de datos no sincronizados en la página 85Selección de la configuración de usuario en la página 36

Administración de orígenes de datos no sincronizadosConfigure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma quepueda ver una lista de orígenes de datos, editar su configuración y exportar la lista.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conprivilegios de administración de alarmas.

Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasadoso futuros, lo cual puede provocar la aparición de una marca roja en el receptor.




1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono

Propiedades .

2 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generadopor un origen de datos que no está sincronizado con el ESM.

a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic enla ficha Condición.

b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debecomprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debeexistir para que se active la alarma.

c Rellene la información en el resto de fichas.

3 Vea, edite o exporte los orígenes de datos que no están sincronizados.

a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono dePropiedades.

b Haga clic en Administración del receptor y seleccione Diferencia de tiempo.

Adición de un origen de datos secundarioEs posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes dedatos.



2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar unosecundario.

3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen dedatos principal.


El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal enla tabla y en el árbol de navegación del sistema.



Orígenes de datos clienteEs posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición deorígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF,MEF, NPP y WMI, es posible agregar hasta 65 534 clientes de origen de datos.

Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datosWMI y se ha seleccionado Usar RPC, esta opción no estará disponible.

Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar elnúmero de puerto para diferenciarlos. Esto permite separar los datos utilizando un puertodistinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayanllegado.

Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de unorigen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principalu otro puerto.

Los orígenes de datos cliente tienen las características siguientes:

• No disponen de derechos de VIPS, directiva ni agente.

• No aparecen en la tabla Orígenes de datos.

• Aparecen en el árbol de navegación del sistema.

• Comparten la misma directiva y los mismos derechos que el origen de datos principal.

• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.

Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horariase determina en la consulta enviada al servidor WMI.

Adición de un origen de datos clientePuede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes dedatos permitidos en el receptor.

Antes de empezarAgregue el origen de datos al receptor (véase Adición de un origen de datos).



2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.

La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen dedatos seleccionado.

3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.

Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo,supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con ladirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con1.1.1.1, se dirige al primer cliente porque es más específico.



Localización de un clienteLa página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso deser necesario.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enOrígenes de datos | Clientes.

2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar.

Importación de una lista de orígenes de datosLa opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardadaen formato .csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de formaindividual.Existen dos situaciones en las que se emplea esta opción:

• Para importar datos de un origen de datos sin procesar copiados de un receptor situado en unaubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretendehacer, véase Traslado de orígenes de datos a otro sistema.

• Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la listaexistente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datosexistentes. Si es lo que necesita hacer, siga este procedimiento.


1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes dedatos.

b Haga clic en Exportar y, después, en Sí para confirmar la descarga.

c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic enGuardar.

Se guardará la lista de orígenes de datos existentes.

d Acceda a este archivo y ábralo.

Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales delreceptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos).

2 Agregue, edite o elimine orígenes de datos en esta lista.

a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar,editar o quitar.

b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hojade cálculo.

No es posible editar la directiva ni el nombre del origen de datos.

c Guarde los cambios realizados en la hoja de cálculo.

No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario.



3 Importe la lista al receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes dedatos.

b Haga clic en Importar, seleccione el archivo y haga clic en Cargar.

No es posible cambiar la directiva ni el nombre del origen de datos.

Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo.

c Para importar los cambios, haga clic en Aceptar.

Los cambios con el formato correcto se agregarán.

d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes.

e Haga clic en Descargar todo el archivo y, después, en Sí.

f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede yhaga clic en Guardar.

g Abra el archivo descargado.

En él se indican los orígenes de datos con errores.

h Corrija los errores y, después, guarde y cierre el archivo.

i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic enImportar y seleccione el archivo guardado.

En Importar orígenes de datos se indican los orígenes de datos corregidos.

j Haga clic en Aceptar.

Campos de la hoja de cálculo para la importación de orígenes de datosLa hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunasde las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos.

Campos obligatorios para todos los orígenes de datos

Columna Descripción Detalles

op Operación que hay querealizar en el origen dedatos

Introduzca una de estas funciones en la columna op:

• adición = Agregar un origen de datos.

• editar = Modificar un origen de datos existente.

• eliminación = Eliminar sin volver a asignar.

Si esta columna se deja en blanco, no se realiza ningunaacción en el origen de datos.

rec_id ID de receptor Este número de ID de dispositivo se puede consultar en lapágina Nombre y descripción del receptor.

dsname Nombre del origen dedatos

Debe ser exclusivo en el receptor.



Campos utilizados por todos los orígenes de datos


ip Dirección IP válidadel origen de datos

• Es obligatoria excepto si el protocolo es "corr".

• Solo se lleva a cabo la validación para los orígenes de datosactivados. Exclusiones:

• Protocolos: cifs, nfs, ftp, scp y http

• Recopilador: "curl" o "mount"

• SNMPTrap: no válido si otros orígenes de datos usancapturas SNMP y el valor de IPAddress coincide

• nfxsql: no válido si se encuentra la combinación deIPAddress, "dbname" y "port"

• netflow u opsec: no válidos si se encuentra la combinaciónde IPAddress y "port"

• mef es el recopilador (si el analizador es mef, el recopiladores mef de forma automática): no es válido si se encuentranmef y el protocolo

model(modelo)

La entrada debe coincidir exactamente, excepto en el caso delos clientes con MatchByFlag = 1 (coincidencia segúnIPAddress).

vendor(proveedor)

La entrada debe coincidir exactamente, excepto en el caso delos clientes con MatchByFlag = 1 (coincidencia segúnIPAddress).

parent_id ID del origen dedatos principal

Necesario si se trata de un agente o un cliente. Si este ID es unnombre, se intenta encontrar el elemento principal del origende datos con este nombre que sea un elemento secundario delreceptor especificado.

child_type Tipo de elementosecundario deorigen de datos

Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 =cliente

match_type Coincidencia decliente

Obligatoria cuando se agregan o editan orígenes de datos: 1 =coincidencia por dirección IP, 2 = coincidencia por tipo deterceros.

parsing Indicador deactivación delorigen de datos

Indicador de activación (yes/no); el valor predeterminado esyes.

Campos utilizados por orígenes de datos que no son clientes


snmp_trap_id ID de perfil de la capturaSNMP

El valor predeterminado es 0.

elm_logging Registrar en ELM (yes/no) El valor predeterminado es no.

pool Nombre del grupo de ELM El valor predeterminado es en blanco.

meta-vendor El valor predeterminado es en blanco.

meta-product El valor predeterminado es en blanco.

meta_version El valor predeterminado es en blanco.

url URL de detalles de evento El valor predeterminado es en blanco.




parser Método de análisis del formatode datos

El valor predeterminado es Predeterminado.

collector Método de recuperación dedatos

El valor predeterminado es Predeterminado. Si parser esmef, collector se define como mef. Se pueden emplearscp, http, ftp, nfs y cifs si el formato de archivo planoes compatible con el protocolo.

Campos obligatorios si el formato es CEF o MEF


encrypt Marca de cifrado delorigen de datos

El valor predeterminado es F. También se usa si Format (Formato) esDefault (Predeterminado), Retrieval (Recuperación) es mef (mef) yProtocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismopara todos los MEF con la misma dirección IP.

hostname Nombre o ID dehost

El valor predeterminado es en blanco. Es opcional si Protocolo esgsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas.

aggregate Retransmisión desyslog

Los valores válidos son en blanco y syslogng (syslogng). El valorpredeterminado es en blanco. También se usa si Format (Formato) esDefault (Predeterminado), Retrieval (Recuperación) es Default(Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog).

tz_id ID de zona horaria El valor predeterminado es en blanco. También se emplea si elFormato es Predeterminado y se cumple alguna de estas condiciones:

• El Protocolo es syslog y el Modelo no es Adiscon Windows Events.

• El Protocolo es nfxsql.

• El Protocolo es nfxhttp.

• El Protocolo es correo electrónico.

• El Protocolo es estream.

También se usa para la compatibilidad con algunos formatos dearchivo plano.

Otros campos


profile_id Nombre o ID del perfil El valor predeterminado es en blanco. Si elnombre del perfil no puede encontrar elregistro del perfil, se registra un error.

exportMcAfeeFile Indicador de transportedel origen de datos

El valor predeterminado es no. En caso deusar yes, el origen de datos se incluye en eltransporte de origen de datos.

exportProfileID Nombre de perfil delrecurso compartidoremoto

El valor predeterminado es en blanco.

mcafee_formated_file Indicador de análisis dedatos sin procesar

El valor predeterminado es no. Si se utilizayes, el método de análisis emplea el archivode datos sin procesar.

mcafee_formated_file_xsum Usar el indicador desuma de comprobación

El valor predeterminado es no. Si el valor esyes, use la suma de comprobación antes deanalizar el archivo de datos sin procesar.

mcafee_formated_file_ipsid El ID original de NitroIPS

Obligatoria si se emplea el archivo de datossin procesar.




zoneID Nombre de la zona El valor predeterminado es en blanco.

Policy_Name Nombre o ID de ladirectiva

El valor predeterminado es en blanco. Solose usa cuando se agregan orígenes de datosnuevos. Este valor no se actualiza en unaoperación de edición.

Campos validados para protocolos específicos

El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default(Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF(MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan segúnel protocolo especificado en caso de no indicarse el perfil.

Tabla 3-2 Campos de Netflow — Inicio en columna AF


netflow_port El valor predeterminado es 9993.

netflow_repeat_enabled Reenvío activado El valor predeterminado es F.

netflow_repeat_ip Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valorpredeterminado es en blanco.

netflow_repeat_port Puerto de reenvío El valor predeterminado es 9996.

Tabla 3-3 Campos de rdep — Inicio en columna AJ


rdep_sdee_username Obligatoria.

rdep_sdee_password Obligatoria.

rdep_sdee_interval El valor predeterminado es 60 segundos.

Tabla 3-4 Campos de Opsec — Inicio en columna AM


opsec_parent Indicador de principal(tipo de dispositivo)

Obligatoria (T/F). T = el origen de datos esprincipal. F = el origen de datos no es principal.

opsec_authentication Indicador de uso deautenticación

Se emplea si el principal es T; el valorpredeterminado es F.

opsec_appname Nombre de aplicación Obligatoria si authentication = T, opcional si esF; el valor predeterminado es en blanco.

opsec_actkey Clave de activación Obligatoria si authentication = T, opcional si esF; el valor predeterminado es en blanco.

opsec_parent_id Nombre del elementoprincipal del origen dedatos

El nombre del elemento principal es necesario siparent = F. Se registra un error si el nombre delelemento principal del origen de datos no puedeencontrar el origen de datos principal.

opsec_port Se emplea si el principal es T; el valorpredeterminado es 18184.

opsec_encryption Indicador de uso decifrado

Se emplea si el principal es T; el valorpredeterminado es F.



Tabla 3-4 Campos de Opsec — Inicio en columna AM (continuación)


opsec_comm_method Método decomunicación

Se emplea si el principal T; el valorpredeterminado es en blanco. Debe ser un valorválido:

• '' (en blanco) • "sslca"

• "asym_sslca" • "sslca_clear"

• "asym_sslca_comp"

• "sslca_comp"

• "asym_sslca_rc4" • "sslca_rc4"

• "asym_sslca_rc4_comp"

• "sslca_rc4_comp"

• "ssl_clear"

opsec_server_entity_dn Nombre distintivo deentidad de servidor

El valor predeterminado es en blanco. Se empleasi el principal es T. Obligatoria si el tipo dedispositivo es servidor de registro/CLM oSMS/CMA secundario.

opsec_collect_audit_events Tipo de recopilaciónde OPSEC "Eventosde auditoría"

Se emplea si el principal es T; el valorpredeterminado es "yes".

opsec_collect_log_events Marca de tipo derecopilación deeventos de eventosde registro

Se emplea si el principal es T; el valorpredeterminado es "yes".

opsec_type Tipo de dispositivo Obligatorio. Los valores válidos para este camposon:

Valor Nombre en lista desplegable delcliente ligero

0 SMS/CMA

1 Dispositivo de seguridad

2 Servidor de registro/CLM

3 SMS/CMA secundario

Tabla 3-5 Campos de WMI — Inicio en columna AY


wmi_use_rpc Marca de uso de RPC El valor predeterminado es no.

wmi_logs Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY.

wmi_nbname Nombre de NetBIOS Obligatoria si Recuperación = Predeterminado; de lo contrario, esopcional. El valor predeterminado es en blanco.

wmi_username Nombre de usuario Obligatoria si Recuperación = Predeterminado; de lo contrario, esopcional. El valor predeterminado es en blanco.

wmi_password Contraseña Obligatoria si Recuperación = Predeterminado; de lo contrario, esopcional. El valor predeterminado es en blanco.

wmi_interval El valor predeterminado es 600.

wmi_version El valor predeterminado es 0.



Tabla 3-6 Campos de gsyslog — Inicio en columna BF


gsyslog_autolearn Marca de compatibilidad consyslogs genéricos

Los valores válidos son: T, F, RECUENTO. El valorpredeterminado es F.

gsyslog_type Asignación de regla genérica Obligatoria si autolearn = T; de lo contrario esopcional. El valor predeterminado es 49190.

gsyslog_mask Se usa si Recuperación = Predeterminado. El valorpredeterminado es 0.

Tabla 3-7 Campo de corr — Columna BI


corr_local Marca de uso de datoslocales

El valor predeterminado es F. Si el modelo de receptor esERC-VM-25 o ERC-VM-500, el origen de datos no seagrega. De lo contrario, no puede haber otros orígenes dedatos que empleen este protocolo.

Tabla 3-8 Campos de sdee — Inicio en columna BJ


sdee_username Obligatoria.

sdee_password Obligatoria.

sdee_uri El valor predeterminado es cgi-bin/sdee-server.

sdee_interval El valor predeterminado es 600 segundos.

sdee_port El valor predeterminado es 443.

sdee_proxy_port El valor predeterminado es 8080.

sdee_use_ssl El valor predeterminado es T.

sdee_proxy_ip Obligatoria si use_proxy = T. El valor predeterminado es enblanco.

sdee_proxy_username Obligatoria si use_proxy = T. El valor predeterminado es enblanco.

sdee_proxy_password Obligatoria si use_proxy = T. El valor predeterminado es enblanco.

sdee_use_proxy El valor predeterminado es F.

Tabla 3-9 Campos de mssql — Inicio en columna BU


mssql_parent Tipo de dispositivo El valor predeterminado es T. Servidor = T. Dispositivogestionado = F

mssql_port Se emplea si el principal = T. El valor predeterminado es1433.

mssql_interval Se emplea si el principal = T. El valor predeterminado es600 segundos.

mssql_username Obligatoria si el principal = T. El valor predeterminado esen blanco.

mssql_password Obligatoria si el principal = T. El valor predeterminado esen blanco.

mssql_parent_id Nombre del elementoprincipal

Se requiere si parent = F. Se registra un error si elnombre del principal no puede encontrar el origen dedatos.



Tabla 3-10 Campos de syslog — Inicio en columna CA


syslog_untrust_iface Interfaz de menosconfianza

Obligatoria si el Proveedor es CyberGuard.

syslog_burb Nombre de grupo deinterfaces de Internet

Obligatoria si el Proveedor es McAfee y el Modelo esMcAfee Firewall Enterprise.

syslog_sg_mc Marca de centro deadministración

Opcional si el Proveedor es Stonesoft Corporation;el valor predeterminado es no.

syslog_nsm Marca deadministrador deseguridad

Opcional si el Proveedor es Juniper Networks y elmodelo es Netscreen Firewall/Security Managero Netscreen IDP; el valor predeterminado es no.

syslog_wmi_syslog_format Opcional si el Proveedor es Microsoft y el modeloes Adiscon Windows Events; el valorpredeterminado es 0.

syslog_wmi_version Opcional si el Proveedor es Microsoft y el modeloes Adiscon Windows Events; el valorpredeterminado es Windows 2000.

syslog_aruba_version Opcional si el Proveedor es Aruba; el valorpredeterminado es 332.

syslog_rev_pix_dir Invertir valores de red Opcional si el Proveedor es Cisco y el modelo esPIX/ASA o Firewall Services Module; el valorpredeterminado es no.

syslog_aggregate Retransmisión desyslog

Los valores válidos son en blanco y Proveedor. Elvalor predeterminado es en blanco.

syslog_require_tls T/F Indica si se está usando TLS para este origen dedatos.

syslog_syslog_tls_port El puerto que se debe usar para TLS si se utilizacon syslog.

syslog_mask Máscara de direcciónIP

(Opcional) Permite aplicar una máscara a unadirección IP de forma que se acepte un intervalode direcciones IP. Un cero (0) en el camposignifica que no se usa ninguna máscara. Elvalor predeterminado es 0.



Tabla 3-11 Campos de nfxsql — Inicio en columna CM


nfxsql_port El valor predeterminado depende del proveedor y el modelo:

Predeterminado Proveedor Modelo

9117 EnterasysNetworks

Dragon Sensor o DragonSquire

1433 IBM ISS Real Secure DesktopProtector, ISS Real SecureNetwork o ISS RealSecure Server Sensor

1433 McAfee ePolicy Orchestrator,firewall de ePolicyOrchestrator o sistema deprevención de intrusionesen host de ePolicyOrchestrator

3306 Symantec Symantec Mail Securityfor SMTP

1433 Websense Websense Enterprise

1433 Microsoft Operations Manager

1433 NetIQ NetIQ Security Manager

1433 Trend Micro Control Manager

1433 Zone Labs Integrity Server

1433 Cisco Security Agent

1127 Sophos Sophos Antivirus

1433 Symantec Symantec AntivirusCorporate Edition Server

443 Otros

nfxsql_userid Obligatoria.

nfxsql_password Obligatoria.

nfxsql_dbname Nombre de labase de datos

(Opcional) El valor predeterminado es en blanco.

nfxsql_splevel Nivel deService Pack

Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) esISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector),ISS Real Secure Network (ISS Real Secure Network) o ISS Real SecureServer Sensor (ISS Real Secure Server Sensor). El valorpredeterminado es SP4 (SP4).

nfxsql_version (Opcional)

• El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo esOracle Audits.

• El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) esMcAfee y Model (Modelo) es ePolicy Orchestrator, Firewall deePolicy Orchestrator o Host IPS de ePolicy Orchestrator.

nfxsql_logtype Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA,GA o ambas).

nfxsql_sid SID de base dedatos

Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valorpredeterminado es en blanco.



Tabla 3-12 Campos de nfxhttp — Inicio en columna CU


nfxhttp_port El valor predeterminado es 433.

nfxhttp_userid Obligatoria.

nfxhttp_password Obligatoria.

nfxhttp_mode El valor predeterminado es secure.

Tabla 3-13 Campos de email — Inicio en columna CY


email_port El valor predeterminado es 993.

email_mailbox Protocolo de correo El valor predeterminado es imap pop3.

email_connection Tipo de conexión El valor predeterminado es ssl clear.

email_interval El valor predeterminado es 600 segundos.

email_userid Obligatoria.

email_password Obligatoria.

Tabla 3-14 Campos de estream — Inicio en columna DE


Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación,de forma que actualmente se omiten.

jestream_port El valor predeterminado es993.

jestream_password Obligatoria.

jestream_estreamer_cert_file Obligatoria.

jestream_collect_rna

Tabla 3-15 Campos de origen de archivos — Inicio en columna DI


Se emplea para los protocolos cifs, ftp, http, nfs y scp.

fs_record_lines Número de líneaspor registro

Se usa si existe compatibilidad con formato de archivo plano. El valorpredeterminado es 1.

fs_file_check Intervalo El valor predeterminado es 15 minutos.

fs_file_completion El valor predeterminado es 60 segundos.

fs_share_path El valor predeterminado es en blanco.

fs_filename Expresión comodín Obligatoria.

fs_share_name Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no seusa).

fs_username Se emplea si el Protocolo es cifs, ftp o scp. El valorpredeterminado es en blanco.

fs_password Se emplea si el Protocolo es cifs, ftp o scp. El valorpredeterminado es en blanco.

fs_encryption Se emplea si el Protocolo es ftp o http. El valorpredeterminado es no. También se usa si hay compatibilidadcon formato de archivo plano y el Protocolo es ftp.



Tabla 3-15 Campos de origen de archivos — Inicio en columna DI (continuación)


fs_port Se emplea si el Protocolo es ftp; el valor predeterminado es990. Se emplea si el Protocolo es http; el valor predeterminadoes 443. También se usa si hay compatibilidad con formato de archivoplano y el Protocolo es ftp. El valor predeterminado es 80.

fs_verify_cert Verificar certificadoSSL

Se emplea si el Protocolo es ftp o http. El valorpredeterminado es no. También se usa si hay compatibilidadcon formato de archivo plano y el Protocolo es ftp.

fs_compression Se emplea si el Protocolo es scp o sftp. El valorpredeterminado es no.

fs_login_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1segundo.

fs_copy_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1segundo.

fs_wmi_version Se emplea si hay compatibilidad con formato de archivo plano, elProveedor es Microsoft y el Modelo es Adiscon Windows Events. Elvalor predeterminado es Windows 2000.

fs_aruba_version Se emplea si hay compatibilidad con formato de archivo plano y elProveedor es Aruba. El valor predeterminado es 332.

fs_rev_pix_dir Invertir valores dered

Se emplea si hay compatibilidad con formato de archivo plano, elProveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module.El valor predeterminado es no.

fs_untrust_iface Interfaz de menosconfianza

Obligatoria si hay compatibilidad con formato de archivo plano y elProveedor es CyberGuard.

fs_burb Nombre de grupo deinterfaces deInternet

Obligatoria si hay compatibilidad con formato de archivo plano, elProveedor es McAfee y el Modelo es McAfee FirewallEnterprise.

fs_nsm Marca deadministrador deseguridad

Opcional si hay compatibilidad con formato de archivo plano, elProveedor es Juniper Networks y el Modelo es Netscreen Firewall/Security Manager o Netscreen IDP. El valor predeterminado es no.

fs_autolearn Admitir syslogsgenéricos

Opcional si hay compatibilidad con formato de archivo plano y laRecuperación es gsyslog. Los valores válidos son: T, F yRECUENTO. El valor predeterminado es F.

fs_type Asignación de reglagenérica

Obligatoria si autolearn = T; de lo contrario es opcional. Elvalor predeterminado es 49190.

fs_binary El valor predeterminado es no.

fs_protocol El valor predeterminado es ''. Se emplea si el analizador esel predeterminado y el recopilador es un origen de archivosnfs.

fs_delete_files

Tabla 3-16 Campos de sql_ms — Inicio en columna EH


sql_ms_port El valor predeterminado es 1433.

sql_ms_userid Obligatoria.

sql_ms_password Obligatoria.

sql_ms_dbname Nombre de la base de datos



Tabla 3-17 Campo de nas — Columna EL


nas_type El valor predeterminado es 49190 (Definido por el usuario 1). Este camposolo se utiliza para orígenes de datos de McAfee/PluginProtocol.

Tabla 3-18 Campo de ipfix — Columna EM


ipfix_transport Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminadoes TCP.

Tabla 3-19 Campos de snmp — Inicio en columna EN


snmp_authpass Contraseña deautenticación

Obligatoria si:

• traptype = v3trap y secLevel = authPriv o authNoPriv.

• traptype = v3inform y secLevel = authPriv o authNoPriv.

snmp_authproto Protocolo deautenticación

Los valores válidos son MD5 o SHA1. Obligatoria si:

• traptype = v3trap y secLevel = authPriv o authNoPriv.

• traptype = v3inform y secLevel = authPriv o authNoPriv conotros tipos de capturas. El valor predeterminado esMD5.

snmp_community Nombre de comunidad Obligatoria si traptype = v1trap, v2trap, v2inform.

snmp_engineid Obligatoria si traptype = v3trap.

snmp_privpass Contraseña deprivacidad

Obligatoria si:

• traptype = snmpv3trap y secLevel = authPriv.

• traptype = snmpv3inform y secLevel = authPriv.

snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si:

• traptype = snmpv3trap y secLevel = authPriv.

• traptype = snmpv3inform y secLevel = authPriv.

Para otros tipos de traptype, el valor predeterminado esDES.

snmp_seclevel Nivel de seguridad Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv.

Obligatoria si traptype = v3trap o v3inform.

Para otros tipos de traptype, el valor predeterminado esnoAuthNoPriv.

snmp_traptype Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform,v3trap y v3inform.

snmp_username Obligatoria si traptype = snmpv3 o snmpv3inform.

type Asignación de reglapredeterminada

Obligatoria. El valor predeterminado es 49190.

snmp_version Se rellena automáticamente.



Tabla 3-20 sql_ws — Inicio en columna EY


sql_ws_port (Opcional) El valor predeterminado dependedel proveedor. El valor predeterminado paraWebsense es 1433.

sql_ws_userid Obligatoria.

sql_ws_password Obligatoria.

sql_ws_dbname (Opcional) El valor predeterminado es enblanco.

sql_ws_db_instance Nombre de instancia de la basede datos

Obligatoria.

Tabla 3-21 sql — Inicio en columna FD


sql_port Puerto utilizado para conectar con labase de datos

sql_userid ID de usuario de la base de datos

sql_password Contraseña de la base de datos

sql_dbinstance Nombre de la instancia de la base dedatos

sql_config_logging Los valores válidos son 0 (para Base dedatos de SQL Server Express) y 1 (para Basede datos SQL)

sql_protocol Si el valor de sql_config_logging es 1, el deesta columna es gsql.

sql_dbname Nombre de la base de datos

Tabla 3-22 oracleidm — Inicio en columna FK


oracleidm_port Puerto usado para conectar con la base de datos de Oracle IdentityManager.

oracleidm_userid ID de usuario de la base de datos de Oracle Identity Manager.

oracleidm_password Contraseña de la base de datos de Oracle Identity Manager

oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager

oracleidm_dpsid Nombre TNS de la conexión utilizada

Tabla 3-23 text — Inicio en columna FP


Estos campos se utilizan con el origen de datos ePolicy Orchestrator.

text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos deePolicy Orchestrator.

text_dbname Nombre de la base de datos de ePolicy Orchestrator

text_password Contraseña de la base de datos de ePolicy Orchestrator

text_port Puerto utilizado para conectar con la base de datos de ePolicyOrchestrator

text_userid ID de usuario de la base de datos de ePolicy Orchestrator



Tabla 3-24 gsql — Inicio en columna FU


gsql_port (Opcional) El valor predeterminado depende delproveedor. El valor predeterminado para Websensees 1433.

gsql_userid Obligatoria.

gsql_password Obligatoria.

gsql_dbname (Opcional) El valor predeterminado es en blanco.

gsql_db_instance Nombre de instancia de labase de datos

Obligatoria.

gsql_nsmversion Versión de NSM Obligatoria. Si se deja en blanco, el valorpredeterminado es la versión 6.x.

Migración de orígenes de datos a otro receptorEs posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema.Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar losorígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevoreceptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos delreceptor actual al nuevo.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor y haga clic en Orígenes de datos.

2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.

3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar.

Traslado de orígenes de datos a otro sistemaA fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesarioseleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar enuna ubicación remota y finalmente importarlos al otro receptor.

Antes de empezarPara llevar a cabo esta función es necesario disponer de derechos de administración dedispositivos en ambos receptores.

Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicaciónsegura a un receptor situado en una ubicación no segura.

Existen limitaciones a la hora de exportar información de orígenes de datos:



• No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow).

• Los eventos de origen de los eventos correlacionados no se muestran.

• Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación noprocesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desdeel archivo.


Seleccionar losorígenes de datos yla ubicación remota

1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clicen Origen de datos.

2 Seleccione el origen de datos y haga clic en Editar.

3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile.

Los datos se exportarán a una ubicación remota y se configurarán mediante unperfil.


A partir de este momento, los datos sin procesar generados por este origen dedatos se copiarán en la ubicación remota.

Crear el archivo dedatos sin procesar

1 Acceda a la ubicación remota donde están almacenados los datos sin procesar.

2 Guarde los datos sin procesar generados en una ubicación que permita mover elarchivo al segundo receptor (como una memoria extraíble que se puedatransportar a la ubicación no segura).

Crear un archivoque describa losorígenes de datos

1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después,haga clic en Origen de datos | Importar.

2 Localice el archivo de orígenes de datos movido y haga clic en Cargar.

3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardólos archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil derecurso compartido remoto y agregue el perfil.


Los orígenes de datos se agregarán al segundo receptor y se accederá a los datossin procesar a través del perfil de recurso compartido remoto.

Importar archivosde datos sinprocesar y archivosde orígenes dedatos

1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundoreceptor y haga clic en Importar.

2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La páginaImportar orígenes de datos muestra los orígenes de datos que se importarán.

3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardólos archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil derecurso compartido remoto y agregue el perfil (véase Configuración de perfiles).


Administración del aprendizaje automático de orígenes de datosEs posible configurar el ESM para el aprendizaje automático de direcciones IP.

Antes de empezarAsegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véaseConfiguración de interfaces).



El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender unaserie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo deorígenes de datos.

Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la páginaAprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizadoninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático trasella a fin de recopilar los resultados de nuevo.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enOrígenes de datos | Aprendizaje automático.

2 Defina la configuración según proceda y haga clic en Cerrar.

Visualización de los archivos generados por los orígenes de datosA fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Verarchivos. No es posible acceder a ellos mediante una vista de ESM.


1 En el árbol de navegación del sistema, seleccione el origen de datos de McAfee.

2 En la barra de herramientas de acciones, haga clic en el icono Ver archivos .


• Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivoconcreto.

• Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivosgenerados durante ese intervalo.

• Haga clic en Actualizar para actualizar la lista de archivos.

• Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo.

4 Haga clic en Cancelar para cerrar la página.

Tipos de orígenes de datos definidos por el usuarioEn esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada,que se muestra en el editor de orígenes de datos.

ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre deregla

Tipo de editorde reglas

49190 User Defined 1 N/D syslog UserDefined1_ Generic










ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre deregla

Tipo de editorde reglas



Orígenes de datos admitidosMcAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptorespueden tener un máximo de 2000, 200 o 50 orígenes de datos.

Para ver las guías de configuración de los orígenes de datos actuales, diríjase al Centro deconocimiento.

Estos dispositivos pueden tener 2000 orígenes de datos asociados:

• ERC-1225 • ENMELM-5600

• ERC-1250 • ENMELM-5750

• ERC-2230 • ENMELM-6000

• ERC-2250 • ELMERC-2230

• ERC-2600 • ELMERC-2250

• ERC-3450 • ELMERC-2600

• ERC-4245 • ELMERC-4245

• ERC-4600 • ELMERC-4600

• ENMELM-2250 • ESMREC-4245



• ENMELM-5205

El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200.

Estas son las correspondencias de los intervalos de orígenes de datos:

• Tipos de orígenes de datos: 1–48 999

• Tipos definidos por el usuario: 49 001–49 999

• Reservado para McAfee (por ejemplo, grupos de reglas): 50 001–65 534

Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes dedatos de McAfee.

Configuración para orígenes de datos específicosAlgunos orígenes de datos requieren más información y opciones de configuración especiales.

Véanse las secciones siguientes para obtener detalles.

• Check Point • Big Fix

• IBM Internet Security SystemsSiteProtector

• Formato de evento común

• McAfee ePolicy Orchestrator • ArcSight





• ePolicy Orchestrator 4.0 • Security Device Event Exchange

• NSM-SEIM • Analizador de syslog avanzado

• Compatibilidad con la retransmisión desyslog

• Registro de eventos de WMI

• Adiscon

También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centrode conocimiento.

WMI Event LogWMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según ladefinición de Distributed Management Task Force (DMTF).

Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite eluso compartido de la información de administración por parte de las aplicaciones de administración. Lacapacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMIresulte útil.

WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice estafunción.

Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través delreceptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos.El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows.De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Esposible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Losdatos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de latabla de eventos.

Se necesitan privilegios de administrador u operador de copia de seguridad para los registros deeventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos comoel usuario están correctamente configurados (véase Configuración para la extracción de registros deseguridad de Windows).

Se admiten estos dispositivos adicionales del origen de datos de WMI:

• McAfee Antivirus • Microsoft SQL Server

• Windows • RSA Authentication Manager

• Microsoft ISA Server • Symantec Antivirus

• Microsoft Active Directory • Microsoft Exchange

Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulteConfiguración de Adiscon.

Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log.

Configuración para la extracción de registros de seguridad de WindowsCuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración puedenextraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y elusuario estén bien configurados.




1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros deeventos.

2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows.

3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendopara ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos).

4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar.

Origen de datos de correlaciónUn origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patronessospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones einserta estas alertas en la base de datos de alertas del receptor.

Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva decorrelación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes ydistintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican sucomportamiento.

Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a laconfiguración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación deun receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de basede la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizadospara, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas yestablecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre ladirectiva de correlación, consulte Reglas de correlación.

Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es CorrelationEngine.

Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación delreceptor.



Asociación de gravedades y accionesLos parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos esasociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema.

• severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayorgravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, eldispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno ydiez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar comogravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedentede McAfee IntruShield que muestra la gravedad en forma de texto.<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (laasociación de gravedad está en negrita solo para resaltarla):

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con unformato que se puede utilizar.

setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como lagravedad. Todos los modificadores de setparm funcionan de esta forma.

• action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizadapor el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil alusuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH.Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;rev:1;)

La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones quese pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de accionesque se pueden utilizar.

• 0 = nulo • 20 = detención

• 1 = paso • 21 = Detección

• 2 = rechazo • 22 = De confianza

• 3 = supresión • 23 = No fiable

• 4 = sdrop • 24 = Falso positivo

• 5 = alerta • 25 = alerta-rechazo

• 6 = predeterminado • 26 = alerta-supresión

• 7 = fallo • 27 = alerta-sdrop



• 8 = correcto • 28 = reinicio

• 9 = error • 29 = bloqueo

• 10 = emergencia • 30 = limpieza

• 11 = crítico • 31 = limpieza-error

• 12 = advertencia • 32 = continuación

• 13 = informativo • 33 = infectado

• 14 = depuración • 34 = movimiento

• 15 = estado • 35 = movimiento-error

• 16 = adición • 36 = cuarentena

• 17 = modificación • 37 = cuarentena-error

• 18 = eliminación • 38 = eliminación-error

• 19 = inicio • 39 = denegado

En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistemainterpreta como Error.

A continuación se ofrece un desglose de la estructura de una regla.

Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map orseverity_map (if you need it); pcre:”your regular expression goes here”; raw;setparm:data_tag_goes_here; adsid:190; rev:1;)

Analizador de syslog avanzadoEl analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidosen mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASPcómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventosespecíficos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la páginaAgregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente losmensajes o interprete completamente puntos de datos relacionados con los eventos recibidos.También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX.Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas parasu entorno Linux o UNIX.

Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog comoproveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones delfabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a ladirección IP del receptor.

Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datosde eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilardatos de eventos de forma genérica.

Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidadesde datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones deeventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, enrealidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor.

La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP empleaun formato muy similar al de Snort.



ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:option;...;)

Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloquelos literales entre comillas individualmente si contienen espacios u otros caracteres y deje lasreferencias a subcapturas de PCRE sin entrecomillar.

Las reglas se definen como sigue.

Sección Campo Descripción

Encabezado deregla

El encabezado de la regla contiene la acción Alert y el formato any anyany. La regla es:

ALERT any any any -> any any

Acción Qué hacer con el evento cuando se produzca una coincidencia. Lasopciones son:

• ALERT: registrar el evento

• DROP: registrar el evento pero no reenviarlo

• SDROP: no registrar el evento ni reenviarlo

• PASS: reenviarlo si se ha definido, pero no registrarlo

Protocol Si el evento define un protocolo, se filtra la coincidencia efectiva enfunción del protocolo.

Src/Dst IP Si el evento define una dirección IP de origen o destino, se filtra lacoincidencia efectiva en función de la dirección.

Src/Dst Port Si el evento define un puerto de origen o destino, se filtra lacoincidencia efectiva en función del puerto.

Cuerpo de laregla

El cuerpo de la regla contiene la mayoría de los criterios decoincidencia y define cómo se deben analizar y registrar los datos en labase de datos de ESM. Los elementos del cuerpo de la regla se definenmediante pares de palabra clave-opción. Algunas palabras clave notienen opción.

msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadenamostrada en el cliente ligero de ESM con fines de generación deinformes a menos que se omita mediante un mensaje pcre/setparmdetectado (véase más adelante). La primera tarea de msg es el nombrede la categoría seguido por el mensaje en sí (msg: "mensaje de reglade categoría").

content (Opcional, una o varias instancias) La palabra clave content es uncalificador de texto sin caracteres comodín para el filtrado previo deeventos a medida que pasan por el grupo de reglas y que puedecontener espacios (por ejemplo, content: "búsqueda 1"; content "algomás").

procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID)forma parte de un encabezado de mensaje syslog estandarizado. Lapalabra clave procname se puede utilizar a fin de filtrar lascoincidencias de eventos para la regla. Se emplea para excluir o filtrarcoincidencias de eventos en las que dos procesos de un servidor Linuxo UNIX pueden tener un texto de mensaje idéntico o similar.

adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación deregla predeterminada del editor de orígenes de datos.

sid ID de firma de la regla. Es el ID de coincidencia utilizado en el clienteligero de ESM a menos que se omita mediante un sid pcre/setparmdetectado.



Sección Campo Descripción

rev Revisión de la regla. Se emplea para rastrear los cambios.

severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que seasigna a los eventos que coinciden con la regla.

pcre La palabra clave PCRE es una expresión regular compatible con Perlque se compara con los eventos entrantes. La palabra clave PCRE sedelimita mediante comillas, y todas las apariciones de "/" se considerancaracteres normales. El contenido entre paréntesis se reserva para eluso de la palabra clave setparm. La palabra clave PCRE puedemodificarse mediante las palabras clave nocase, nomatch, raw ysetparm.

nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso demayúsculas y minúsculas no sea igual.

nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl).

raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos delencabezado (función, daemon, fecha, host/IP, nombre de proceso e IDde proceso). Normalmente, el encabezado no se utiliza en lacoincidencia de PCRE.

setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de laPCRE se le asigna un número por orden de aparición. Esos números sepueden asignar a etiquetas de datos (por ejemplo:setparm:username=1). Se toma el texto capturado en el primerconjunto de paréntesis y se asigna a la etiqueta de datos de nombre deusuario. Las etiquetas reconocidas se enumeran en la tabla siguiente.

Etiqueta Descripción

* sid Este parámetro capturado omite el sid de la regla coincidente.

* msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.

* action Este parámetro capturado indica qué acción realizó el dispositivo de terceros.

* protocol

* src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminadapara un evento.

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid Se emplea para modificar el sid almacenado en la base de datos, que se usa paralas coincidencias de snort ajenas a McAfee en los preprocesadores snort.

* url Reservada y sin uso por ahora.

* src_username Primer nombre de usuario/nombre de usuario de origen.

* username Nombre alternativo para src_username.

* dst_username Segundo nombre de usuario/nombre de usuario de destino.

* domain

* hostname

* application




* severity Debe ser un número entero.

* action map Permite asignar acciones específicas de su producto a las acciones de McAfee. Enel mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alertany any any -> any any (msg:"OpenSSH Accepted Password"; content:"Acceptedpassword for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y accionespara obtener detalles.

* severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee.Al igual que el mapa de acciones, en el mapa de gravedades se distingue entremayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSHAccepted Password"; content:"Accepted password for "; severity_map:High=99,Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y accionespara obtener detalles.

* var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor apartir de diversas capturas de varias PCRE. Es posible crear más de una PCRE quecapture solo una pequeña porción de la cadena en lugar de una PCRE larga convarias capturas. A continuación se ofrece un ejemplo para capturar un nombre deusuario y un dominio, además de crear una dirección de correo electrónico a fin dealmacenarla en el campo objectname.

• Sintaxis = var:field=${PCRE:Capture}

• PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dosPCRE, sería la PCRE 1 o 2.

• Captura = no la captura real, sino su número (primera, segunda o terceracaptura [1,2,3]).

• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.

• PCRE: (Jim).*?(McAfee)

• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• Usuario de origen asignado: Jim

• Dominio asignado: McAfee

• objectname asignado: [email protected]

* sessionid Se trata de un entero.

* commandname Se trata de un valor de cadena.

* objectname Se trata de un valor de cadena.

* event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puedeusar event_action y action_map en la misma regla. Por ejemplo, si obtiene unevento a partir de un inicio de sesión correcto, podría utilizar la etiquetaevent_action y hacer que la acción de inicio de sesión correcto sea lapredeterminada (por ejemplo, event_action:8;).




* firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos.

* lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos.Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" osetparm:lasttime="1"). Por ejemplo:

alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;setparm:lasttime=1; adsid:190; rev:1;)

Para conocer los formatos admitidos actualmente, véase http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin deobtener más detalles.

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y es el año con cuatro dígitos

%m es el número correspondiente al mes (1-12)

%d es la fecha (1-31)

%H corresponde a la hora (1-24)

%M son los minutos (0-60)

%S son los segundos (0-60)

%b es la abreviatura del mes (feb, may)

A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio desesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:

alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Acceptedpassword for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)

Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html.

Adición de un origen de datos ASP con codificación diferenteESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP quegenere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos.




1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen

de datos .

2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslogavanzado en el campo Modelo de origen de datos.

3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.

Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando losreciba.

Security Device Event Exchange (SDEE)El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos dedispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportanmediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionarinformación sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores delas solicitudes HTTP se denominan clientes SDEE.

Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptorpuede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención deintrusiones de Cisco.

Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEEemplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptorcontacta con el proveedor SDEE y solicita los eventos generados desde la hora del último eventosolicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en labase de datos de eventos del receptor, listos para su recuperación por parte del ESM.

Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selecciónde Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de unorigen de datos).

El receptor es capaz de extraer esta información de un evento SDEE/CIDEE:

• Direcciones IP de origen y destino

• Puertos de origen y destino

• Protocolo

• Hora del evento

• Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptorrespeta)

• ID de firma e ID secundario

• El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEEmediante la siguiente fórmula:

ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE

Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID deevento de ESMI sería 2000123.

• VLAN



• Gravedad

• Descripción del evento

• Contenido del paquete (si está disponible)

Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales seemplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos loseventos desde la última extracción correcta.

Configuración de ePolicy Orchestrator 4.0El origen de datos McAfee Event Receiver para ePolicy Orchestrator admite ahora ePolicy Orchestrator4.0. ePolicy Orchestrator 4.0 almacena eventos en la base de datos de SQL Server. El origen de datosePolicy Orchestrator conecta con esta base de datos de SQL Server a través de JDBC a fin de extraerinformación sobre eventos. Es necesario crear un nombre de usuario (ID) y una contraseña nuevos enla base de datos de ePolicy Orchestrator para su uso junto con el origen de datos para ePolicyOrchestrator.


1 Inicie una sesión en el servidor de base de datos de ePolicy Orchestrator.

2 Ejecute el Administrador corporativo de SQL Server mediante la selección de Inicio | Todos los programas |Microsoft SQL Server | Administrador corporativo.

3 Amplíe el nodo raíz de la consola varias veces para ver los elementos situados bajo la carpetaSeguridad.

4 Haga clic con el botón derecho en el icono Inicios de sesión y seleccione Nuevo inicio de sesión en el menú.

5 En la página Nuevo inicio de sesión de las propiedades de inicio de sesión de SQL Server, indique losiguiente en la ficha General:

a En el campo Nombre, escriba el nombre de usuario que desee usar para que el origen de datos deePolicy Orchestrator conecte con la base de datos de ePolicy Orchestrator (por ejemplo, nfepo).

b En Autenticación, seleccione Contraseña de autenticación de SQL Server y escriba la contraseña.

c En Valores predeterminados, seleccione la base de datos de ePolicy Orchestrator(ePO4_<nombre_host>) en la lista desplegable Base de datos.

Si se deja la Base de datos predeterminada como principal, el origen de datos para ePolicy Orchestratorno puede extraer los eventos.

6 En la ficha Acceso a base de datos, seleccione la opción Permitir correspondiente a la base de datos deePolicy Orchestrator.

7 En Permitir en la función de base de datos, seleccione db_datareader y haga clic en Aceptar.

8 Confirme la nueva contraseña y haga clic en Aceptar.

Adición de un origen de datos de ArcSightEs posible agregar orígenes de datos para un dispositivo ArcSight.




1 En el árbol de navegación del sistema, seleccione el nodo del receptor.

2 Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.

3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento comúnen el campo Modelo de origen de datos.

4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight.

5 Rellene el resto de campos (véase Adición de un origen de datos).


7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight.

Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM.

Formato de evento común (CEF)ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común(CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos quegeneran registros o eventos. Contiene la información más relevante sobre el dispositivo, además defacilitar el análisis y la utilización de los eventos.

No es necesario que el causante del evento genere de forma explícita el mensaje de evento. Elformato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados porbarras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En laextensión se especifican campos adicionales. El formato es:

CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo|IDClaseEventoDispositivo|Nombre|Gravedad|Extensión

La parte del mensaje correspondiente a la extensión es un marcador de posición para camposadicionales. A continuación se ofrecen las definiciones de los campos de prefijo:

• Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventosutilizan esta información para determinar lo que representan los campos. Actualmente, solo estáestablecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que seanecesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. Laadición de formatos nuevos se gestiona a través del organismo de estandarización.

• Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de formaexclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par deproveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Loscreadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos.

• IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o unnúmero entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemasde detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene unIDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos dedispositivos, y ayuda a los motores de correlación a manipular los eventos.

• Nombre es una cadena que representa una descripción legible y comprensible para los usuariossobre el evento. El nombre del evento no debe contener información específicamente mencionadaen otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no esun nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información esredundante y se puede obtener en los otros campos.



• Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del0 al 10, donde el 10 indica el evento de mayor importancia.

• Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjuntopredefinido. El estándar permite la inclusión de claves adicionales, tal y como se explicaposteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquierorden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre dearchivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo:

fileName=c:\Archivos de programa\ArcSight es un token válido.

Este es un mensaje de muestra para ilustrar el aspecto final:

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor.De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto:

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/VerifycategoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5cn1={#rid} cn2=0 cn3=0

El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt".

Configuración de AdisconSe admite el uso de WMI y syslog a través de Adiscon.Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datosde eventos de Windows de Adiscon para Microsoft funcione correctamente:

%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;%Param11%;%Param12%;%Param13%;%Param14%;%Param15%

Compatibilidad con la retransmisión de syslogEl reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog alreceptor requiere algunas tareas adicionales.Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo dedatos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre losorígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe estasituación:



1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog

2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA

3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort

4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint

Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión desyslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslogen el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog,habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando paraello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor deretransmisión de syslog.

La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.

El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo:1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]

Donde:

1 = Versión de syslog (opcional)

345 = Longitud de syslog (opcional)

<123> = Función (opcional)

Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio)

mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio)

httpd = Nombre de aplicación (opcional)

[123] PID de aplicación (opcional)

: = Dos puntos (opcional)

El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 sepuede delimitar entre corchetes [ ].

Ejecución de la herramienta de configuración de NSM-SIEMAntes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuraciónde NSM-SIEM.


1 Descargue la herramienta de configuración.

a Acceda al sitio web de descarga de productos de McAfee.

b Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro debúsqueda Descargar mis productos.

c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo dedescarga de MFE <nombre_producto> <versión>.

d Lea el EULA de McAfee y haga clic en Acepto.

e Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM.



2 Ejecute la herramienta de configuración en el servidor de NSM.

La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En casocontrario, acceda a ella.

3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSMintroducidos durante la instalación de NSM.

4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP delreceptor al que se agregará el origen de datos.

Estos datos se introducen en la pantalla del origen de datos.

Configuración de ePolicy OrchestratorEs posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una mismadirección IP con nombres distintos en el campo de nombre de la base de datos.

Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todosapunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseñacon la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campoVersión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433.

El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión,deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]).

La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crearorígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usarorígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator ycualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente.

Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator:

• ANTISPYWARE • MNAC

• DLP • POLICYAUDITOR

• EPOAGENT • SITEADVISOR

• GSD • VIRUSCAN

• GSE • SOLIDCORE

• HOSTIPS

Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes dedatos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos conclientes.

La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicyOrchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir losdatos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consultade base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consultade base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y seproporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listasde ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen lacalificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos losdispositivos ACE empleados para calificar los campos IP de origen e IP de destino.



Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se lepregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si haceclic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas decalificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación decorrelación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador decorrelación de riesgos (véase Adición de un administrador de correlación de riesgos).

SiteProtector de IBM Internet Security SystemsEl receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet SecuritySystems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Serverutilizada por SiteProtector para almacenar sus eventos.

Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, larecuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de"extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base dedatos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez quese recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos deeventos del receptor, listos para su recuperación por parte del ESM.

Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuraciónde un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo pararecopilar eventos de un servidor de SiteProtector.

Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopiladosmediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientementedel activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización delos eventos en función del activo gestionado que informó del evento a SiteProtector, es posibleconfigurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionadoseleccionado.

La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que sepuede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definirun proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de eventocomún (CEF). Esta configuración es opcional.

Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalaciónde Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptarconexiones del protocolo TCP/IP.

Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar esteprotocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433).

Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan loseventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventosque se han producido tras el último evento recuperado correctamente.

El receptor extrae esta información de un evento de SiteProtector:

• Direcciones IP de origen y destino (IPv4) • Recuento de eventos

• Puertos de origen y destino • VLAN

• Protocolo • Gravedad

• Hora del evento • Descripción del evento



Configuración de Check PointEs posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor partede entornos Check Point estándar.

El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen dedatos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datosprincipal no actúa como servidor de registro y se dispone de un servidor de registro dedicado.Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentraen un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cadaSMS/CMA secundario.


1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o laaplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal.

OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice estafunción (véase el Apéndice A).

2 Haga clic en Opciones.

3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivode entidad de servidor de este origen de datos.

4 Haga clic dos veces en Aceptar.

5 Haga lo siguiente, si procede:



Si recibe esteerror...

Haga lo siguiente...

SIC Error for lea: Clientcould not choose anauthentication method forservice lea (Error SICpara lea: el clienteno pudo elegir unmétodo deautenticación paralea)

1 Compruebe que seleccionó la configuración correcta para Usar autenticacióny Usar cifrado al agregar el origen de datos de Check Point.

Si seleccionó solamente Usar autenticación, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "sslca_clear". Siseleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "sslca". Si noseleccionó ninguna de estas opciones, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "none".

2 Compruebe que la aplicación OPSEC que está utilizando paracomunicarse con el servidor de registro de Check Point tenga LEAseleccionado en la sección Client Entities (Entidades cliente).

3 Si verifica que ambos pasos son correctos, localice el archivosic_policy.conf en la instalación del servidor de registro de Check Point.Por ejemplo, en un sistema R65 basado en Linux, este archivo seencuentra en /var/opt/CPshrd-R65/conf.

4 Cuando determine qué método de comunicación (método deautenticación del archivo) permite el método de comunicación de LEAcon el servidor de registro, seleccione dicho método en la páginaConfiguración avanzada como Método de comunicación.

SIC Error for lea: Peer sentwrong DN: <expected dn>(Error SIC para lea:el componente envióun nombre distintivoincorrecto: <nombredistintivo esperado>)

• Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad deservidor mediante la introducción de la cadena que representa "<DNesperado>" en el mensaje de error.

Una alternativa es localizar el nombre distintivo del servidor de registro deCheck Point consultando el objeto network del servidor de registro deCheck Point en la interfaz de usuario de SmartDashboard.

El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC,basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo,supongamos que el nombre distintivo de la aplicación OPSEC esCN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMAsería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor deregistro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3.

6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMAsecundario administrado por el origen de datos principal configurado (véase Adición de un origende datos secundario).

El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola deinformes principal es, de forma predeterminada, el origen de datos principal.

Grupos de reglas de McAfeeEsta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo.

ID de origen dedatos

Nombre de pantalla RSID correspondiente Intervalo de reglas

50201 Firewall 0 2 000 000–2 099 999

50202 Firewall personalizado 0 2 200 000–2 299 999

50203 Firmas personalizadas 0 5 000 000–5 999 999

50204 Interno 0 3 000 000–3 999 999

50205 Vulnerabilidad y exploit 2 N/D



ID de origen dedatos

Nombre de pantalla RSID correspondiente Intervalo de reglas

50206 Contenidos para adultos 5 N/D

50207 Chat 8 N/D

50208 Directiva 11 N/D

50209 Peer to Peer 14 N/D

50210 Multimedia 17 N/D

50211 Alfa 25 N/D

50212 Virus 28 N/D

50213 Aplicación de perímetro seguro 31 N/D

50214 Gateway 33 N/D

50215 Malware 35 N/D

50216 SCADA 40 N/D

50217 MCAFEESYSLOG 41 N/D

Orígenes de activos de receptorUn activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de AssetManager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes deactivos y asignar un activo a un grupo de activos. También permite manipular los activos deaprendizaje automático de un proveedor de evaluación de vulnerabilidades.

La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si estádisponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante laselección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuariode origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad parasatisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptorespueden tener varios orígenes de activos.

Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades yDescubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridadagregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad,el que descubra el activo en último lugar tiene prioridad sobre el primero.

Adición de un origen de activosA fin de recuperar datos de Active Directory, es necesario configurar un receptor.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes deactivos.

2 Haga clic en Agregar y rellene la información solicitada.

3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos.



Configuración de Enterprise Log Manager (ELM)El ELM admite el almacenamiento y la administración de los datos de registro, así como el acceso aellos y la generación de informes al respecto.

Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto devarios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo dealmacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativasgubernamentales, del sector y de las empresas requieren que los registros se almacenen duranteperiodos de tiempo diferentes.

El ELM permite configurar trabajos de comprobación de integridad y de búsqueda. Cada uno de estostrabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el trabajo.Posteriormente, es posible ver los resultados y exportar la información, si procede.

La información proporcionada se aplica a todos estos modelos de dispositivos ELM:

• ENMELM-5205 (combinación de ESM/Log Manager)



• ELM-5205

• ELM-5510

• ELM-5750

• ELMERC-4245 (combinación de Event Receiver/Log Manager)

• ELMERC-2250 (combinación de Event Receiver/Log Manager)

• LMERC 2230 (combinación de Event Receiver/Log Manager)

Para configurar un ELM, debe conocer lo siguiente:

• Los orígenes que almacenan registros en el ELM

• Los grupos de almacenamiento necesarios y sus tiempos de retención de datos

• Los dispositivos de almacenamiento necesarios para almacenar los datos

Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos dealmacenamiento necesarios. No obstante, no se conocen los dispositivos de almacenamientonecesarios que almacenan los datos. El mejor enfoque para hacer frente a esta incertidumbre es:

1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.

A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacioasignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular elespacio necesario.

2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.

3 Adquiera los registros en el ELM durante un periodo corto de tiempo.

4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar lasconfiguraciones del dispositivo de almacenamiento para ajustarlas a los requisitos dealmacenamiento de datos reales.



Preparativos para almacenar datos en el ELMExisten varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacenedatos.

Paso Acción Descripción

1 Definir los tiemposde retención dedatos

Según los requisitos de instalación de ELM, defina el número de tiemposde retención distintos necesarios. Los tiempos habituales de retención dedatos son:• SOX – 7 años

• PCI – 1 año

• GLBA – 6 años

• Directiva de conservación de datos de la UE – 2 años

• Basilea II – 7 años

• HIPAA – 6 o 7 años

• NERC – 3 años

• FISMA – 3 años

2 Definir los orígenesde datos deregistro

El objetivo aquí es definir todos los orígenes de los registros almacenadosen el ELM y calcular el promedio de tamaño en bytes de los registros y elpromedio de registros generados por día en cada caso. Basta con que setrate de un cálculo estimativo. Puede que resulte más fácil estimar elpromedio de tamaño en bytes de los registros y el promedio de registrosgenerados al día por cada tipo de origen (como por ejemplo firewall,enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número deorígenes de cada tipo. El siguiente paso requiere la asociación de cadaorigen con un tiempo de retención definido en el Paso 1, así queasegúrese de tener esto en cuenta a la hora de calcular los tipos deorígenes (por ejemplo, firewall SOX o DEM PCI).

3 Definir los gruposde almacenamiento

En función de los requisitos de instalación de ELM, asocie cada origen uorigen de registros con un tiempo de retención de datos y defina elconjunto de grupos de almacenamiento necesarios para la instalación deELM.



Paso Acción Descripción

4 Estimar losrequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento, calcule los requisitos dealmacenamiento mediante una de las ecuaciones siguientes.• Con orígenes individuales:

ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes

TRDD = Tiempo de retención de datos en días

SUM() = La suma de todos los orígenes de datos

PBOD = Promedio de bytes de origen de datos por registro

PRODD = Promedio de registros de origen de datos por día

• Con tipos de orígenes:ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes


NOD = Número de orígenes de datos de un tipo

SUM() = La suma de todos los tipos de orígenes de datos

PBTOD = Promedio de bytes de tipo de origen de datos por registro

PRTODD = Promedio de registros de tipo de origen de datos por día

5 Crear dispositivosde almacenamientoinicial

Cree uno o varios dispositivos de almacenamiento ELM de forma quesean suficientemente grandes como para almacenar los datos de cadaARIGB (véase Adición de un dispositivo de almacenamiento para vincularcon un grupo de almacenamiento).

6 Cree grupos dealmacenamiento

Por cada grupo de almacenamiento definido en el Paso 3, cree un grupode almacenamiento de ELM con el tiempo retención asociado del Paso 1,los valores de ARIGB del Paso 4 y los dispositivos de almacenamientoasociados del Paso 5 (véase Adición de un grupo de almacenamiento).

7 Iniciar el registrode datos

Configure los orígenes para que envíen sus registros al ELM, y deje quelo hagan durante uno o dos días.

8 Ajustar lasestimaciones sobrerequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento creado en el Paso 6, ajuste laestimación sobre los requisitos de almacenamiento mediante la ecuaciónsiguiente:

ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024)

Donde:

ARGB = Almacenamiento requerido en gigabytes


PTBGAD = Valor de promedio de tasa de bytes del grupo dealmacenamiento diario del informe estadístico correspondiente

9 Modificar o creardispositivos dealmacenamiento

Por cada valor de ARGB del Paso 8, modifique o cree dispositivos dealmacenamiento ELM para que tengan capacidad de almacenar los datosde ARGB.

10 Modificar losgrupos dealmacenamiento

Si fuera necesario, modifique cada uno de los grupos de almacenamientocreados en el Paso 6 mediante la adición de los dispositivos dealmacenamiento creados en el Paso 9, o bien aumente la asignación delos dispositivos de almacenamiento existentes.



Configuración del almacenamiento de ELMA fin de almacenar registros, el ELM debe tener acceso al menos a un dispositivo de almacenamiento.

El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes dedatos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisitode almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vidade una instalación de ELM.

Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema,véase Configuración de ELM.

Terminología de almacenamiento de ELM

Repase estos términos para trabajar con el almacenamiento de ELM:

• Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puedeacceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado,otros cuentan con capacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos deELM ofrecen capacidad de conexión NAS.

• Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en undispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamientoNAS).

• Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro.

• Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especificanuna cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define elnúmero máximo de días que se almacena un registro.

• Origen de registro: cualquier origen de registros almacenados por ELM.

Tipos de dispositivos de almacenamiento de ELM

Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo dedispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo.

Tipo dedispositivo

Detalles

NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento quecontiene la base de datos de administración de ELM, use la opción Migrar base de datosa fin de mover la base de datos a un dispositivo de almacenamiento distinto (véaseMigración de la base de datos de ELM). Entonces, es posible cambiar de formasegura el campo de punto de montaje remoto y mover la base de datos de vuelta aldispositivo de almacenamiento actualizado.

CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.

• Si emplea un equipo Windows 7 como recurso compartido CIFS, véaseDesactivación del uso compartido de archivos en el Grupo Hogar.

iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.

• El intento de conectar varios dispositivos a un IQN puede provocar la fuga dedatos y otros problemas de configuración.



Tipo dedispositivo

Detalles

SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM yhay volúmenes SAN disponibles.

Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELMvirtual. Es necesario aplicar formato al dispositivo antes de usarlo para elalmacenamiento (véase Configuración de una unidad local virtual para almacenardatos).

Desactivación del uso compartido de archivos en el Grupo HogarWindows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funcionacon otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.


1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.

2 Haga clic en Cambiar configuración de uso compartido avanzado.

3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.

4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.

5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) yhaga clic con el botón derecho en ella.

6 Seleccione Propiedades y haga clic en la ficha Compartir.

7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.

8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.

Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = sepuede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá quemodificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en elpermiso.

Adición de un dispositivo de almacenamiento para vincular con un grupo dealmacenamiento A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, esnecesario definir sus parámetros.

Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo.Un dispositivo no se puede eliminar si está almacenando datos.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos dealmacenamiento.

2 Haga clic en Agregar junto a la tabla superior.



3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada.


El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles.

Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos dealmacenamiento.

Adición o edición de un grupo de almacenamientoUn grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo deretención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros deELM y cuánto tiempo deben conservarse.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo dealmacenamiento.

2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la informaciónsolicitada.


Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempreque este y los dispositivos que tiene asignados no estén almacenando datos.

Traslado de un grupo de almacenamientoCabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro.

Antes de empezarConfigure el dispositivo de almacenamiento al que desee mover el grupo dealmacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo(véase Adición de almacenamiento de datos de ELM duplicado).


1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de

almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento.

3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo elgrupo que se va a mover.

4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione eldispositivo que duplique el grupo de almacenamiento que desea mover.

Se convertirá entonces en el dispositivo de almacenamiento de datos principal.

5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en lalista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.

Reducción del tamaño de asignación de almacenamientoSi un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos dealmacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación.



Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos dealmacenamiento.

Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones delgrupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos.



2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.

3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.

Duplicación del almacenamiento de datos de ELMEs posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datosrecopilados en el dispositivo principal.

Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridadsigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar,se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datossegún van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posiblereasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y,después, designar un dispositivo distinto para la duplicación.

Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado junto aldispositivo ELM en el árbol de navegación del sistema.

Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo dealmacenamiento. La pérdida de conexión puede deberse a lo siguiente:

• El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.

• El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.

• Se ha eliminado accidentalmente un archivo de asignación.

Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento

muestran un icono de advertencia en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizarla función Reconstruir para repararlo.

Adición de almacenamiento de datos de ELM duplicadoCualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con elespacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo dealmacenamiento ELM.

Antes de empezarAgregue los dos dispositivos que desee usar para duplicar los datos al ESM.




1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos dealmacenamiento.

2 Haga clic en Agregar junto a la tabla inferior.

3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregarpara seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación.

Un dispositivo se puede asignar a más de un grupo de forma simultánea.

4 Haga clic dos veces en Aceptar.

Reconstrucción de un grupo de almacenamiento duplicadoSi un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento,puede emplear la función Reconstruir para repararlo.



2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia.

Un cuadro de información sobre herramientas le indicará que la asignación de ELM se estáreconstruyendo o que el dispositivo duplicado se debe reconstruir.

3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir.

Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta.

Desactivación de un dispositivo de duplicaciónSi desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegirotro dispositivo para sustituirlo o seleccionar Ninguno.


1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de

almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo dealmacenamiento y haga clic en Editar.




• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el quedesea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivodistinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno.

• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que deseadesactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distintopara que actúe como dispositivo de almacenamiento de datos.


Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo dealmacenamiento.

Configuración del almacenamiento de datos externoExisten cuatro tipos de almacenamiento externo que se pueden configurar para almacenar datos deELM: iSCSI, SAN, DAS y dispositivo virtual local. Cuando conecte estos tipos de almacenamientoexterno al ELM, podrá configurarlos para almacenar los datos del ELM.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento dedatos.

El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichascorrespondientes.

2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.


Adición de un dispositivo iSCSISi desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar lasconexiones con el dispositivo.



2 En la ficha iSCSI, haga clic en Agregar.


Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI comoa la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de undispositivo de almacenamiento para vincular con un grupo de almacenamiento).

Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar.Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para elalmacenamiento de ELM.

4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic enFormato.



5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.

6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, enDescubrir.

Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.

Aplicación de formato a un dispositivo de almacenamiento para datos de ELMSi tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.

Antes de empezarInstale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con elSoporte de McAfee).



2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.

• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponiblesen la página Agregar dispositivo de almacenamiento.

• Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista devolúmenes disponibles.

• Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes sepueden usar para almacenar datos de ELM.

3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y,después, en Formato.

Al formatear un volumen, se eliminan todos los datos almacenados.

4 Para comprobar si el formato está completo, haga clic en Actualizar.

Si ha finalizado la aplicación de formato, el estado cambia a Preparado.

5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.

Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM.

Asignación de un dispositivo DAS para almacenar datosEs posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM.

Antes de empezarConfigure dispositivos DAS.




1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga

clic en el icono Propiedades .

En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clicen el icono Propiedades.

2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS.

La tabla DAS incluye los dispositivos disponibles para el almacenamiento.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos deELM o ESM.

4 Haga clic en Asignar y, después, en Sí en la página de advertencia.

Una vez asignado un dispositivo, no se puede cambiar.

El ELM se reiniciará.

Configuración de una unidad local virtual para almacenar datosEn primer lugar, es necesario detectar un dispositivo de almacenamiento virtual en el ELM virtual yaplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos dealmacenamiento.

Antes de empezarAgregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entornovirtual. Para agregar el almacenamiento, véase la documentación correspondiente alentorno de máquina virtual.

Entornos virtuales compatibles

• VMware

• KVM

• Amazon Web Services

Formatos de unidad compatibles

• SCSI

• SATA

IDE no se admite.




1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades

y, después, haga clic en Almacenamiento de datos.

Aparecerá un icono de carga mientras el sistema devuelve todos los dispositivos dealmacenamiento disponibles. Si el sistema cuenta con un ESM redundante, los dispositivos sedevolverán en la ficha Redundante.

Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.

2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtualesdisponibles.

La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.

3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivosext4 al dispositivo.

El estado cambiará a Preparado.

Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos dealmacenamiento.

Redundancia de ELMPuede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomoprincipal de su sistema.Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM(véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos dealmacenamiento con una cantidad de espacio combinado que coincida con el espacio dealmacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y elELM en espera mantiene la sincronización de los datos entre ambos dispositivos.

Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volvera poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en lapágina Propiedades de ELM | Redundancia de ELM.

CambioSi el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en esperapasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y lasacciones de configuración se bloquean durante el proceso de cambio.

Nueva puesta en servicioSi el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcionede nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia semantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el procesode redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero sedevuelve un estado de error que indica que uno o varios grupos no están configurados. Deberácorregir esos grupos manualmente.

Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva aaplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos deconfiguración con el ELM en espera y la redundancia continúa como hasta el momento.



Suspensión

Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar dehacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de erroresrelativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo elproceso para volver a ponerlo en servicio.

Desactivación de la redundancia en el ELM

Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copiade los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad alactivar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuraciónguardados.

Visualización del estado

Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo;para ello, seleccione la opción Estado.

Configuración de la redundancia de ELMSi dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para elregistro mediante la adición de un ELM en espera.

Antes de empezarDebe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfeeEnterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición dedispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero noagregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase encontacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores defábrica.


1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades

.

2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.

3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.

4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que estéseleccionada la ficha Activo.

5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo dealmacenamiento para vincular con un grupo de almacenamiento).

6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengansuficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.

7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupode almacenamiento).

La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización delos datos entre ambos dispositivos.



Administración de la compresión de ELMComprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar másregistros por segundo.

Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cadanivel.

Nivel Tasa de compresión Porcentaje de compresiónmáximo

Porcentaje de máximo deregistros procesados por segundo

Baja 14:1 72 % 100 %

Media 17:1 87 % 75 %

Alta 20:1 100 % 50 %

Las tasas de compresión reales variarán en función del contenido de los registros.

• Si está más preocupado por ahorrar espacio en el disco que por el número de registros que seprocesan por segundo, elija la compresión alta.

• Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en eldisco, elija la compresión baja.

Establecimiento de la compresión de ELMSeleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en eldisco o de procesar más registros.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic enConfiguración de ELM | Compresión.

2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar.

Se le notificará cuando se actualice el nivel.

Visualización de los resultados de una búsqueda o una comprobación deintegridadCuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver losresultados.

Antes de empezarEjecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM.

2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.

3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.



Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM.

Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquinavirtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsquedade ELM.

Creación de copias de seguridad y restauración de ELMSi se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad dela configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración,incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no seincluyen en la copia de seguridad.

Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así comoduplicar la base de datos de administración de ELM. La función de duplicación permite la creación decopias de seguridad de los datos de registro en tiempo real.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM.

2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad yrestauración.



Crear copia de seguridad de ELM ahora Proporcione la información solicitada y haga clic en Haceruna copia de seguridad ahora.

Crear copia de seguridad de laconfiguración de ELM automáticamente

Seleccione la frecuencia y proporcione la informaciónnecesaria.

Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datosde ELM se restaurará a la configuración de una copia deseguridad anterior.

Restauración de los datos de registro y la base de datos de administraciónde ELMSi desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en elnuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse.

Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante elAsistente de adición de dispositivos.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELMque se va a reemplazar.

Una página de advertencia le informará de que el sistema no puede localizar el ELM.

2 Cierre la página de advertencia y haga clic en Conexión.

3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.

Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta.



4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente.

5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.

6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELMde la página Propiedades | Configuración de cada dispositivo.

La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en elnuevo ELM. Este proceso puede durar varias horas.

Visualización del uso de almacenamiento de ELMLa visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre laasignación de espacio en el dispositivo.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración deELM.

2 Haga clic en Ver uso.

Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a losgrupos y el dispositivo de almacenamiento de ELM.


Migración de la base de datos de ELMLa base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM.La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos deadministración depende del modelo.

Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el discopara almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para elalmacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficienteen el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrarbase de datos en la página Propiedades de ELM para establecer esa ubicación.

Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos deadministración una vez que contiene registros, la sesión de ELM permanece en espera durante variashoras hasta que finaliza la migración, en función del número de registros que contenga. Serecomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez.

Definición de una ubicación de almacenamiento alternativaA fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajenaal ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionarun segundo dispositivo para duplicar lo que se almacene.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic enConfiguración de ELM | Migrar base de datos.

2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación.




Sustitución de una base de datos de administración de ELM duplicadaSi el dispositivo de almacenamiento de la base de datos de administración duplicada tiene unproblema, podría ser necesario sustituirlo.


1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo dealmacenamiento de la base de datos de administración que tiene el problema y haga clic en el

icono Propiedades .

2 Haga clic en Configuración de ELM y seleccione Migrar base de datos.

3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la listadesplegable Dispositivo de almacenamiento de datos duplicado.

4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bienseleccione Ninguno para detener la duplicación.

Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo dealmacenamiento.

Recuperación de datos de ELMPara recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridaden la página Datos.

Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alteradosdesde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada dearchivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestranqué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sidocorrecta.

El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridadsimultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puederealizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo lanueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar lostrabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevara cabo su búsqueda.

Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de loslímites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin decomprobar el estado, que aparece en la tabla Resultados de la búsqueda.

Creación de un trabajo de búsquedaPara buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo debúsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante,cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en elmenor tiempo.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.

2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar.



Creación de un trabajo de comprobación de integridadEs posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente através de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de loscampos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina labúsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menortiempo.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.

2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar.

Configuración de Advanced Correlation Engine (ACE)McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo realmediante la lógica basada tanto en reglas como en el riesgo.

Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidoresespecíficos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y lasreproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense.

El ACE se puede configurar con los modos en tiempo real o histórico.

• Modo en tiempo real: los eventos se analizan a medida que se recopilan para la deteccióninmediata de riesgos y amenazas.

• Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores decorrelación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubrenuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado,permitiendo así la detección de amenazas subzero-day.

Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM,ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE unaconfiguración propia para administradores de riesgos, recuperación de registros y eventos, conexión ydirectivas.

• Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. Lacorrelación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere unajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sinreglas, las firmas de detección se sustituyen por una configuración única: basta con identificar loque es importante para la empresa (como un servicio o una aplicación particulares, un grupo deusuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividadrelacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o bajaen función de la actividad en tiempo real.

Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alertadel aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado enreglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conservauna pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisise investigaciones sobre la situación de las amenazas a lo largo del tiempo.



• Correlación basada en reglas: detecta las amenazas a través de la correlación de eventostradicional basada en reglas para analizar la información recopilada en tiempo real. El ACEcorrelaciona todos los registros, eventos y flujos de red junto con información contextual comoidentidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenazamayor.

Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACEcomplementa esta capacidad y proporciona un recurso de procesamiento dedicado paracorrelacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes decorrelación existentes o para sustituirlos por completo.

Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos,recuperación de registros y eventos, conexión y directivas.

Selección del tipo de datos para el ACEESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar alACE. La opción predeterminada es enviar solo datos de eventos.


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.

2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.


Adición de un administrador de correlaciónPara utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación dereglas o riesgos.

Antes de empezarDebe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola deESM).


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE.

2 Haga clic en Administración de correlación y, después, en Agregar.

3 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar.

Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tiposde administradores.

4 Introduzca la información solicitada y, a continuación, haga clic en Finalizar.

Adición de un administrador de correlación de riesgosEs necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para loscampos designados.




1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración decorrelación de riesgos.

2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.

3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.

Adición de una calificación de correlación de riesgosEs necesario agregar sentencias condicionales que asignen una calificación a un campo de destino.


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación decorrelación de riesgos.



Utilización de la correlación históricaLa opción de correlación histórica permite correlacionar los eventos pasados.

Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registroshistóricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de redfácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas deCorrelación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual esposible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puederesultar útil en las siguientes situaciones:

• No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuentade que la correlación podría haber revelado información valiosa.

• Está configurando una nueva correlación en función de los eventos activados en el pasado y deseaprobarla para confirmar que ofrece los resultados esperados.

Tenga en cuenta lo siguiente cuando utilice la correlación histórica:

• La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.

• La distribución de riesgo se verá distorsionada por la agregación de eventos.

• Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, esnecesario ajustar los umbrales.

Para configurar y ejecutar la correlación histórica es necesario:

1 Agregar un filtro de correlación histórica.

2 Ejecutar una correlación histórica.

3 Descargar y ver los eventos históricos correlacionados.

Adición y ejecución de una correlación históricaA fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y,después, ejecutar la correlación.




1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.


3 Seleccione Activar correlación histórica y haga clic en Aplicar.

La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.

4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.

El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables.

Descarga y visualización de los eventos de correlación históricaUna vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado.


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros |Obtener eventos.

Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM.

2 Cierre la ventana Propiedades de ACE.

3 Para ver los datos:

a En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba deejecutar los datos históricos.

b En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas,seleccione el periodo especificado al configurar la ejecución.

Los resultados de la consulta aparecerán en el panel de visualización.

Configuración de Application Data Monitor (ADM)McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en lared mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido delas aplicaciones.

Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su usoen la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoríade conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que seenmascaran como aplicaciones legítimas.

ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correoelectrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST uotras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediantela definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puededetectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión afin de conservar una traza de auditoría.



ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación.

• Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente)

• Correo electrónico: SMTP, POP3, NNTP, MAPI

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cualinserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena elpaquete que activó la regla en el campo correspondiente de la tabla de eventos. También agregametadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cadaregla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquetede la tabla de consultas.

ADM puede generar los siguientes tipos de eventos.

• Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la redcon detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicacióncoloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla desesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos.

• Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente enlos módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto opara contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta noválido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla deeventos.

• Activador de regla: los eventos de activación de reglas se generan mediante expresiones de reglaque detectan anomalías en los metadatos generados por el motor de Internet CommunicationsEngine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de lashoras habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Loseventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos.

La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación deregla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante elID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventosde metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes,donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento.

La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (talescomo un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros desesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran másdetalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si unatransferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a latabla de eventos.

La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenidoque tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del IDde sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo ouna regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla depaquetes mediante el campo de texto, donde se encuentra una representación textual de la pila decontenido o el protocolo completo.



Configuración de la zona horaria de ADMEl dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que eldispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean elactivador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera.

El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a lahora de evaluar las reglas.


1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

2 Haga clic en Zona horaria y seleccione su zona horaria.


Visualización de contraseñas en el Visor de sesiónEl Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Lasreglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Esposible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada,no se muestran.


1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

La opción Contraseñas indica que el registro está Desactivado.

2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar.

El sistema ejecutará el comando y le avisará cuando haya terminado.

La opción Contraseñas indica ahora que el registro está Activado.

Diccionarios de Application Data Monitor (ADM)Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las clavescapturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que empleande forma predeterminada el valor booleano verdadero cuando están presentes.

Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tenerque escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin deseleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario conpalabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente paracomprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario:

protocol == email && naughtyWords[objcontent]

Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar eldiccionario al que debe hacer referencia la regla.

Los diccionarios admiten millones de entradas.

La adición de un diccionario a una regla implica los pasos siguientes:



1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores.

2 Administrar el diccionario en el ESM.

3 Asignar el diccionario a una regla.

Configuración de un diccionario de ADMUn diccionario es un archivo de texto sin formato que consta de una entrada por línea. Haydiccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto unaclave como un valor.

Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores sonbooleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, seutiliza el valor booleano verdadero si no se indica otro.

Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM:cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar lassiguientes directrices de formato:

Tipo Reglas de sintaxis Ejemplos Contenido decoincidencia

Cadena • Las cadenas se debendelimitar entre comillas dobles

• Las comillas dobles incluidasen una cadena deben iracompañadas de barrasdiagonales invertidas a modode caracteres de escape antesde cada comilla

“Contenido malo”

“Dijo: \“Contenido malo\””

Contenido malo

Dijo: “Contenidomalo”

Expresiónregular

• Las expresiones regulares sedelimitan mediante barrasdiagonales simples

• Las barras diagonales y loscaracteres de expresiónregular reservados incluidos enla expresión regular se debenacompañar de barrasdiagonales invertidas comocaracteres de escape

/[Aa]pple/

/apple/i

/ [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\.[0-9]/

/1\/2 de todo/

Apple o apple

Apple o apple

Direcciones IP:

1.1.1.1

127.0.0.1

1/2 de todo

Números • Valores decimales (0-9)

• Valores hexadecimales(0x0-9a-f)

• Valores octales (0-7)

Valor decimal

Valor hexadecimal

Valor octal

123

0x12ab

0127



Tipo Reglas de sintaxis Ejemplos Contenido decoincidencia

Booleanos • Pueden ser verdaderos o falsos

• Todo en minúscula

Literales booleanos verdadero

falso

IPv4 • Se puede escribir en elformato estándar de cuatronúmeros separados por puntos

• Se puede escribir en notaciónCIDR

• Se puede escribir en formatolargo con máscaras completas

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0 –255]

192.168.1.[0 –255]

Tenga en cuenta lo siguiente sobre los diccionarios:

• Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en losdiccionarios.

• Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se puedencombinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un únicoarchivo de diccionario de ADM.

• Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#)se consideran comentarios en un diccionario de ADM.

• Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de teneruna longitud total igual o inferior a 20 caracteres.

• No se admiten las listas.

• En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediantecualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificacióno creación de nuevos diccionarios de ADM.



Ejemplos de diccionarios de ADMEl motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica opropiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en eldiccionario o no existe en el diccionario).

Tabla 3-25 Ejemplos de diccionarios de una columna

Tipo de diccionario Ejemplo

Diccionario de cadenas conpalabras comunes en spam

“Cialis”

“cialis”

“Viagra”

“viagra”

“web para adultos”

“Web para adultos”

“¡actúe ahora, no se lo piense!”

Diccionario de expresionesregulares con palabras clavede autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i

/fondos[â-z0-9]{1,3}transacción/i

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i

Diccionario de cadenas convalores de hash deejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Direcciones IP de activoscríticos

192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tabla 3-26 Ejemplos de diccionarios de dos columnas

Tipo de diccionario Ejemplo

Diccionario de cadenas conpalabras y categoríascomunes en spam

“Cialis” “genérico”

“cialis” “genérico”

“Viagra” “genérico”

“viagra” “genérico”

“web para adultos” “adultos”

“Web para adultos” “adultos”

“¡actúe ahora, no se lo piense!” “fraude”

Diccionario de expresionesregulares con palabras clavey categorías de autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i “credenciales”

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i“pii”

/fondos[â-z0-9]{1,3}transacción/i “sox”

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i “sox”

Diccionario de cadenas convalores de hash y categoríasde ejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9" “Troyano”

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”

"ff669082faf0b5b976cec8027833791c" “Troyano”

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Direcciones IP y grupos deactivos críticos

192.168.1.12 “Activos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Activos críticos”

Administración de diccionarios de ADMUna vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También esposible exportarlo, editarlo y eliminarlo.


1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM.

La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema.

2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.



Cómo hacer referencia a un diccionario de ADMCuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribirlas reglas.

Antes de empezarImporte el diccionario al ESM.


1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM.

2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógicade expresión.

3Arrastre y suelte el icono Componente de expresión en el elemento lógico.

4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario.

5 Rellene los campos restantes y haga clic en Aceptar.

Material de referencia para reglas de ADMEste apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor dedirectivas.

Sintaxis de las reglas de ADMLas reglas de ADM son muy similares a las expresiones de C.

La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresionesregulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden compararcon literales de cadena y expresión regular a fin de comprobar su contenido, pero también se puedencomparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y dedirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es quecualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términospueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de losarchivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.

Tabla 3-27 Operadores

Operador Descripción Ejemplo

&& AND lógico protocol = = http && type = = image/gif

|| OR lógico time.hour < 8 || time.hour > 18

^ ^ XOR lógico email.from = = "[email protected]" ^êmail.to = = "[email protected]"

! NOT unario ! (protocol = = http | | protocol = = ftp)

= = Igual que type = = application/pdf

! = No igual que srcip ! = 192.168.0.0/16

> Mayor que objectsize > 100M

> = Mayor o igual que time.weekday > = 1



Tabla 3-27 Operadores (continuación)

Operador Descripción Ejemplo

< Menor que objectsize < 10K

< = Menor o igual que time.hour < = 6

Tabla 3-28 Literales

Literal Ejemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadena "una cadena"

Expresión regular /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booleano true, false

Tabla 3-29 Compatibilidad entre tipos y operadores

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresiónregular

Cadena >, > =, <, <= Comparar la longitud de la cadena

IPv4 = =, ! =

MAC = =, ! =

Booleano = =, ! = Comparar con verdadero/falso; también admite la comparaciónimplícita con verdadero, por ejemplo, lo siguiente comprueba siaparece el término “email.bcc”: email.bcc

Tabla 3-30 Gramática de las expresiones regulares de ADM

Operadores básicos

| Alternancia (o)

* Cero o más

+ Uno o más

? Cero o uno

( ) Agrupación (a | b)

{ } Intervalo repetitivo {x} o {,x} o {x,} o {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo exclusivo [âbc] [^0-9]

. Cualquier carácter

\ Carácter de escape



Caracteres de escape

\d Dígito [0-9]

\D No dígito [^0-9]

\e Escape (0x1B)

\f Avance de página (0x0C)

\n Avance de línea (0x0A)

\r Retorno de carro (0x0D)

\s Espacio en blanco

\S No espacio en blanco

\t Tabulación (0x09)

\v Tabulación vertical (0x0B)

\w Palabra [A-Za-z0-9_]

\W No palabra

\x00 Representación hexadecimal

\0000 Representación octal

^ Inicio de línea

S Fin de línea

Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.

Clases de caracteres POSIX

[:alunum:] Dígitos y letras

[:alpha:] Todas las letras

[:ascii:] Caracteres ASCII

[:blank:] Espacio y tabulación

[:cntrl:] Caracteres de control

[:digit:] Dígitos

[:graph:] Caracteres visibles

[:lower:] Letras minúsculas

[:print:] Espacios y caracteres visibles

[:punct:] Puntuación y símbolos

[:space:] Todos los caracteres de espacio en blanco

[:upper:] Caracteres en mayúscula



Clases de caracteres POSIX

[:word:] Caracteres de palabras

[:xdigit:] Dígito hexadecimal

Tipos de términos para reglas de ADMTodos los términos de una regla de ADM son de un tipo concreto.

Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valorbooleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Untérmino de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo ouna lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla:

1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. Laregla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password”es un término de cadena): password < 8

2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activasi una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/

3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar siestán presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene unadirección CC (“email.cc” es un término de cadena): email.cc == true

Tipo Descripción del formato

DireccionesIP

• Los literales de dirección IP se escriben con el formato estándar de cuatro númerosseparados por puntos y no se delimitan mediante comillas: 192.168.1.1

• Las direcciones IP pueden presentar una máscara expresada en notación CIDRestándar; no deben existir espacios en blanco entre la dirección y la máscara:192.168.1.0/24

• Las direcciones IP también se pueden escribir con el formato largo:192.168.1.0/255.255.255.0

DireccionesMAC

• Los literales de dirección MAC se escriben mediante la notación estándar y, al igualque las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff

Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresaren formato decimal: 1234

• Se pueden expresar en formato hexadecimal: 0xabcd

• Se pueden expresar en formato octal: 0777

• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o1 073 741 824 (G): 10M




Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"

• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una\"cadena\" que contiene\x20secuencias de escape\n"

• Al comparar un término con una cadena, el término debe coincidir con la cadena alcompleto. Si un mensaje de correo electrónico tiene la dirección de origen“[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com”

• Para usar la coincidencia parcial con un término, hay que usar un literal deexpresión regular en su lugar. Se deben utilizar literales de cadena siempre que seaposible, ya que resultan más eficaces.

Todos los términos de dirección de correo electrónico y URL se normalizan antes de lacoincidencia, por lo que no es necesario tener en cuenta cosas como los comentariosincluidos en las direcciones de correo electrónico.

Booleanos • Los literales booleanos son verdadero (true) y falso (false).




Expresionesregulares

• Los literales de expresión regular emplean la misma notación que algunoslenguajes, como Javascript y Perl, por lo que la expresión regular se delimitamediante barras diagonales: /[a-z]+/

• Las expresiones regulares pueden ir seguidas de indicadores de modificaciónestándar, aunque "i" es el único que se reconoce actualmente (sin distinción entremayúsculas y minúsculas): /[a-z]+/i

• Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En estemomento, las extensiones Perl funcionan para todos los términos excepto el decontenido, pero esto podría cambiar en versiones futuras.

• Si se compara un término con una expresión regular, esta puede coincidir concualquier subcadena incluida en el término a menos que se apliquen operadores deanclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje decorreo electrónico con la dirección “[email protected]”: email.from == /@lugar.com/

Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes yseparados por comas: [1, 2, 3, 4, 5]

• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas ynúmeros, cadenas y expresiones regulares o direcciones IP y direcciones MAC.

• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de lasdirecciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==192.168.1.3

• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si eltérmino no coincide con todos los literales de la lista. La siguiente regla se activa sila dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,192.168.1.2]

• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2

• Las listas también se pueden usar con otros operadores relacionales, aunque notiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superiora 100, o bien si es superior a 200: objectsize > [100, 200]

• Esto es equivalente a: objectsize > 100 || objectsize > 200

Referencias métricas para reglas de ADMA continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cualesestán disponibles en la página Componente de expresión cuando se agrega una regla de ADM.

En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puedeindicar para cada una se muestra entre paréntesis tras la referencia métrica.

Propiedades comunes

Propiedad o término Descripción

Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).

Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correoelectrónico o mensaje de chat, etc.). La coincidencia de contenido noestá disponible para los datos binarios. Sin embargo, los objetosbinarios se pueden detectar mediante el tipo de objeto (objtype).




Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos deOffice, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.).

Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K,M y G tras el número (10K, 10M, 10G).

Object Hash (cadena) El hash del contenido (actualmente, MD5).

Object Source IP Address(número)

Dirección IP de origen del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Destination IPAddress (número)

Dirección IP de destino del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Source Port(número)

El puerto TCP/UDP de origen del contenido.

Object Destination Port(número)

El puerto TCP/UDP de destino del contenido.

Object Source IP v6Address (número)

Dirección IPv6 de origen del contenido.

Object Destination IPv6Address (número)

Dirección IPv6 de destino del contenido.

Object Source MAC Address(nombre de MAC)

Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).

Object Destination MACAddress (nombre de MAC)

Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).

Flow Source IP Address(IPv4)

Dirección IP de origen del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Destination IP Address(IPv4)

Dirección IP de destino del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Source Port (número) Puerto TCP/UDP de origen del flujo.

Flow Destination Port(número)

Puerto TCP/UDP de destino del flujo.

Flow Source IPv6 Address(número)

Dirección IPv6 de origen del flujo.

Flow Destination IPv6Address (número)

Dirección IPv6 de destino del flujo.

Flow Source MAC Address(nombre de MAC)

Dirección MAC de origen del flujo.

Flow Destination MACAddress (nombre de MAC)

Dirección MAC de destino del flujo.

VLAN (número) ID de LAN virtual.

Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1corresponde al lunes.

Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre0 y 23.

Declared Content Type(cadena)

Tipo de contenido de acuerdo con el servidor. En teoría, el tipo deobjeto (objtype) es siempre el tipo real, mientras que el tipo decontenido declarado (content-type) no resulta fiable, ya que el servidoro la aplicación lo pueden falsificar.

Password (cadena) La contraseña utilizada por la aplicación para la autenticación.




URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.

File Name (cadena) Nombre del archivo transferido.

Display Name (cadena)

Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.

Anomalías comunes

• User logged off (literal booleano)

• Authorization error (literal booleano)

• Authorization successful (literal booleano)

• Authorization failed (literal booleano)

Propiedades específicas de protocolosAdemás de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM tambiénofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todaslas propiedades específicas de protocolos están disponibles también en la página Componente de expresióna la hora de agregar una regla de ADM.

Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:

* Solo detección** Sin descifrado, se capturan los certificados X.509 y los datos cifrados*** A través del módulo RFC822

Tabla 3-31 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**

Nombre de pantallaNombre de archivo

Nombre de host

URL

Nombre de pantalla

Nombre de archivo

Nombre de host

Referer

URL

Todos los encabezados HTTP

Nombre de pantalla

Nombre de archivo

Nombre de host

Nombre de pantalla

Nombre de archivo

Nombre de host



Tabla 3-32 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO

CC

Nombre depantalla

De

Nombre de host

Asunto

Para

Nombre deusuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Asunto***

Para***

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

Nombre de usuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Para***

Asunto***

Tabla 3-33 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo

Nombre de datosadjuntos

CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***

Anomalías de protocoloMás allá de las propiedades comunes y las propiedades de protocolos específicos, ADM tambiéndetecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas laspropiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componentede expresión cuando se agrega una regla de ADM.

Tabla 3-34 IP

Término Descripción

ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.

ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.

ip.fragmented El paquete IP está fragmentado.

ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.

ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.



Tabla 3-35 TCP


tcp.too-small El paquete TCP es demasiado pequeño para contener unencabezado válido.

tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final delpaquete.

tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.

tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.

tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.

tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeñade TCP del módulo, no la ventana real).

tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero nose ha definido el indicador URG.

Tabla 3-36 DNS


dns.too-small El paquete DNS es demasiado pequeño para contener unencabezado válido.

dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.

dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.

dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes delongitud.

dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.

Configuración de Database Event Monitor (DEM)McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio deauditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación deinformes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide conpatrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todaslas transacciones se registran para garantizar la conformidad.

El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde lamisma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácilajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, quétransacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general.

El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las basesde datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección deintrusiones. Para garantizar que la actividad de todos los servidores de base de datos se puedasupervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexiónde red, seguridad, conformidad y bases de datos.

Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP dered o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar osupervisar el tráfico en los servidores de base de datos y crear un registro de auditoría.

Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones deservidor de base de datos compatibles.



Sistema operativo Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008,2012

Windows, UNIX/Linux (todas lasversiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g (c),11g R2³

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (disponible en laversión 8.4.0 o posterior)

11.5

Windows, UNIX/Linux (todas lasversiones)

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas las versiones) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0y posteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

Lo siguiente es aplicable a estos servidores y estas versiones:

• Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y lasplataformas de base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite en MSSQL y Oracle.

Actualización de la licencia de DEMEl DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviaráuna nueva licencia en un mensaje de correo electrónico y deberá actualizarla.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.

2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.


El sistema actualizará la licencia y le avisará cuando haya terminado.

4 Despliegue la directiva en el DEM.

Sincronización de los archivos de configuración de DEMCuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, esnecesario escribirlos en el DEM.





2 Haga clic en Sincronizar archivos.

Aparecerá un mensaje que indica el estado de la sincronización.

Configuración de opciones avanzadas de DEMEstas opciones avanzadas cambian o aumentan el rendimiento del DEM.



2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones siexperimenta una carga muy elevada en el DEM.


Aplicación de las opciones de configuración al DEMLos cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM.En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración deDEM permite hacerlo para todas las opciones de configuración del DEM.




Un mensaje le informará de la escritura de las opciones de configuración en el DEM.

Definición de acciones para eventos de DEMLa configuración de Administración de acciones del DEM define las acciones y operaciones para los eventosque se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar accionespersonalizadas y establecer la Operación para las acciones predeterminadas y personalizadas.El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la páginaAdministración de acciones, y estas son las operaciones predeterminadas:

• ninguna • secuencia de comandos

• ignorar • restablecer

• rechazar

Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia decomandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cualse ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables deentorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene unalista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash demuestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puedecapturar la acción de importancia en una secuencia de comandos.



Recuerde lo siguiente cuando trabaje con acciones y operaciones:

• Las acciones aparecen por orden de prioridad.

• Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje aun localizador, a menos que se especifique como acción de alerta.

• Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar unaacción para el nivel de alerta más alto.

• Los eventos se escriben en un archivo de eventos independientemente de la acción. La únicaexcepción es una operación Rechazar.

Adición de una acción de DEMSi se agrega una acción a la administración de acciones de DEM, aparece en la lista de accionesdisponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla comoacción para una regla.


1En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, enHerramientas | Administrador de acciones de DEM.

La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad.

No es posible cambiar el orden de prioridad de las acciones predeterminadas.

2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.

No es posible eliminar una acción personalizada una vez agregada.


La nueva acción se agregará a la lista de Administración de acciones de DEM.

La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véaseEstablecimiento de la operación para una acción de DEM.

Edición de una acción personalizada de DEMTras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editarsu nombre o cambiar la prioridad.


1En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, enHerramientas | Administrador de acciones de DEM.

2 Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones:

• Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta quese encuentre en la posición correcta.

• Para cambiar el nombre o la descripción, haga clic en Editar.




Establecimiento de la operación para una acción de DEMTodas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción deDEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación decualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración deacciones.

2 Resalte la acción que desee editar y haga clic en Editar.

3 Seleccione una operación y haga clic en Aceptar.

Utilización de máscaras de datos confidencialesLas máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datosconfidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica,denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datosdel ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas yeditar o eliminar las existentes.

Estas son las máscaras estándar:

• Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito

Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

Índice de subcadenas: \0

Patrón de enmascaramiento: ####-####-####-####

• Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS

Expresión: (\d\d\d-\d\d)-\d\d\d\d


Patrón de enmascaramiento: ###-##

• Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL

Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


Patrón de enmascaramiento: ********

Administración de máscaras de datos confidencialesA fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras dedatos confidenciales y editar o eliminar las existentes.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datosconfidenciales.

2 Seleccione una opción y rellene la información solicitada.

3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM.

Administración de la identificación de usuariosGran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse ydistinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para accedera la base de datos. La administración de identificadores proporciona una forma de capturar el nombrede usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patronesde expresión regular.

Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Seagregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega undispositivo DEM al sistema.

• Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL

Expresión: select\s+username=(\w+)

Aplicación: Oracle


• Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado

Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)',

Aplicación: MSSQL


Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros deadministración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación,servidor web y sistema.

Adición de una regla de identificador de usuarioA fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas deidentificación de usuarios existentes o de agregar una regla nueva.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración deidentificadores.


3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM.



Acerca de los servidores de base de datosLos servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada enun servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso,se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos.

El DEM admite actualmente los siguientes servidores y versiones de base de datos.

SO Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows UNIX/Linux (todaslas versiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (véase la nota 4) 11.5

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas lasversiones)

Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS 400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones8.3.0 y posteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 yposteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores.

• Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativosy las plataformas de base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite para MSSQL y Oracle.

Administración de servidores de base de datosLa página Servidores de base de datos es el punto de inicio para la administración de la configuración detodos los servidores de base de datos del dispositivo DEM.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base dedatos.

2 Seleccione cualquiera de las opciones disponibles.


Administración de notificaciones de descubrimiento de base de datosEl DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista deexcepciones de servidores de base de datos que no se supervisan. Esta lista permite a unadministrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno ylos puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos.Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Esposible elegir entonces si agregar o no el servidor a los supervisados en el sistema.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidoresde base de datos | Activar.

Se le notificará la activación.

2 Haga clic en Aceptar para cerrar Propiedades de DEM.

3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema yseleccione Vistas de evento | Análisis de eventos.

4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú

y seleccione Agregar servidor.

Configuración del ESM distribuido (DESM)El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principalconectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extraelos datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder ainformación detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM.El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecerfiltros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas nieventos del DESM hasta que está aprobado.

Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "EsteESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.".Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESMprincipal puede tener con el DESM.

El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principalmuestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extraeeventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas sedesactivan en todos los dispositivos secundarios del DESM.

El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, unsubconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según losfiltros que se hayan definido.



Adición de filtros de DESMLos datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos porel usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de formaque se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función delDESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), esnecesario establecer filtros para que se recuperen los datos del ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.

2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar.

Configuración de ePolicy OrchestratorEs posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán comoelementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder aalgunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP deorigen o destino directamente y a los eventos generados por alarmas.

ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no deePolicy Orchestrator.

Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicyOrchestrator para poder usar ePolicy Orchestrator.

Si el dispositivo McAfee ePO tiene un servidor de McAfee®

Threat Intelligence Exchange (TIE), seagrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con ThreatIntelligence Exchange).

Ejecución de ePolicy OrchestratorSi dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP deePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestratordesde ESM.

Antes de empezarAgregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM.

Esta función está disponible en ePolicy Orchestrator 4.6 o posterior.


1 En el árbol de navegación del sistema, seleccione una vista.

2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular quedevuelva datos de IP de origen o destino.



3En el menú del componente , haga clic en Acción | Ejecutar ePO.

• Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y haseleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator.

• Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema,seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator.

• Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique sidesea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicyOrchestrator.

Autenticación de dispositivos McAfee ePOSe requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee RealTime for McAfee ePO.

Hay dos tipos de autenticación:

• Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO,puede utilizar estas funciones tras introducir las credenciales globales.

• Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo enel árbol de dispositivos.

Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método deautenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará queintroduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con estedispositivo.

Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo planomediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradasoriginalmente.

Configuración de la autenticación mediante cuentas independientes

La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas quedebe hacer para configurar la autenticación mediante cuentas independientes.

1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePOal ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola deESM o Cambio de la conexión con ESM).

2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticaciónde McAfee ePO).

Adición de credenciales de autenticación de McAfee ePOAntes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, esnecesario agregar las credenciales de autenticación al ESM.

Antes de empezarInstale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola deESM).

Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contactocon el administrador del sistema.




1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, enCredenciales de ePO.


3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión.


Asignación de etiquetas de ePolicy Orchestrator a las direcciones IPLa ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventosgenerados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. Tambiénse puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP.

A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir yborrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator.


1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.

2 Introduzca la información solicitada y, a continuación, haga clic en Asignar.

Las etiquetas seleccionadas se aplicarán a la dirección IP.

Adquisición de datos de McAfee Risk AdvisorEs posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfeeRisk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la basede datos de SQL Server de ePolicy Orchestrator.

La consulta de base de datos tiene como resultado una lista de calificaciones de reputación dedirecciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputaciónalta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IPduplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos yaltos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.

Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee RiskAdvisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos ydos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos yCalificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear unadministrador de correlación de riesgos.

Activación de la adquisición de datos de McAfee Risk AdvisorCuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se generauna lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificaciónde los campos IP de origen e IP de destino.




1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y,después, haga clic en Activar.

Se le informará cuando la adquisición haya sido activada.


Realización de acciones de McAfee Real Time for McAfee ePOEs posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una preguntadesde el ESM y el componente que muestra una dirección IP en la vista.

Antes de empezarDiseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta enMcAfee ePO del panel de McAfee Real Time for McAfee ePO).


1En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestrelos resultados de una pregunta de McAfee Real Time for McAfee ePO.

2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO.

3 En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción.

4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivosseleccionados.

5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación,pulse Finalizar.

Los filtros no están disponibles en el panel o los componentes de McAfee ePO.

Integración con Threat Intelligence ExchangeThreat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpointsconectados a estos archivos.

Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hayun servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza aescuchar los eventos de DXL y de registro.

Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, elenriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agreganautomáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificaciónvisual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor deThreat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo sehaya agregado al ESM.

Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial deejecución (véase Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.



Reglas de correlación

Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estasreglas generan eventos que se pueden buscar y ordenar.

• TIE - Reputación de GTI cambiada de limpia a contaminada

• TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts

• TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts

• TIE - Varios archivos maliciosos encontrados en un único host

• TIE - Reputación de TIE cambiada de limpia a contaminada

• TIE - Aumento de archivos maliciosos detectado en todos los hosts

Alarmas

El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de ThreatIntelligence Exchange.

• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso(SHA-1) encontrado en un número creciente de hosts.

• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agregainformación a la lista de vigilancia IP de orígenes de datos de TIE.

Lista de vigilancia

La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado laalarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.

Historial de ejecución de Threat Intelligence Exchange

Existe la posibilidad de ver el historial de ejecución de cualquier evento de Threat IntelligenceExchange (véase Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence Exchange), el cual incluye una lista de las direcciones IP que han intentado ejecutar elarchivo. En esta página, puede seleccionar un elemento y realizar cualquiera de estas acciones:

• Crear una nueva lista de vigilancia • Agregar la información a una lista negra

• Anexar la información a una lista devigilancia

• Exportar la información a un archivo .csv

• Crear una nueva alarma

Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence ExchangeLa página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemasque han ejecutado el archivo asociado con el evento seleccionado.

Antes de empezarEs necesario que exista un dispositivo ePolicy Orchestrator con un servidor de ThreatIntelligence Exchange conectado en el ESM.




1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicyOrchestrator.

2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic enel evento.

3Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE.

4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de ThreatIntelligence Exchange.

5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menúdesplegable Acciones y seleccione una opción para abrir su página de ESM.

6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones).

Consultas en dispositivos McAfee ePO sobre informes o vistasEs posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si estánintegrados con McAfee Real Time for McAfee ePO.

Antes de empezarCompruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee RealTime for McAfee ePO.


1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono

Propiedades y, después, en Informes.

2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en lasección 5.

3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular.

4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación,seleccione el elemento o la pregunta para la consulta.

5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfeeePO que consultar.

6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic enAceptar.

7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccionelos elementos que desee incluir en la pregunta y haga clic en Aceptar.

8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades yguarde el informe.



Consultas en dispositivos McAfee ePO para el enriquecimiento de datosEs posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos siestán integrados con McAfee Real Time for McAfee ePO.



1En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,después, haga clic en Enriquecimiento de datos.

2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal.

3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después,seleccione los dispositivos en el campo Dispositivo.

4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación,haga clic en Finalizar.

Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time forMcAfee ePOSe puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee RealTime for McAfee ePO.



1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar.

2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO.

3 Seleccione los filtros en el panel Filtros:

a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para laconsulta.

b En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto.

c Seleccione la acción de filtrado y escriba el valor.

4Haga clic en el icono Ejecutar consulta .

Configuración de Nitro Intrusion Prevention System (Nitro IPS)El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en lared sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPSincluye un administrador de datos incrustado (empleado para la administración, la adquisición y el



análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, ladetección de anomalías.

El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todoello en función de un conjunto de reglas definido por el usuario que se especifica mediante unlenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewallcompletamente funcional controlado por reglas de firewall estándar del sector, el cual proporcionacapacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar.

Asistente de detección de anomalías Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si sehan recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y unadescripción de todas las variables disponibles en el dispositivo seleccionado.

Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una reglaque solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de lacategoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían notener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasaproporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estosparámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propioso hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores deacuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomiendafamiliarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a finde elegir los mejores valores en su caso.

El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para losparámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patronesdel tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen unagran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estoscálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcularestos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lodeseado.

A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y lasvariables que afectan a su funcionamiento:

Regla Variables

Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT,LARGE_INBOUND_BYTE_RATE_SECONDS

Large inbound bytes LARGE_INBOUND_BYTES_LIMIT

Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,LARGE_IB_CONN_RATE_LIMIT

Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT,LARGE_INBOUND_PACKET_RATE_SECS

Large inbound packet LARGE_INBOUND_PACKETS_LIMIT

Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT,LARGE_OUTBOUND_BYTE_RATE_SECONDS

Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,LARGE_OB_CONN_RATE_LIMIT

Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT,LARGE_OUTBOUND_PACKET_RATE_SECS



Regla Variables

Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT

Long connection duration LONG_DURATION_SECONDS

Edición de variables de detección de anomalíasEl Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías yproporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa.


1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile

datos de flujo y haga clic en el icono Propiedades .

2 Haga clic en Editar en el campo Asistente de detección de anomalías.

3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar.

Generación de un Informe de análisisEl Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red.

Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de unainspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valorescorrespondientes a los parámetros de reglas de anomalías según la tasa.

Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados.


1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado

datos de flujo y haga clic en el icono Propiedades .

2 Haga clic en Editar en el campo Asistente de detección de anomalías.

3 Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para elinforme.


Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconoscirculares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles.

Acceso a reglas de firewall y estándarLas reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver,exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales.

Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de estaforma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editorde directivas.




1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o enReglas estándar.

2 Seleccione cualquiera de las opciones y haga clic en Aceptar.

Lista negra de dispositivo virtual o IPSLa lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor deinspección profunda de paquetes (DPI) lo analice.

Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, losdestinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si eldispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificaciónIncluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que eldispositivo incluya dicha configuración.

La pantalla Editor de la lista negra incluye tres fichas:

• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por eldispositivo.

• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por eldispositivo.

• Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad deagregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipoo las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca seincluyan automáticamente en las listas negras, independientemente de los eventos que puedangenerar.

Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar elefecto de la lista negra a un puerto de destino concreto.

Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se seleccionauna de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los camposnecesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) yDuración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional.

Recuerde lo siguiente cuando agregue entradas:

• Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiarla dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activaModificar.

• Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que seincluyan en la lista negra en todos los puertos o en un puerto específico.

• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con elpuerto establecido como cualquiera (0), y la duración debe ser permanente.



• Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) opermanente. No obstante, las entradas de Exclusiones deben ser permanentes.

• Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda aaportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en elcampo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función delvalor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena elcampo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción.Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripcióncon los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienendirecciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta paragarantizar el bloqueo de ciertos sitios web.

Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe deresumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la listanegra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra.

El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos.

Administración de la lista negra de IPSEs posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar,modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva yactualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones oresolver un nombre de host o dirección IP.


1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra| Editor.

2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones.

3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar.

Configuración de inclusión automática en la lista negraLa página Configuración de lista negra automática permite administrar las opciones de configuración deinclusión automática en la lista negra para el dispositivo.

La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de formaindependiente.


1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra| Configuración.

2 Defina la configuración según proceda y haga clic en Aceptar.

Configuración de McAfee Vulnerability ManagerMcAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciarun análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido undispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM.

McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen delreceptor, no de McAfee Vulnerability Manager.



Obtención del certificado y la frase de contraseña de McAfee VulnerabilityManagerEs necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes deconfigurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM.


1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute FoundstoneCertificate Manager.exe.

2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL).

3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistemaque alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver.

4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) paragenerar la frase de contraseña y un archivo .zip.

5 Cargue el archivo .zip y copie la frase de contraseña generada.

Ejecución de análisis de McAfee Vulnerability ManagerLa página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se hanejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, unaAPI comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista deanálisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posibleiniciar un nuevo análisis desde esta página.


1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.

2 Haga clic en Nuevo análisis y rellene la información solicitada.


Una vez terminado el análisis, se agrega a la lista de análisis.

Configuración de la conexión con McAfee Vulnerability ManagerEs necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin deextraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como paraque la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager.

Antes de empezarEs necesario obtener el certificado y la frase de contraseña correspondientes a McAfeeVulnerability Manager.

El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que eldispositivo se comunica con ESM.




1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.


Configuración de McAfee Network Security ManagerEs posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permiteacceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y deseaacceder a él desde el ESM.

Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores deldispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación delsistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, node McAfee Network Security Manager.

Adición de una entrada de lista negraMcAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La páginaLista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página,es posible agregar, editar y eliminar elementos de la lista negra.

Es necesario ser superusuario para utilizar la función de lista negra.


1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra yseleccione un sensor.

2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.

El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, ladirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager.

Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesarioeliminar los elementos manualmente.


La entrada aparecerá en la lista negra hasta que caduque.

Adición o eliminación de una entrada de lista negra previamente borradaCualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tieneuna duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negracuando se realiza una consulta en McAfee Network Security Manager (Manager).

Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en elESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra.




1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.

2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic enAgregar o en Eliminar.


Recopilación de capa 7 en un dispositivo NSMLos datos de capa 7 se introducen en la base de datos de NSM una vez escrito el evento de NSM en subase de datos. No se insertan en el sistema como parte del evento.Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción delevento a fin de incluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no soloa los que tienen datos de capa 7 asociados.

Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:

• Adición de un dispositivo McAfee NSM a la consola

• Configuración de un dispositivo NSM

• Adición de un origen de datos NSM

Adición de un dispositivo McAfee NSMAl agregar el dispositivo NSM al ESM (véase Adición de dispositivos a la consola de ESM), seleccioneActivar recopilación de capa 7 y establezca el retraso en la cuarta página del Asistente de adición de dispositivos.

Configuración de un dispositivo NSMTras agregar un dispositivo NSM a la consola de ESM, puede establecer la configuración de conexiónpara el dispositivo (véase Cambio de la conexión con ESM). Es posible seleccionar Activar recopilación de capa 7 yestablecer el retraso en la página Conexión.

Adición de un origen de datos NSMPara agregar un origen de datos NSM a un receptor (véase Adición de un origen de datos), seleccioneMcAfee en el campo Proveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en el campo Modelo deorigen de datos. Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Agregarorigen de datos.

Configuración de los servicios auxiliaresEntre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocoloNetwork Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que secomuniquen con el ESM.

Contenido Información general del sistema Opciones de configuración del servidor de Remedy Detención de la actualización automática del Árbol de sistemas de ESM Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Configuración de las opciones de red

3 Configuración del ESMConfiguración de los servicios auxiliares


Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP

Información general del sistemaEn la página Propiedades del sistema | Información del sistema , se puede ver información general sobre elsistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventosque se han producido en el sistema o los dispositivos.

Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la horade configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estadode una actualización de reglas o de una copia de seguridad del sistema.

• Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema ysu estado operativo actual.

• La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (porejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esasfunciones. El estado OK significa que la base de datos funciona de la forma normal.

• Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez lasPropiedades del sistema.

• Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que seactualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación decopia de seguridad y restauración.

• En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una pruebaautomática de FIPS, así como su estado.

• Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento.

Opciones de configuración del servidor de RemedySi utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se puedacomunicar con él.

Antes de empezarConfigure el sistema Remedy.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enConfiguración personalizada | Remedy.

2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clicen Aceptar.

Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con lainformación introducida en esta página.

Configuración del ESMConfiguración de los servicios auxiliares 3


Detención de la actualización automática del Árbol de sistemasde ESMEl Árbol de sistemas de ESM se actualiza automáticamente cada cinco minutos. Puede detener estaactualización automática si es necesario.

Antes de empezarEs necesario disponer de derechos de Administración del sistema para cambiar estaconfiguración.

Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si tiene muchosdispositivos en el ESM, esto puede interferir con el acceso a la página Propiedades de los dispositivos.


1En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades .

2 Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.

Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos , situadoen la barra de herramientas de acciones del Árbol de sistemas.

Definición de la configuración de los mensajesCuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puedeoptar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor decorreo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.

ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolode transporte para transmitir datos entre los administradores y los agentes. En una configuraciónSNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación deadministración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes dela red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a laslimitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en unacaptura distinta.

Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estosinformes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cadalínea de los resultados de la consulta organizados mediante campos separados por comas.

Conexión con el servidor de correoConfigure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajesde alarma e informes.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conprivilegios de administración de usuarios.

Para ver las definiciones de las opciones, haga clic en ? en la interfaz.



Procedimiento1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono

Propiedades .

2 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con elservidor de correo.


Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.

Usar TLS Indique si desea usar el protocolo de cifrado TLS.

Nombre de usuario yContraseña

Escriba el nombre de usuario y la contraseña para acceder al servidor decorreo electrónico.

Título Escriba un título genérico para todos los mensajes de correo electrónicoenviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,a fin de identificar qué ESM ha generado el mensaje.

De Escriba su nombre.

Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración delos destinatarios de alarmas en la página 241).

3 Envíe un mensaje de correo electrónico de prueba para verificar la configuración.

4 Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios dealarmas en la página 241).

5 Haga clic en Aplicar o en Aceptar para guardar la configuración.

Véase también Administración de destinatarios en la página 183

Administración de destinatariosEs posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista dedestinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, deforma que es posible enviar un mensaje a varios destinatarios a la vez.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración decorreo electrónico.

2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos.



El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleendestinatarios dentro del ESM.



Adición de grupos de destinatarios de correo electrónicoAgrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a lavez.

Antes de empezarLos destinatarios y sus direcciones de correo electrónico deben estar presentes en elsistema (véase Adición de un usuario).


1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades

.

2 Haga clic en Configuración de correo electrónico, después en Configurar destinatarios y, después, en Grupos decorreo electrónico | Agregar.

3 Escriba un nombre para el grupo, seleccione los usuarios que formarán parte de él y haga clic enAceptar.

El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correoelectrónico.

Configuración de NTP en un dispositivoCabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP(Network Time Protocol).



.

2 Haga clic en Configuración | NTP.


Procedimientos• Visualización del estado de los servidores NTP en la página 184

Es posible ver el estado de todos los servidores NTP del ESM.

Visualización del estado de los servidores NTPEs posible ver el estado de todos los servidores NTP del ESM.

Antes de empezarAgregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora delsistema o Configuración de NTP en un dispositivo).




1 En el árbol de navegación del sistema, realice una de las siguientes acciones:

• Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema.

• En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedadesy seleccione Configuración | NTP.

2 Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar.

Véase también Sincronización de la hora del sistema en la página 192Configuración de NTP en un dispositivo en la página 49

Configuración de las opciones de redConfigure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESMy las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, laconfiguración de SSH y la adición de rutas estáticas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración dered.

2 Rellene la información para configurar la conexión con la red.


Procedimientos• Configuración del puerto IPMI en el ESM o los dispositivos en la página 188

Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o susdispositivos.

• Configuración del control del tráfico de red en el ESM en la página 189Defina un valor de salida de datos máximo para el ESM.

• Configuración de DHCP en la página 191El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP paradistribuir de forma dinámica los parámetros de configuración de la red, tales como lasdirecciones IP de interfaces y servicios.

• Configuración de DHCP en una VLAN en la página 191El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP paradistribuir de forma dinámica los parámetros de configuración de la red, tales como lasdirecciones IP de interfaces y servicios.

Administración de interfaces de redLa comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de lasrutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una direcciónIP.

Interfaz de administraciónSi lo prefieren, los administradores de red pueden configurar una interfaz de administración con unadirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivorequieren el uso de una interfaz de administración:



• Control completo de las tarjetas de red de omisión

• Uso de la sincronización de hora NTP

• Syslog generado por dispositivo

• Notificaciones SNMP

Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta unadirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir lacomunicación hacia otra dirección IP o nombre de host de destino.

No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red públicay su seguridad podría ponerse en peligro.

En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cadaruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en eldispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo.

NIC de omisión

Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. Encircunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundoscuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale deél. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterarestas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivopasa al modo de omisión y cuando sale de él.

Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfasten el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar lostiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS comoen el otro dispositivo) con la misma configuración o podría producirse un problema de negociación enel modo de omisión (véase Configuración de NIC de omisión).


Configuración de interfaces de redLa configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estasopciones para cada dispositivo.



.

2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces.

3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar.

Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicaciónde los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.

Adición de VLAN y aliasEs posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los aliasson pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de undispositivo de red con más de una dirección IP.




1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades

y, después, en la opción Configuración correspondiente al dispositivo.

2 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.

3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.

4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.


Adición de rutas estáticasUna ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red nodisponibles a través del gateway predeterminado.



.


3 Junto a la tabla Rutas estáticas, haga clic en Agregar.

4 Introduzca la información y, a continuación, haga clic en Aceptar.

NIC de omisión

En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundoscuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale deél. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterarestas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivopasa al modo de omisión y cuando sale de él.

Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfasten el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar lostiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS comoen el otro dispositivo) con la misma configuración o podría producirse un problema de negociación enel modo de omisión.


Configuración de NIC de omisiónEn los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pasetodo el tráfico.

Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC deomisión, pero no cambiar la configuración.





.


3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parteinferior.

4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración.


Configuración del puerto IPMI en el ESM o los dispositivosEs posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos.

Esto permite realizar varias acciones:

• Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible parael software IPMI.

• Acceder a una máquina virtual basada en el kernel (KVM) de IPMI.

• Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0.

• Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado dealimentación.

• Restablecer la tarjeta IPMI.

• Llevar a cabo un restablecimiento en caliente o en frío.

Configuración del puerto IPMI en el ESM o los dispositivosConfigure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos.


1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga

clic en el icono Propiedades .

2 Acceda a la ficha Configuración de red Avanzada.• En el ESM, haga clic en Configuración de red | Avanzada.

• En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces |Opciones avanzadas



3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gatewayde IPMI.

Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesarioactualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/areca/system_bios_update/Contents‑README.txt.


Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseñao la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña delsistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin deconfigurar el IPMI.

Configuración del control del tráfico de red en el ESMDefina un valor de salida de datos máximo para el ESM.

Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar lacantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) ygigabits (Gb) por segundo.

Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.


1En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .

2 Haga clic en Configuración de red y, después, en la ficha Tráfico.

La tabla presenta una lista de los controles existentes.

3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y lamáscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.

Si establece la máscara como cero (0), se controlan todos los datos enviados.


Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.

Uso de los nombres de hostEl nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar losnombres de host de forma que se asocien con sus correspondientes direcciones IP.

En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, asícomo establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático.

Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las

direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host , situado en la parteinferior de los componentes de vista.

Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza unabúsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si lasdirecciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin delocalizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y seagregan a la tabla de hosts.



En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo detiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en lapágina Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS lasiguiente vez que se selecciona la opción Mostrar nombres de host en una vista.

La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como susdirecciones IP. Es posible agregar información a la tabla de hosts manualmente mediante laintroducción de una dirección IP y un nombre de host individualmente, o bien a través de laimportación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véaseImportación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menostiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca,pero es posible editarlo o quitarlo.

Administración de los nombres de hostLleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts,tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer elmomento de caducidad de los hosts de aprendizaje automático.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.

2 Seleccione una opción e introduzca la información solicitada.


Importación de una lista de nombres de hostEs posible importar un archivo de texto que contenga las direcciones IP y los correspondientesnombres de host a la tabla de hosts.

Antes de empezarCree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.

Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar enformato IPv4 o IPv6. Por ejemplo:

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts| Importar.

2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que seencuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la páginaDuplicados aparecerán los registros duplicados.

• Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo enla columna Uso y haga clic en Aceptar.

• Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic enAceptar.

Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondientea estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán.



Configuración de DHCPEl protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir deforma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfacesy servicios.

Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamenteDHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar losservicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso dedisponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecerlas direcciones IP de la red.

Los alias se desactivan cuando se activa DHCP.


1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,


2 Siga uno de los procedimientos siguientes:

• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.

• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic enInterfaces y, a continuación, en la ficha Red.

3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP.

En el caso de los dispositivos distintos de los receptores, se le informará de que los cambiosrequieren el reinicio del servidor de ESM.


Configuración de DHCP en una VLANEl protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir deforma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfacesy servicios.

Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamenteDHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar losservicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM encaso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesariorestablecer las direcciones IP de la red.


1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,



• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.

• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic enInterfaces y, a continuación, en la ficha Red.

3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada.



4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP.

5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar.

En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requierenel reinicio del servidor de ESM.

Sincronización de la hora del sistemaYa que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, esimportante que el ESM y los dispositivos estén sincronizados a fin de mantener una referenciaconstante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionarque el ESM y los dispositivos se sincronicen con un servidor NTP.

Configuración de la hora del sistema

Antes de empezarSi desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus clavesde autorización y sus ID de clave.



2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.

Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP.

La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puedeacceder de nuevo a la lista de servidores NTP y comprobar su estado.

Sincronización de los relojes de dispositivosEs posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datosgenerados por los diversos sistemas reflejen la misma configuración.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades deldispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.

Se le informará cuando finalice la sincronización o en caso de que exista algún problema.

2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la páginaInformación del dispositivo.

Instalación de un nuevo certificadoEl ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. Lamayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificadono se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para elESM, deberá instalarlo.





2 Haga clic en la ficha Administración de claves y, después, en Certificado.

3 Haga su selección y, a continuación, haga clic en Cerrar.

Configuración de perfilesDefina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartaninformación común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad tambiénde agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deperfiles.

2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.

3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la informaciónsolicitada.


Configuración de SNMPEs posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos,recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través delcomando snmpwalk.

SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 oSecure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o AdvancedEncryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS).

Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado demantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a unESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todoslos appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivoy de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee).

Configuración de las opciones de SNMPConfigure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios connombres que no incluyan espacios pueden realizar consultas SNMP.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en ConfiguraciónSNMP.

2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP.


Configuración de una captura SNMP para la notificación de fallos dealimentaciónSeleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallosde alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.

Antes de empezar• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso

con privilegios de administración de alarmas.

• Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptorde capturas SNMP).



Propiedades .

2 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.

4 Haga clic en Agregar e introduzca la información solicitada como sigue.

• Tipo de perfil: seleccione Captura SNMP.

• Dirección IP: escriba la dirección a la que desee enviar la captura.

• Puerto: escriba 162.

• Nombre de comunidad: escriba Público.

Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.

5 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.

El perfil se agregará a la tabla Destinos.

6 Seleccione el perfil en la columna Uso y haga clic en Aceptar.

Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado demantenimiento junto al dispositivo en el árbol de navegación del sistema.



Creación de capturas SNMP a modo de acciones de alarmaEs posible enviar capturas SNMP a modo de acciones de alarma.



• Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturasSNMP).


Procedimiento1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.

a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el

icono Propiedades .

b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.

c Rellene los campos restantes y haga clic en Aplicar.

2 Configure SNMP en el ESM.

a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfilagregado en el Paso 1.

c Haga clic en Aplicar.

3 Defina una alarma con Captura SNMP como acción.

a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar.

b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccioneCoincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones.

c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para losmensajes SNMP.

d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione unaplantilla existente o haga clic en Agregar para definir una plantilla nueva.

e Vuelva a la página Configuración de alarma y continúe con la configuración.

Adición de una alarma de notificación sobre fallos de alimentaciónEs posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes dealimentación del ESM.



• Configuración de una captura SNMP para la notificación de fallos de alimentación en lapágina 194





Propiedades .

2 Haga clic en Alarmas.

3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clicen la ficha Condición.

4 En el campo Tipo, seleccione Coincidencia de evento interno.

5 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).

6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clicen Finalizar.

Se activará una alarma cuando falle una fuente de alimentación.

Procedimientos• Resumen personalizado para alarmas activadas y casos en la página 273

Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmasde tipo Coincidencia de campo y Coincidencia de evento interno.

SNMP y la MIB de McAfeeEs posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB(Management Information Base, base de datos de información de administración) de McAfee define elidentificador de objeto (OID) de cada objeto o característica de interés.

La MIB define grupos de objetos para:

• Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Unreceptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP deMcAfee.

• Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen dedatos SNMP de McAfee.

• Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de losdispositivos que administra, así como responder a ellas.

• Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y decuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra.

La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entrelas que se incluyen:

• La acción realizada cuando se recibe una alerta

• La dirección y el estado del flujo

• Los tipos de orígenes de datos

• Las acciones de lista negra

La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information(SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar através de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso).



Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones deadministración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de losobjetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelenllevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno ovarios OID junto con la instancia concreta del OID.

El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta deestado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar alsiguiente:

OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.2.1.2 Interno Nombre del dispositivo NitroIPS

1.3.6.1.4.1.23128.1.3.2.2.2 2 Identificador único del ESMpara el dispositivo Nitro IPS

1.3.6.1.4.1.23128.1.3.2.3.2 1 La comunicación con NitroIPS está disponible (1) o noestá disponible (0)

1.3.6.1.4.1.23128.1.3.2.4.2 Ok Estado de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.5.2 off Estado de las NIC deomisión de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.6.2 Nitro IPS Modo de Nitro IPS (Nitro IPSo IDS)

1.3.6.1.4.1.23128.1.3.2.7.2 Porcentaje 2 Porcentaje instantáneocombinado de carga de laCPU

1.3.6.1.4.1.23128.1.3.2.8.2 MB 1010 Total de RAM de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.9.2 MB 62 RAM disponible

1.3.6.1.4.1.23128.1.3.2.10.2 MB 27648 Total de espacio de launidad de disco duroparticionado para la base dedatos de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.11.2 MB 17408 Espacio libre de la unidad dedisco duro disponible para labase de datos de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.12.2 Segundosdesde01/01/197000:00:00.0(GMT)

120793661 Hora actual del sistema deldispositivo Nitro IPS

1.3.6.1.4.1.23128.1.3.2.13.2 7.1.320070518091421a

Información de versión ycompilación de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.14.2 ABCD:1234 ID de equipo de Nitro IPS

1.3.6.1.4.1.23128.1.3.2.15.2 Nitro IPS Número de modelo de NitroIPS




1.3.6.1.4.1.23128.1.3.2.16.2 Alertas porminuto

140 Tasa de alertas (por minuto)durante un mínimo de 10minutos

1.3.6.1.4.1.23128.1.3.2.17.2 Flujos porminuto

165 Tasa de flujos (por minuto)durante un mínimo de 10minutos

Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP,el ESM. Los números significan lo siguiente:

• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación denúmeros de Internet (IANA).

• 1.3.2: una solicitud de estado de Nitro IPS.

• Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectosdel estado de Nitro IPS.

• El último número (2): la instancia concreta del OID, el ID de Nitro IPS.

El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado.

Las tablas siguientes muestran el significado de los OID del ESM y el receptor.

Tabla 3-37 Estado de ESM

OID de solicitud y respuesta Unidades Valor derespuesta

Significado

1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneocombinado de carga de la CPU

1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM

1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible

1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Total de espacio de la unidadde disco duro particionadopara la base de datos de ESM

1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad dedisco duro disponible para labase de datos de ESM

1.3.6.1.4.1.23128.1.3.1.6 Segundos desde01/01/197000:00:0.0(GMT)

1283888714 Hora actual del sistema en elESM

1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación del ESM

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo del ESM

1.3.6.1.4.1.23128.1.3.1.9 ESM Número de modelo del ESM



Tabla 3-38 Estado del receptor


1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nombre del receptor

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único delESM para el receptor

1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que lacomunicación con elreceptor está disponible(1) o no está disponible(0)

1.3.6.1.4.1.23128.1.3.3.4.x Aceptar Indica el estado delreceptor

1.3.6.1.4.1.23128.1.3.3.5.x Porcentaje 2 Porcentaje instantáneocombinado de carga de laCPU

1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 Total de RAM

1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponible

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Total de espacio de launidad de disco duroparticionado para la basede datos del receptor

1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espacio libre de la unidadde disco duro disponiblepara la base de datos delreceptor

1.3.6.1.4.1.23128.1.3.3.10.x Segundosdesde01/01/197000:00:0.0(GMT)

1283889234 Hora actual del sistema enel receptor

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.320070518091421a

Versión y compilación delreceptor

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de equipo del receptor

1.3.6.1.4.1.23128.1.3.3.13.x Receiver Número de modelo delreceptor

1.3.6.1.4.1.23128.1.3.3.14.x Alertas porminuto

1 Tasa de alertas (porminuto) durante unmínimo de 10 minutos

1.3.6.1.4.1.23128.1.3.3.15.x Flujos porminuto

2 Tasa de flujos (porminuto) durante unmínimo de 10 minutos

x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema |Configuración SNMP y haga clic en Ver ID de dispositivos.



Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes deinformación. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventospodría tener un aspecto similar al siguiente:

OID Valor Significado

1.3.6.1.4.1.23128.1.1.1 780 ID de alerta del ESM

1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo

1.3.6.1.4.1.23128.1.1.3 Interno Nombre de dispositivo

1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo

1.3.6.1.4.1.23128.1.1.5 10.0.0.69 IP de origen

1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 IP de destino

1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino

1.3.6.1.4.1.23128.1.1.11 17 Protocolo

1.3.6.1.4.1.23128.1.1.12 0 VLAN

1.3.6.1.4.1.23128.1.1.13 Dirección

1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos

1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez

1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez

1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos)

1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma

1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High toHigh

Descripción de firma

1.3.6.1.4.1.23128.1.1.20 5 Acción realizada

1.3.6.1.4.1.23128.1.1.21 1 Gravedad

1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos

1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino

1.3.6.1.4.1.23128.1.1.26 Aplicación

1.3.6.1.4.1.23128.1.1.27 Dominio

1.3.6.1.4.1.23128.1.1.28 Host

1.3.6.1.4.1.23128.1.1.29 Usuario (origen)



OID Valor Significado

1.3.6.1.4.1.23128.1.1.30 Usuario (destino)

1.3.6.1.4.1.23128.1.1.31 Comando

1.3.6.1.4.1.23128.1.1.32 Objeto

1.3.6.1.4.1.23128.1.1.33 Número de secuencia

1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entornode confianza o no de confianza.

1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta

Los números significan lo siguiente:

• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA.

• 1.1: una solicitud de estado de Nitro IPS.

• El número final (1–35): para informar de las diversas características de la alerta.

Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM.

Extracción de la MIB de ESMPermite ver los objetos y las notificaciones para crear una interfaz con el ESM.

Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes:

• A un ESM para administrar las listas negras y las listas de cuarentena de uno o varios dispositivosIPS.

• A un ESM que solicita información de estado del propio ESM o de los dispositivos IPS y receptores.

• A un dispositivo para solicitar su información de estado.



Propiedades .

2 Haga clic en Configuración SNMP y, después, en Ver MIB.

Aparecerá una lista de definiciones de MIB.

Administración de la base de datosEl objetivo de la administración de la base de datos del ESM es proporcionar información y opciones deconfiguración a medida que se establecen las funciones en el sistema.

Es posible administrar la configuración de indización de la base de datos, ver e imprimir informaciónsobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones dealmacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventosy flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos.

Configuración del ESMAdministración de la base de datos 3


Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamientoadicional para almacenamiento del sistema, de datos y de alto rendimiento.

Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todaslas búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes derealizar este proceso.

Véase también Administración de la indización de acumulación en la página 204Administración de la configuración de índice de la base de datos en la página 204Configuración de límites de retención de datos en la página 203Visualización de la utilización de memoria de la base de datos en la página 205

Configuración del almacenamiento de datos de ESMExisten tres tipos de almacenamiento externo que se pueden configurar para almacenar los datos deESM: interfaz estándar de equipos pequeños de Internet (iSCSI), red de área de almacenamiento(SAN) y almacenamiento conectado directamente (DAS). Una vez conectados al ESM, es posibleconfigurarlos para almacenar los datos procedentes del ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Almacenamiento de datos.

2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada.

3 Haga clic en Cancelar para cerrar la página.

Véase también Configuración de límites de retención de datos en la página 203

Configuración del almacenamiento de datos de máquina virtualde ESMSi su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtualen la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para elalmacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual.

Cada una de las listas desplegables de la página Asignación de datos incluye las unidades dealmacenamiento disponibles que se montan en la máquina virtual.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Datos de máquina virtual.

2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo esposible seleccionar una vez cada unidad.


Aumento del número de índices de acumulación disponiblesDebido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a uncampo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice

3 Configuración del ESMAdministración de la base de datos


en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino,zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42).


El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactivaalguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se lenotificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índiceafecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determineque es absolutamente necesario.

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.

2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar.

Los índices estándar se muestran en el área Activado.

4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha paramoverlos al área Disponible.

El número de la indicación restante(s), situada en la esquina superior derecha de la página,aumentará con cada índice estándar desactivado.

Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado(véase Administración de la indización de acumulación).

Configuración de un archivo de particiones inactivasESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estarinactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particionesinactivas de forma que no se eliminen.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Archivado.

2 Rellene los campos, que variarán en función del tipo seleccionado.


A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán enlas fichas Particiones de eventos y Particiones de flujos.

Configuración de límites de retención de datosSi cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidadde tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datoshistóricos insertados.

Configuración del ESMAdministración de la base de datos 3



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Retención de datos.

2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desearestringir los datos históricos.


Véase también Configuración del almacenamiento de datos de ESM en la página 202

Definición de los límites de asignación de datosEl número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. Laasignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registrosdeben incluirse en las búsquedas para optimizar las consultas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Asignación de datos.

2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bienhaga clic en las flechas de los campos Eventos y Flujos.


Administración de la configuración de índice de la base dedatosEs posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datosse almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de lasconsultas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Configuración.

2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento quedesee cambiar y seleccione una nueva configuración en la lista desplegable.

3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poderseleccionar o agregar un nuevo valor de puerto.


Administración de la indización de acumulaciónSi cuenta con campos personalizados que extraen datos numéricos de un origen, la indización deacumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible

3 Configuración del ESMAdministración de la base de datos


acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor detendencia.

Antes de empezarConfigure un tipo personalizado de indización de acumulación (véase Creación de tipospersonalizados).


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.

2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

3 Seleccione los índices y haga clic en Aceptar.

Ahora ya es posible configurar una consulta acumulativa para ver los resultados.

Véase también Administración de consultas en la página 310Creación de tipos personalizados en la página 324

Visualización de la utilización de memoria de la base de datosEs posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base dedatos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Uso de memoria.

Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos.

2Para imprimir los informes, haga clic en el icono Imprimir .

Uso de usuarios y gruposLos usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, susdispositivos, sus directivas y sus privilegios asociados.

En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administradorde claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos decuentas de usuario: Administrador del sistema y Usuario general.

La página Usuarios y grupos tiene dos secciones:

• Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cadausuario y los grupos a los que pertenecen.

• Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cadauno.

Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.

Configuración del ESMUso de usuarios y grupos 3


Privilegios de grupo

Cuando se configura un grupo, se establecen los privilegios de sus miembros. Si selecciona Limitar elacceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema | Agregar grupo ), el acceso aestas funciones estará limitado.

• Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas dealarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas.

• Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.

• ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas niacceder a las propiedades de dispositivos ELM.

• Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correoelectrónico.

• Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.

• Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.

• Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.

• Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.

• Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory,Activos, Grupos de activos ni Etiquetas.

• Barra de herramientas de acciones: los usuarios no pueden acceder a la administración dedispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos.

Adición de un usuarioSi dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para quetengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, laconfiguración del usuario se puede editar o eliminar.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar.

3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada.


Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan.Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá unicono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene

privilegios de administrador, aparecerá un icono de monarca junto a su nombre.

Selección de la configuración de usuarioLa página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Sepuede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y elidioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la fichaAlarmas y la ficha Casos.

3 Configuración del ESMUso de usuarios y grupos




2 Verifique que esté seleccionada la opción Configuración de usuario.


La consola cambiará de aspecto en función de la configuración establecida.

Configuración de la seguridadUse la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar,establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC).También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP(solo disponible si se dispone de privilegios de administrador del sistema).

Funciones de seguridad de ESMLa familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en unared e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de formapredeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS.

La comunicación con un dispositivo Nitro IPS se lleva a cabo mediante la tecnología Secure EncryptedManagement (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en bandaque mitiga el riesgo de ataques de reproducción o de intermediario.

Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESMautorizado. No inicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESMtambién se envía mediante una conexión cifrada, la cual es conforme con FIPS.

El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidorcentral de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto dehardware como de software, para garantizar que los dispositivos se administren únicamente desde unESM debidamente autorizado.

Definición de la configuración de inicio de sesión estándarEs posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante ladefinición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo detiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con lascontraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de iniciode sesión.

2 Defina las opciones en la ficha Estándar.

3 Haga clic en Aceptar o en Aplicar.



Definición de la configuración de contraseña de inicio de sesiónExisten varias opciones de configuración que se pueden definir en relación con la contraseña de iniciode sesión del sistema.

Antes de empezarDebe tener derechos de administrador del sistema.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridadde inicio de sesión.

2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar.

Configuración de las opciones de autenticación RADIUSEs posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.



2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidorsecundario es opcional.

3 Haga clic en Aceptar o en Aplicar.

Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican através de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticaciónmediante RADIUS no pueden acceder a ESM.

Configuración de la lista de control de accesoEs posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen elacceso bloqueado.



2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista.

3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso.

Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL.



Configuración de CACEs posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugarde introduciendo un nombre de usuario y una contraseña.

Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificadode servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizadocon la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles conesta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónicode datos (EDI-PI) asociado con las CAC.

Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionanuna forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargarmanualmente un archivo .zip con archivos CRL.

ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar laautenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClientinstalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar lascredenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo másprobable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatiblescon CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para sudescarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de suorganización.

Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistemadepende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, losinicios de sesión mediante CAC también lo estarán.

Configuración del inicio de sesión mediante CACA fin de configurar el inicio de sesión CAC, es necesario cargar los certificados raíz de CA, activar lafunción de inicio de sesión mediante CAC y activar un usuario CAC mediante el establecimiento delEDI-PI de diez dígitos del titular de la tarjeta como nombre de usuario. Una vez hecho esto, el titularde la tarjeta puede acceder al ESM mediante un navegador compatible con CAC sin tener queintroducir un nombre de usuario y una contraseña.

ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte de McAfeesi necesita ayuda con su lector de tarjetas.


1 Cargue el certificado raíz de CA.

a En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados |Entidades de certificación raíz de confianza.

b Seleccione su CA raíz actual y haga clic en Exportar.

c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y hagaclic en Siguiente.

d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y,después, en Finalizar.

e En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, hagaclic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC.

f Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en el ESM.



2 En la ficha CAC, introduzca la información y realice las selecciones solicitadas; a continuación, hagaclic en Aceptar.

3 Active cada uno de los usuarios CAC.

a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema.

b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

c Sustituya el nombre del campo Nombre de usuario por el EDI-PI de diez dígitos.

d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar.

Configuración de las opciones de autenticación de Active DirectoryEs posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuandoestá activada esta opción, todos los usuarios excepto el administrador del sistema se autentican através de Active Directory. Si la autenticación está desactivada, los usuarios configurados para laautenticación mediante Active Directory no pueden acceder al sistema.

Antes de empezar• Configure un Active Directory al que se pueda acceder desde ESM.

• Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que elgrupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo elnombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos yagregar un grupo con el nombre "Usuarios de McAfee".



2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.

3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión.

4 Haga clic en Aceptar en la página Conexión de Active Directory.

Configuración de credenciales para McAfee ePOEs posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales deusuario.

Antes de empezarEl dispositivo McAfee ePO no debe estar configurado para requerir la autenticación deusuario global (véase Configuración de la autenticación de usuarios global).




1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccioneCredenciales de ePO.


Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para laautenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo(véase Cambio de la conexión con ESM).

3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar.

Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseñaagregados.

Desactivación o reactivación de usuariosSi un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido enSeguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función sies necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo delsistema.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar.

El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.

Autenticación de usuarios mediante un servidor LDAPEs posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP.



2 Haga clic en la ficha LDAP.

3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar.

Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se debenautenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para laautenticación LDAP no pueden acceder al sistema.

Configuración de grupos de usuariosLos grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega ungrupo, se le deben asignar dispositivos, directivas y privilegios.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enUsuarios y grupos | Agregar.

2 Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar.

El grupo se agregará a la tabla Grupos de la página Usuarios y grupos.

Adición de un grupo con acceso limitadoPara restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichosusuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas devigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros ybarra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarándesactivadas.



2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema.


• Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar.

• Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y ladescripción y, a continuación, seleccione los usuarios.

4 Haga clic en Privilegios y seleccione Limitar el acceso de este grupo.

Casi todos los privilegios están desactivados.

5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.

6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.

Copia de seguridad y restauración de la configuración delsistema

Guarde las opciones de configuración actuales del sistema de forma automática o manual de maneraque se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer yguardar la configuración actual en un ESM redundante.

Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas lascorrespondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega undispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cadasiete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el

3 Configuración del ESMCopia de seguridad y restauración de la configuración del sistema


sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente seguardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardanlos datos a partir del momento de la última copia de seguridad.

Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM sereducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad delESM local.

Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM,un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estadoanterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuracióntras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria ydesea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia deseguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a loseventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración sesobrescriben entonces con la configuración contenida en la copia de seguridad más reciente.

Copias de seguridad de la configuración y los datos de sistemade ESMExisten varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESMnuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Esposible tanto desactivar esta opción como realizar cambios en la configuración predeterminada.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enInformación del sistema | Copia de seguridad y restauración.

2 Defina la configuración de cualquiera de estos elementos:

• Copia de seguridad automática

• Copia de seguridad manual

• ESM redundante

• Restauración del sistema a una copia de seguridad anterior

3 Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración.

Véase también Restauración de la configuración de ESM en la página 213Uso de los archivos de copia de seguridad en ESM en la página 214

Restauración de la configuración de ESMEn caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anteriormediante la selección de un archivo de copia de seguridad.

Procedimiento

Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurarestán fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datosfuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado departición inactiva (véase Configuración de límites de retención de datos).

Configuración del ESMCopia de seguridad y restauración de la configuración del sistema 3



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enInformación del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad.

2 Seleccione el tipo de restauración que desee realizar.

3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y,después, haga clic en Aceptar.

La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño delarchivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo.Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, seabre la página Inicio de sesión.

Véase también Configuración de límites de retención de datos en la página 203

Restauración de archivos de configuración con copias deseguridadEs posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias deseguridad creadas en el ESM para cada dispositivo.

Antes de empezarCree una copia de seguridad de los archivos de configuración del ESM (véase Copias deseguridad de la configuración y los datos de sistema de ESM).


1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de

Propiedades .

2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,finalmente, haga clic en Sí en la página de confirmación.

Uso de los archivos de copia de seguridad en ESMLos archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar.También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento dearchivos.

2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad.

3 Seleccione la acción que desee realizar.


Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 213

3 Configuración del ESMCopia de seguridad y restauración de la configuración del sistema


Administración del mantenimiento de archivosEl ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas yregistros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento dearchivos.

2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización desoftware, Archivos de registro de alarmas o Archivos de registros de informes.

3 Seleccione los archivos y haga clic en una de las opciones disponibles.


Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 213

ESM redundanteLa función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantesque se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta funciónsolo está disponible para los usuarios con privilegios de administrador del sistema.

Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal sesincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESMredundante, es necesario definir la configuración del dispositivo redundante, que recibe laconfiguración y los datos del dispositivo principal, así como definir la configuración del dispositivoprincipal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. ElESM redundante se debe configurar antes de conectarlo al ESM principal.

La función de ESM redundante no está disponible en los dispositivos combinados ESMREC.

Configuración de un ESM redundantePara guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno delos ESM de forma que se comuniquen entre ellos.


1 Active SSH en el ESM principal y todos los redundantes.

a En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuraciónde red.

b Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar.

Configuración del ESMESM redundante 3


2 Configure los ESM redundantes.

a Inicie sesión, acceda a Propiedades del sistema en el árbol de navegación y haga clic en Información delsistema | Copia de seguridad y restauración | Redundancia.

b En el campo Tipo de ESM, seleccione Redundante, escriba la dirección IP y el puerto SSH del ESMprincipal y haga clic en Aceptar.

c Cuando se le advierta de que es necesario reiniciar el servicio, lo cual hace que todos losusuarios pierdan la conexión con el ESM, haga clic en Sí.

La consola del ESM redundante se cerrará.

3 Inicie sesión en el ESM principal.

4 En el árbol de navegación del sistema, acceda a Propiedades del sistema y haga clic en Información delsistema | Copia de seguridad y restauración | Redundancia.

5 En el campo de tipo de ESM, seleccione Principal, seleccione el puerto SSH para el ESM principal,agregue una dirección de correo electrónico y seleccione o agregue el ESM redundante a la tabla.

Puede agregar un máximo de cinco ESM redundantes.


Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdanla conexión con el ESM.

7 Haga clic en Sí para continuar con la sincronización.

• Si ha especificado una dirección de correo electrónico para las notificaciones, se enviará unmensaje de correo electrónico cuando el ESM esté listo para la finalización.

• Si no ha proporcionado un correo electrónico, vuelva a iniciar sesión y compruebe el estado.

8 Finalice la configuración.

a Acceda a la página Configuración de redundancia de nuevo (Paso 2a).

b Haga clic en Finalizar.

Los ESM principal y secundarios se desactivarán para la sincronización final. El sistema volverá aactivarse cuando el proceso termine.

Sustitución de un ESM redundanteSi un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo.

Antes de empezarAgregue el nuevo ESM redundante al sistema.



2 Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva direcciónIP redundante en el campo Dirección IP de ESM redundante.

3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta.

3 Configuración del ESMESM redundante


4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambosdispositivos.

5 Seleccione Sincronizar todo el ESM y haga clic en Aceptar.

Administración de ESMExisten varias operaciones que se pueden realizar para administrar el software, los registros, loscertificados, los archivos de funciones y las claves de comunicación de ESM.

Ficha Opción Definición

Configuración Administrarregistros

Configurar los tipos de eventos que se almacenan en el registro deeventos.

Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivosESM jerárquicos.

Camuflaje Definir la configuración global para enmascarar ciertos datos encualquier registro de alerta enviado mediante el reenvío de eventoso enviado a un ESM principal.

Registro Enviar eventos internos al ELM para su almacenamiento. Estos datosse pueden usar con fines de auditoría.

Configuraciónregional del sistema

Seleccionar el idioma del sistema que se usará para registrareventos, como en el caso del registro de dispositivos y el monitor deestado.

Asignación denombre

Permite anular la selección de los puertos y los protocolos de formaque muestren números sin procesar en lugar de nombres. Porejemplo, si se anula la selección de Puerto de origen o Puerto de destino,http:80 se mostrará como 80. Si se selecciona Protocolos, el númerosin procesar 17 aparecerá como udp.

Administraciónde claves

Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL).

Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizadopara comunicarse con todos los dispositivos.

Exportar todas lasclaves

Exportar las claves de comunicación de todos los dispositivos delsistema en lugar de tener que exportarlas una a una.

Restaurar todas lasclaves

Restaurar las claves de comunicación de todos los dispositivos o losdispositivos seleccionados que se exportaron mediante la funciónExportar todas las claves.

Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y lasreglas de McAfee o a través de un ingeniero de seguridad deMcAfee.

Datos de ESM Permite descargar un archivo .tgz que contiene información sobre elestado del ESM. Este estado puede ayudar al Soporte de McAfee asolucionar problemas y corregir errores.

Administrador detareas

Ver las consultas en ejecución en el ESM y detenerlas, si procede.

Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdidade comunicación de todos los usuarios con el ESM.

Reiniciar Detener y reiniciar el ESM. Se le advertirá de que esta acciónprovoca la pérdida de comunicación de todos los usuarios con elESM.

Configuración del ESMAdministración de ESM 3


Ficha Opción Definición

TerminalEsta función está destinada únicamente a usuarios avanzados.

Introducir comandos de Linux en el ESM. El terminal es solo unemulador parcial del modo por lotes, por lo que no están disponiblestodos los comandos.• El terminal no mantiene un directorio de trabajo actual.

• No se puede utilizar cd para ir a otro directorio.

• Se deben emplear los nombres de rutas completos.

• Los operadores > y >> no funcionan; todos los resultados semuestran en pantalla.

Obtener funciones Si ha adquirido funciones adicionales, actívelas en el ESM mediantela descarga de un archivo cifrado que contiene información sobre lasfunciones que admite el ESM.

Establecer funciones Instalar el archivo descargado mediante Obtener funciones.

Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistema cuandosolicita ayuda.

Esta opción no es conforme a FIPS, así que no está disponiblecuando se emplea el modo FIPS.

Ver estadísticas Permite acceder a la información siguiente sobre cualquierdispositivo ESM:• Estadísticas de utilización de memoria y espacio de intercambio

• Uso de la CPU

• Actividad de conmutación del sistema

• Estadísticas de velocidad de transferencia y entrada/salida

• Promedios de longitud de cola y carga

Véase también Acceso a un dispositivo remoto en la página 222Regeneración de una clave SSH en la página 221Administración de destinatarios en la página 183Tipos de eventos en la página 219Administración de registros en la página 218Instalación de un nuevo certificado en la página 192Configuración del registro de ESM en la página 220Enmascaramiento de direcciones IP en la página 219Exportación y restauración de claves de comunicación en la página 220Comandos de Linux disponibles en la página 223Utilización de comandos de Linux en la página 223

Administración de registrosExisten diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se deseaguardar en el registro de eventos.

3 Configuración del ESMAdministración de ESM




2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.


Tipos de eventosEstos son los tipos de registros de eventos generados en el ESM.

Tipo de evento Eventos registrados

Autenticación Inicio de sesión, cierre de sesión y cambios de cuentas de usuario.

Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempredebe establecerse con el valor Ninguno.

Copia de seguridad Proceso de copia de seguridad de la base de datos.

Lista negra Envío de entradas de lista negra al dispositivo.

Dispositivo Cualquier cambio de dispositivo o de comunicación, como obtención de eventos,flujos y registros.

Reenvío de eventos Cambios o errores de reenvío de eventos.

Monitor de estado Eventos de estado de dispositivo.

Notificaciones Cambios o errores de notificación.

Directiva Administración y aplicación de directivas.

Servidor de reglas Descarga y validación de reglas descargadas del servidor de reglas.

En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas.

Sistema Cambios de configuración del sistema y registro de reinicio de tablas.

Vistas Cambios en vistas y consultas.

Enmascaramiento de direcciones IPExiste la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante elreenvío de eventos a un ESM principal.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enAdministración de ESM | Jerarquía de ESM.

2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos.

Se abrirá la página Selección de campos de ocultación.

3 Seleccione los campos que desee enmascarar.




Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario,los datos seleccionados se ocultarán.

Configuración del registro de ESMSi tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventosinternos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registropredeterminado.

Antes de empezarAgregue un dispositivo ELM al sistema.



2 En la ficha Configuración, haga clic en Registro.

3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar.

Cambio de idioma de los registros de eventosCuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrareventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puedemodificar esta configuración de idioma.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.

2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic enAceptar.

Exportación y restauración de claves de comunicaciónEs posible exportar las claves de comunicación de todos los dispositivos del sistema a un únicoarchivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si esnecesario.

• En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; acontinuación, haga clic en la ficha Administración de claves.




Exportar todas lasclaves de comunicación

1 Haga clic en Exportar todas las claves.

2 Establezca la contraseña del archivo de claves y haga clic en Aceptar.

3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar.

Restaurar todas lasclaves de comunicación

1 Haga clic en Restaurar todas las claves.

2 Localice el archivo creado al exportar las claves y haga clic en Abrir.

3 Haga clic en Cargar e introduzca la contraseña establecida.

4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar.

Regeneración de una clave SSHEs posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse contodos los dispositivos.



2 En la ficha Administración de claves, haga clic en Regenerar SSH.

Se le advertirá de que la nueva clave sustituirá a la anterior.

3 Haga clic en Sí.

Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivosadministrados por el ESM.

Administrador de tareas de consultasSi cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, quemuestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultasconcretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen másprobabilidades de afectar al rendimiento.

La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrarconsultas. Utilice esta función con la ayuda del Soporte de McAfee.

Entre las características del administrador de tareas se encuentran:

• Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación,alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema.

• Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta.

• De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si seleccionauna consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan losdetalles. Si la consulta se completa, deja de aparecer en la lista.

• Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar listaautomáticamente.



• Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule laselección de Ocultar tareas del sistema.

• Las columnas de la tabla se pueden ordenar.

• Es posible seleccionar y copiar los datos del área Detalles de consulta.

• Si una consulta se puede cerrar, aparece un icono de eliminación en la última columna. Al hacerclic en él, se solicita confirmación mediante un cuadro de diálogo.

Administración de consultas en ejecución en ESMEl Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posiblever su estado y eliminarlas si afectan al rendimiento del sistema.



2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador detareas.

3 Revise la lista de consultas en ejecución y realice las acciones necesarias.

Actualización de un ESM principal o redundanteSi va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitarperder los datos de eventos, flujos y registros.


1 Desactive la recopilación de alertas, flujos y registros.

a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos yregistros.

b Anule la selección de Intervalo de comprobación automática.

2 Actualice el ESM principal.

3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia queprocesar.

4 Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobaciónautomática una vez más.

Si la actualización falla, véase Ampliación a ESM 9.3.

Acceso a un dispositivo remotoSi un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutarcomandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debeemplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia.






2 En la ficha Mantenimiento, haga clic en Terminal.

3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.

4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenidoen un archivo.

La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminalen curso.


Véase también Comandos de Linux disponibles en la página 223

Utilización de comandos de LinuxEs posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función estádestinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee encaso de emergencia.




2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después,haga clic en Aceptar.

3 Escriba los comandos Linux (véase Comandos de Linux disponibles).

4 Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario.

5 (Opcional) Haga clic en Exportar para guardar el contenido en un archivo.

La exportación no incluye los resultados borrados de la página de terminal durante la sesión encurso.

Comandos de Linux disponiblesEstos son los comandos disponibles en la página Terminal.

comandos de la página Terminal

• getstatsdata • echo

• ps • date

• grep • ethtool



• ifconfig • df

• kill • tar

• sensors • netstat

• service • sar

• cat • tail

• rm • locate

• iptables • tcpdump -c -w

• updatedb • ip6tables

• cp

Estos son los comandos disponibles que se modifican antes de la ejecución.

Este comando... Cambia a...

II ll--classify

ping ping -c 1

ls ls--classify

top top -b -n 1

ping6 ping6 -c 1

Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticospara la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos,consulte http://www.linuxmanpages.com.

Uso de una lista negra globalUna lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS ovirtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice.

Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivosNitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicablea todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de listanegra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de NitroIPS.

Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función estádesactivada en todos los dispositivos hasta que se activa.

3 Configuración del ESMUso de una lista negra global


http://www.linuxmanpages.com

La página Editor de la lista negra global incluye tres fichas:

• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por eldispositivo.

• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por eldispositivo.

• Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a lasexclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o lasestaciones de trabajo de los administradores del sistema) para asegurarse de que nunca seincluyan automáticamente en las listas negras, independientemente de los eventos que puedangenerar.

Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar elefecto de la lista negra a un puerto de destino concreto.

A la hora de agregar entradas:

• La opción Agregar se activa cuando se cambia la dirección IP o el puerto.

• Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan enla lista negra en todos los puertos o en un puerto específico.

• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con elpuerto establecido como cualquiera (0), y la duración debe ser permanente.

• Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas queayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host enel campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función delvalor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, serellenará el campo Dirección IP con esa información y se moverá el nombre de host al campoDescripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IPy se rellenará el campo Descripción con los resultados de la búsqueda.

Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. Noconfíe en esta herramienta para garantizar el bloqueo de algunos sitios web.

Establecimiento de una lista negra globalSe puede establecer una lista negra global común para todos los dispositivos seleccionados, de formaque no sea necesario introducir la misma información en varios dispositivos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.

2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de lalista negra.

3 Seleccione los dispositivos que deben usar la lista negra global.


Qué es el enriquecimiento de datosPuede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente concontexto no presente en el evento original (como, por ejemplo, una dirección de correo electrónico, un

Configuración del ESMQué es el enriquecimiento de datos 3


número de teléfono o información sobre la ubicación del host). Estos datos enriquecidos pasan aformar parte del evento analizado y se almacenan junto con el evento, de igual forma que los camposoriginales.

Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectarcon la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. Acontinuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos,tanto para eventos como para flujos.

También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en lapágina Enriquecimiento de datos. Para ello, seleccione el origen y haga clic en Editar, Quitar o Ejecutar ahora.

Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM,no en los dispositivos.

Existe un conector para el origen de datos relacionales de Hadoop HBase mediante el uso de los paresde clave-valor del origen de enriquecimiento. La asignación de identidad de HBase se puede extraer aun receptor de forma regular para enriquecer los eventos.

Adición de orígenes de enriquecimiento de datosAgregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enEnriquecimiento de datos | Agregar.

Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo deenriquecimiento seleccionado.

2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.

3 Haga clic en Finalizar y, después, en Escribir.

4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y hagaclic en Aceptar.

Configuración del enriquecimiento de datos de McAfee RealTime for McAfee ePO™

Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos,es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento.



2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal.

3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic enla ficha Consulta.

4 Agregue la información solicitada y haga clic en Prueba.

Si la consulta no genera la información que necesita, realice ajustes en la configuración.

3 Configuración del ESMQué es el enriquecimiento de datos


Adición de un origen de enriquecimiento de datos de HadoopHBaseEs posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer loseventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento dedatos.

2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, hagaclic en la ficha Origen.

3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, elpuerto y el nombre de la tabla.

4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados medianteBase64. Por ejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Complete la información de las fichas Calificación y Destino.

Adición de un origen de enriquecimiento de datos de HadoopPigEs posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de HadoopPig.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.

2 Haga clic en Enriquecimiento de datos y, después, en Agregar.



3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campoTipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host deJobtracker y Puerto de Jobtracker.

La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, seutilizan el host y el puerto de Namenode de forma predeterminada.

4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente:

a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, /user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tablaHCatalog (por ejemplo, sample_07).

b En Columnas, indique cómo enriquecer los datos de columna.

Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas paranúmero de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca elsiguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base dedatos de subárbol, utilice los nombres de las columnas de la tabla HCatalog.

c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véasela documentación de Apache Pig.

d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datosde columnas. Se requiere información en los campos Origen y Columna. El resto de campospueden dejarse en blanco. El uso de funciones de agregación requiere la especificación degrupos.

5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig.

6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columnaúnica.

7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.

Adición de enriquecimiento de datos de Active Directory paranombres de usuarioEs posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombresde pantalla de usuario completos.

Antes de empezarVerifique que dispone del privilegio Administración del sistema.


Procedimiento1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.

2 Haga clic en Enriquecimiento de datos y, después, en Agregar.

3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formatoNombre_Completo_De_ID_Usuario.

4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.

5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualicecon una frecuencia mayor.



6 Haga clic en Siguiente o en la ficha Origen.

a En el campo Tipo, seleccione LDAP.

b Rellene la dirección IP, el nombre de usuario y la contraseña.

7 Haga clic en Siguiente o en la ficha Consulta.

a En el campo Atributo de búsqueda, introduzca sAMAccountName.

b En el campo Atributo de enriquecimiento, introduzca displayName.

c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos deActive Directory clasificados como personas.

d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente delnúmero de entradas reales.

8 Haga clic en Siguiente o en la ficha Destino.

a Haga clic en Agregar.

b Seleccione su origen de datos de Microsoft Windows.

c En Campo de búsqueda, seleccione el campo Usuario de origen.

Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.

d Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formatoUser_Nickname o Contact_Name.

9 Haga clic en Finalizar para guardar los cambios.

10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora pararecuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora deactivación diaria.

El Nombre completo se escribe en el campo Contact_Name.





4 Administración de Cyber Threat

McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder conrapidez a la actividad de IOC relacionada en su entorno.

La administración de Cyber Threat permite configurar fuentes automáticas que generan listas devigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Porejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas alistas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informesque indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de CyberThreat para acceder a información detallada con rapidez sobre actividades y eventos específicos de suentorno.

Contenido Configuración de la administración de Cyber Threat Visualización de resultados de fuentes de Cyber Threat

Configuración de la administración de Cyber ThreatConfigure las fuentes para recuperar indicadores de compromiso (IOC) de los orígenes remotos.Después, puede utilizar estas fuentes para generar listas de vigilancia, alarmas e informes quepermitan a los usuarios acceder a la actividad de IOC relacionada en su entorno.

Antes de empezarVerifique que dispone de los permisos siguientes.

• Administración de Cyber Threat: permite al usuario configurar una fuente de CyberThreat.

• Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente.


1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.

2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar.

3 En la ficha Principal, introduzca el nombre de la fuente.

4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic enConectar para probar la conexión.

Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE ThreatInformation Exchange (TAXII).

4


5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia deextracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cadahora, cada semana y cada mes. Especifique la hora de activación diaria.

6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a unalista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad ocampo admitidos.

Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.

7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datoscoincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.

a Elija si desea analizar los eventos, los flujos o ambos.

b Indique la antigüedad (en días) para analizar los eventos y los flujos.

c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia dedatos.

d En el caso de las alarmas, seleccione un usuario asignado y una gravedad.

8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente.

9 Haga clic en Finalizar.

Véase también Visualización de resultados de fuentes de Cyber Threat en la página 232

Visualización de resultados de fuentes de Cyber ThreatCabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externosidentificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez ainformación detallada sobre las amenazas, las descripciones de los archivos y los eventoscorrespondientes a cada origen de indicadores.

Antes de empezarVerifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados delas fuentes de Cyber Threat de su organización.


1 En la consola de ESM, en Resumen predeterminado, seleccione Vistas de flujo de trabajo de evento | Indicadores deCyber Threat.

2 Elija el periodo de tiempo para la vista.

3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.

4 Lleve a cabo cualquier acción de vista estándar, tales como:

• Crear una lista de vigilancia o anexar datos a una existente.

• Crear una alarma.

• Ejecutar un comando remoto.

• Crear un caso.

4 Administración de Cyber ThreatVisualización de resultados de fuentes de Cyber Threat


• Buscar o repetir la última búsqueda.

• Exportar el indicador a un archivo CSV o HTML.

5 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventosde origen y Flujos de origen.

Véase también Configuración de la administración de Cyber Threat en la página 231

Administración de Cyber ThreatVisualización de resultados de fuentes de Cyber Threat 4


4 Administración de Cyber ThreatVisualización de resultados de fuentes de Cyber Threat


5 Uso de paquetes de contenido

Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación einstalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenidoincluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basanen casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes decontenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero.

Importación de paquetes de contenidoMcAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación,alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malwareespecífica.

Antes de empezarVerifique que dispone de los permisos siguientes.

• Administración del sistema

• Administración de usuarios


1 Comprobación de la existencia de actualizaciones de reglas en la página 30

Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte delas actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes decontenido individuales de forma manual desde el sitio donde se alojan las reglas.

2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.

3 Haga clic en Paquetes de contenido.

4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar.

Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetesde contenido nuevos o actualizados.

a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar.

b Haga clic en Cargar.

Aparecerá un mensaje que indica el estado de la importación.

5


c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye.

d Seleccione el paquete de su elección y, después, instale ese paquete de contenido.

5 A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestióny haga clic en Actualizar o Desinstalar.

Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente hapersonalizado algún elemento del paquete de contenido, la actualización podría sobrescribir loselementos personalizados.

6 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic enDesinstalar.

5 Uso de paquetes de contenidoImportación de paquetes de contenido


6 Flujo de trabajo de alarmas

Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante paraobtener información detallada paso a paso.

1 Preparación para la creación de alarmas: antes de crear o usar alarmas, asegúrese de que suentorno esté preparado.

• Conecte el servidor de correo, cree plantillas de mensaje e identifique los grupos dedestinatarios de los mensajes.

• Cargue archivos de audio.

• Acceda al panel de registro de alarmas (también conocido como la consola).

• Genere informes.

2 Creación de alarmas: cuando se crea una alarma, es posible identificar una o varias condicionesde seguridad que pueden activarla. También se pueden identificar las acciones que se produciráncomo respuesta a las alarmas activadas. Para crear alarmas, puede activar las alarmaspredefinidas, cambiar las alarmas existentes o crear alarmas exclusivas para el entorno de suorganización.

3 Supervisión y respuesta para alarmas: responda a las alarmas activadas en las ubicacionessiguientes de ESM.

• Vista Alarmas activadas del panel.

• Alertas visuales emergentes que se abren cuando se activa una alarma.

• Panel de registro de Alarmas, que incluye el número total de alarmas por gravedad: alta 66–100,media 33–65 y baja 1–32.

4 Ajuste de alarmas: las alarmas pueden necesitar cambios con el tiempo. Perfeccione y ajuste lasalarmas a medida que descubra lo que mejor se adapta a su organización.

Contenido Preparación para la creación de alarmas Creación de alarmas Supervisión y respuesta para alarmas Ajuste de alarmas

Preparación para la creación de alarmasAntes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESMcontenga los siguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios de

6


mensajes, conexión con el servidor de correo, archivos de audio de alarma, cola de informes dealarma y ficha de alarmas visible en el panel.

Antes de empezarPara ver las alarmas activadas en el panel, véase Selección de la configuración de usuarioen la página 36.

Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para lasalarmas.

Procedimientos• Configuración de mensajes de alarma en la página 238

Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correoelectrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP)o syslog.

• Administración de archivos de audio para las alarmas en la página 243Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertassonoras de las alarmas.

• Administración de la cola de informes de alarma en la página 244Si una acción de alarma genera informes, es posible ver la cola de informes generados ycancelar uno o varios de ellos.

Configuración de mensajes de alarmaConfigure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, ShortMessage Services (SMS), Simple Network Management Protocol (SNMP) o syslog.


Procedimientos• Creación de plantillas de mensajes de alarma en la página 239

Es posible crear plantillas para los mensajes de alarma de correo electrónico, ShortMessage Services (SMS), Simple Network Management Protocol (SNMP) o syslog.Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios demensajes específicos.

• Configuración de alarmas de correlación para la inclusión de eventos de origen en la página241Para incluir la información sobre los eventos de origen en los resultados de alarma,configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee unevento de correlación como coincidencia.

• Administración de los destinatarios de alarmas en la página 241Identifique los destinatarios de los mensajes de alarma y configure la forma de envío dedichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS),Simple Network Management Protocol (SNMP) o syslog.

• Conexión con el servidor de correo en la página 182Configure las opciones para conectar con el servidor de correo de manera que pueda enviarmensajes de alarma e informes.

6 Flujo de trabajo de alarmasPreparación para la creación de alarmas


Definición de la configuración de los mensajesCuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puedeoptar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor decorreo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.

ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolode transporte para transmitir datos entre los administradores y los agentes. En una configuraciónSNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación deadministración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes dela red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a laslimitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en unacaptura distinta.

Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estosinformes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cadalínea de los resultados de la consulta organizados mediante campos separados por comas.

Creación de plantillas de mensajes de alarmaEs posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services(SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar lasplantillas con acciones de alarma y destinatarios de mensajes específicos.




Propiedades .


3 Haga clic en la ficha Configuración y, después, en Plantillas.• Para crear plantillas personalizadas, haga clic en Agregar.

• Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar.

No se pueden editar las plantillas predefinidas.

• Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar.

No se pueden eliminar las plantillas predefinidas.

• Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiadacon otro nombre.

• Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela yhaga clic en Convertir en predeterminado.

4 Agregue o cambie la siguiente información de plantilla.

Flujo de trabajo de alarmasPreparación para la creación de alarmas 6



Tipo Indique si esta plantilla es para un mensaje de correo electrónico o un SMS.

Los mensajes SMS se envían a modo de correo electrónico a un teléfono y eloperador los convierte en SMS. Los mensajes SMS tienen un límite de 140caracteres.

Nombre Escriba el nombre de esta plantilla.

Descripción Escriba una descripción de lo que incluye la plantilla.

Convertir enpredeterminado

Permite utilizar la plantilla actual como predeterminada al enviar mensajes.

Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto delmensaje. Haga clic en el icono Insertar campo y seleccione la información quedesee incluir en la línea de asunto del mensaje.

Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.

Si desea incluir los datos de paquete en el correo electrónico, active la opciónCopiar paquete para la regla. El ESM limita los datos de paquete a 8000 caracteresen el correo electrónico. (Véase Activación de Copiar paquete en la página 380).

En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje amenos de 950 bytes. ESM no puede enviar mensajes de syslog que superen los950 bytes.

• Elimine cualquiera de los campos incluidos de forma predeterminada si nodesea que aparezcan en el mensaje.

• Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar uncampo de datos. Haga clic en el icono Insertar campo, situado sobre el campoAsunto. A continuación, seleccione el tipo de información que desee quemuestre este campo.

• Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterarlos registros. Inserte los campos que desee incluir por cada registro entre losmarcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá estainformación en el mensaje para un máximo de diez registros.

• Configuración de alarmas de correlación para la inclusión de eventos de origenen la página 241 Para incluir los eventos de origen en las alarmas que utilizanun evento de correlación como coincidencia ( ), haga clic en el icono Insertarcampo y seleccione Bloque de eventos de origen.

Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo dealarma, el ESM incluye los datos del campo de evento en el mensaje de correoelectrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con elorigen de datos, las cuales se ejecutan en el receptor en lugar de en el ESM.Seleccione alarmas de Coincidencia de evento interno, las cuales se ejecutan en el ESMy fuerzan la ejecución de una consulta cada vez que caduca la frecuencia de laalarma.



Configuración de alarmas de correlación para la inclusión de eventos deorigenPara incluir la información sobre los eventos de origen en los resultados de alarma, configure unaalarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlacióncomo coincidencia.




Propiedades .


3 Haga clic en la ficha Configuración y, después, en Plantillas.

4 En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada.

5 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el

icono Insertar campo y seleccione Bloque de eventos de origen.

6 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después,seleccione la información que desee incluir cuando se active la alarma de correlación.

En el ejemplo siguiente se ilustra el aspecto de una plantilla de mensaje de alarma cuando se insertancampos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:

Alarma: [$Nombre de alarma]Usuario asignado: [$Usuario asignado de alarma]Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma][$SOURCE_EVENTS_START] IP de origen: [$IP de origen]IP de destino: [$IP de destino]Gravedad: [$Promedio de gravedad][$SOURCE_EVENTS_END]

Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos.

Administración de los destinatarios de alarmasIdentifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichosmensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple NetworkManagement Protocol (SNMP) o syslog.



• Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP enla página 193 y Configuración de perfiles en la página 193.





Propiedades .


3 Haga clic en la ficha Configuración y, después, en Destinatarios.• Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de los

destinatarios individuales.

• Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.

• Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones.

• Haga clic en SNMP para ver o actualizar la siguiente información de SNMP:


Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable.Para agregar un perfil, haga clic en Perfil.

Tipo de capturaconcreto

Seleccione el tipo de captura específico. El tipo de captura general siempre seestablece en 6 (Específico de empresa).

OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la capturaque se enviará. Incluya todo desde el primer 1 hasta el número de empresa,incluidos los posibles subárboles de la empresa.

Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable coninformación extra, incluido el número de línea del informe procesado, unacadena que identifica el origen de la captura, el nombre de la notificación queha generado la captura y el ID del ESM que envía la captura.Incluir solo datos de informe: los enlaces de variable extra no se incluirán en lacaptura.

Formato Cada captura SNMP generada a partir de un informe contiene una línea dedatos del informe.• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal

cual en un único enlace de variable. El sistema construye los OID de enlacede datos mediante la concatenación del ID de empresa, el tipo de capturaconcreta y un número que aumenta automáticamente a partir del 1.

• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informey envía cada campo en un enlace de datos distinto.

Lista deidentificadores OIDde enlace

Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datospersonalizados.• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID

de enlace.

• Si no especifica suficientes OID de variable para todos los campos de datosdel informe, el ESM iniciará el incremento a partir del último OIDespecificado en la lista.

4 Haga clic en Syslog para ver o actualizar la siguiente información de syslog:


IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario.

Función y Gravedad Seleccione la función y la gravedad del mensaje.



Conexión con el servidor de correoConfigure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajesde alarma e informes.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conprivilegios de administración de usuarios.



Propiedades .

2 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con elservidor de correo.


Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.

Usar TLS Indique si desea usar el protocolo de cifrado TLS.

Nombre de usuario yContraseña

Escriba el nombre de usuario y la contraseña para acceder al servidor decorreo electrónico.

Título Escriba un título genérico para todos los mensajes de correo electrónicoenviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,a fin de identificar qué ESM ha generado el mensaje.

De Escriba su nombre.

Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración delos destinatarios de alarmas en la página 241).

3 Envíe un mensaje de correo electrónico de prueba para verificar la configuración.

4 Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios dealarmas en la página 241).

5 Haga clic en Aplicar o en Aceptar para guardar la configuración.

Véase también Administración de destinatarios en la página 183

Administración de archivos de audio para las alarmasCabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de lasalarmas.






Propiedades .

2 Haga clic en la ficha Configuración y, después, en Audio.

3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar.

ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audiopersonalizados.

Administración de la cola de informes de alarmaSi una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar unoo varios de ellos.




Propiedades .


3 Haga clic en la ficha Configuración.

4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta unmáximo de cinco informes de forma simultánea.

• Vea los informes generados por alarmas.

• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informesrestantes se moverán hacia arriba en la cola.

Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera deejecución en el ESM, lo que permite cancelar cualquiera de ellos.

5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informesde la lista.


Creación de alarmasLas alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de unnúmero excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo dedistracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización.McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiaralarmas existentes y cambiarlas o crear alarmas específicas para su organización.

Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.

6 Flujo de trabajo de alarmasCreación de alarmas


Procedimientos• Activación o desactivación de la supervisión de alarmas en la página 245

Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas.La supervisión de alarmas de ESM está activada de forma predeterminada.

• Cómo copiar una alarma en la página 245Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si secopia y se guarda con un nombre distinto.

• Creación de alarmas en la página 246Cree una alarma para que se active cuando se cumplan las condiciones definidas.

Activación o desactivación de la supervisión de alarmasActive o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. Lasupervisión de alarmas de ESM está activada de forma predeterminada.


Si desactiva la supervisión de alarmas para el sistema, el ESM no genera alarmas.



Propiedades .


3 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la fichaConfiguración y, después, en Desactivar o Activar.

4 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica silas alarmas están activadas o desactivadas.

• Para activar una alarma específica, resáltela y seleccione Activado.

• Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará degenerar esta alarma.


Cómo copiar una alarmaEs posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y seguarda con un nombre distinto.



Flujo de trabajo de alarmasCreación de alarmas 6



Propiedades .


3 Seleccione una alarma activada y haga clic en Copiar.

En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.

Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.

4 Cambie el nombre y haga clic en Aceptar.

5 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic enEditar.

6 Cambie la configuración según proceda.

Véase también Creación de alarmas en la página 246

Creación de alarmasCree una alarma para que se active cuando se cumplan las condiciones definidas.




Propiedades .

2 Haga clic en Alarmas y, después, en Agregar.

3 Haga clic en la ficha Resumen para definir la configuración general de alarma.

• Asigne un nombre a la alarma.

• En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Estalista incluye todos los usuarios y grupos con el privilegio Administración de alarmas.

• En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65es media y 1–32 es baja).

• Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar laalarma.

4 En la ficha Condición, identifique las condiciones que activan la alarma.



Condición Descripción

Tasa decomprobación

Seleccione la frecuencia con la que el sistema debe comprobar esta condición.

Desviación Especifique un umbral de porcentaje para la comprobación por encima de lareferencia y un porcentaje distinto por debajo de la referencia.• Consulta: seleccione el tipo de datos de la consulta.

• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.

• Espacio de tiempo: indique si desea que se consulte el último periodo de tiemposeleccionado en el campo de número o el anterior.

• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y pordebajo de la referencia para que el ESM active la alarma.

Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antesde que ESM genere la alarma.

• Icono Filtros: seleccione los valores a fin de filtrar los datos.

• Espacio de tiempo: seleccione en qué intervalo se debe producir el número deeventos seleccionado para que el ESM active la alarma.

• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma quela alarma no incluya el brusco aumento al final provocado por la agregación. Porejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de loseventos recuperados contiene los eventos agregados. Haga coincidir ladiferencia del espacio de tiempo con esa cantidad para que el último minuto nose incluya en la medición de los datos. De lo contrario, el ESM incluirá losvalores de los datos agregados en el recuento de eventos y provocarán un falsopositivo.

Coincidencia decampo

1 Arrastre y coloque los iconos AND u OR (véase Elementos lógicos en la página269) para configurar la lógica de la condición de alarma.

2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y,después, rellene la página Agregar campo de filtro.

3 Limite el número de notificaciones recibidas mediante la configuración de laFrecuencia máxima de activación de condición. Cada desencadenador contiene el primerevento de origen que coincide con la condición de activación, pero no loseventos que se producen durante el periodo de activación de la condición. Loseventos nuevos que coinciden con la condición de activación no activan laalarma de nuevo hasta que transcurre el periodo correspondiente a la frecuenciade activación máxima. Por ejemplo, si establece la frecuencia en diez minutos yse activa una alarma cinco veces en un periodo de diez minutos, el ESM envíaun único aviso que contiene cinco alarmas.

Si establece el intervalo en cero, cada evento que coincida con una condiciónactivará una alarma. En el caso de las alarmas de alta frecuencia, un intervalode cero puede producir muchas alarmas.

Estado delmonitor de estado

Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, siselecciona solo Crítico, no se le notificará si se produce un cambio de estado delmonitor de estado con el nivel Advertencia (véase ID de firma del monitor de estadoen la página 259).



Condición Descripción

Coincidencia deevento interno

• Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma seactive cuando el valor no coincida con la configuración.

• Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de estaalarma.

Los valores que contienen comas deben encontrarse en una lista de vigilancia odelimitados por comillas.

• Campo: seleccione el tipo de datos que supervisará esta alarma.

Para las alarmas que se activan cuando se genera un evento del monitor deestado, véase Adición de alarmas de eventos del monitor de estado en la página259.

• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP deorigen reales que activen esta alarma.

Frecuenciamáxima deactivación decondición

Seleccione la cantidad de tiempo que debe transcurrir entre condiciones paraevitar un aluvión de notificaciones.

Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máximapermitida para los eventos analizados antes de que se active la alarma.

Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.

5 En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma.

6 En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma.

Acción Descripción

Registrar evento Registrar una alarma en el ESM de forma predeterminada.

Confirmar alarmaautomáticamente

Confirmar la alarma automáticamente tras su activación. Como resultado, laalarma no aparece en el panel Alarmas, pero el sistema la agrega a la vistaAlarmas activadas.

Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola.Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido yseleccione un archivo de audio.

Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurarpara identificar el propietario del caso y para seleccionar los campos que incluiren el resumen del caso.

Si planea escalar las alarmas, no cree casos.

Actualizar lista devigilancia

Cambiar las listas de vigilancia mediante la adición o eliminación de valores enfunción de la información contenida en un máximo de diez eventos que activanalarmas. Haga clic en Configurar y seleccione qué campo del evento activador sedebe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando estaconfiguración modifica una lista de vigilancia, la ficha Acciones de la vista Alarmaactivada muestra el cambio.

Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.




Enviar mensaje Enviar un mensaje de correo electrónico o SMS a los destinatariosseleccionados.• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.

• Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes decorreo electrónico, SMS, SNMP o syslog), así como la zona horaria y elformato de fecha que utilizar en el mensaje.

Si se emplean los siguientes caracteres en el nombre de una alarma, podríanproducirse problemas al enviar mensajes SMS: coma (,), comillas ("),paréntesis ( ), barra diagonal o barra diagonal invertida (/ \), punto y coma(;), signo de interrogación (?), arroba (@), corchetes ([ ]), signos de mayor ymenor que (< >) y signo de igual (=).

Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar yseleccione un informe en la página Configuración de informe o haga clic en Agregarpara diseñar un informe nuevo.

Si pretende enviar por correo electrónico un informe a modo de datos adjuntos,consulte con su administrador de correo para determinar el tamaño máximo delos datos adjuntos. Los datos adjuntos de correo electrónico de gran tamañopueden impedir el envío de un informe.

Ejecutar comandoremoto

Ejecutar un comando remoto en cualquier dispositivo que acepte conexionesSSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar paraseleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha,y también el host, el puerto, la contraseña del nombre de usuario y la cadenade comando para la conexión SSH.

Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos

específicos. Haga clic en el icono Insertar variable y seleccione las variables.

Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurarpara establecer la información necesaria a fin de comunicarse con Remedy:datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envíaneventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la fichaAcciones de la vista Alarma activada. Esta acción requiere que el tipo de condiciónsea Coincidencia de evento interno.

Asignar etiqueta conePO

Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP queactivan esta alarma. Haga clic en Configurar y seleccione la información siguiente.• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.

• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetasdisponibles en el dispositivo seleccionado).

• Seleccionar el campo: campo en el que basar el etiquetado.

• Activar cliente: aplicar las etiquetas de inmediato.


Acciones de RealTime for ePO

Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivoMcAfee ePO seleccionado.

Esta opción requiere el complemento de McAfee Real Time for McAfee ePO(versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca eldispositivo como uno de sus endpoints.




Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se activeuna alarma. Haga clic en Configurar y seleccione la información siguiente.• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El

tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como lade destino.

• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en lalista negra. La opción Global agrega el dispositivo a la Lista negra global.

• Duración: seleccione cuánto tiempo se deben incluir en la lista negra lasdirecciones IP.


Resumen de alarmapersonalizada

Personalizar los campos incluidos en el resumen de una alarma de tipoCoincidencia de campo o Coincidencia de evento interno.

7 En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirma en un periodoespecífico.

Escalación Descripción

Escalar después de Indique el tiempo tras el cual desea que se escale la alarma.

Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.

Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada.

Registrar evento Indique si desea registrar el escalado como un evento.

Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducirsonido y seleccione un archivo si desea que la notificación visual seacompañe de un sonido.

Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregardestinatario, seleccione el tipo de mensaje y, después, seleccione eldestinatario.

Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionarel informe.

Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepteconexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, elnombre de usuario, la contraseña y la cadena de comando.

Supervisión y respuesta para alarmasEs posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles dealarmas, filtros e informes.

Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmasactivadas y responder a ellas.

6 Flujo de trabajo de alarmasSupervisión y respuesta para alarmas


• Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total dealarmas clasificadas por gravedad.

Símbolo Gravedad Intervalo

Alta 66–100

Media 33–65

Baja 1–32

• Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmasconfirmadas se conservan en la vista Alarmas activadas.

• Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmasactivadas.

Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual secerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra,confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta.

Procedimientos

• Visualización y administración de alarmas activadas en la página 251Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

• Visualización de resultados de fuentes de Cyber Threat en la página 232Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externosidentificados por las fuentes de Cyber Threat de su organización. Es posible acceder conrapidez a información detallada sobre las amenazas, las descripciones de los archivos y loseventos correspondientes a cada origen de indicadores.

• Administración de la cola de informes de alarma en la página 244Si una acción de alarma genera informes, es posible ver la cola de informes generados ycancelar uno o varios de ellos.

Visualización y administración de alarmas activadasEs posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

Antes de empezar

• Verifique con su administrador que pertenece a un grupo de acceso con privilegios deadministración de alarmas.

• Verifique con su administrador si su consola está configurada para mostrar el panel deregistro Alarmas (véase Selección de la configuración de usuario en la página 36).


Procedimiento

1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:

• Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol denavegación del sistema.

• Alerta visual emergente: se abre cuando se activa una alarma.

•Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas.


Flujo de trabajo de alarmasSupervisión y respuesta para alarmas 6



Confirmar unaalarma

• Para confirmar una alarma, haga clic en la casilla de verificación de laprimera columna de la alarma activada que desee confirmar.

• Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma

de la parte inferior de la vista.

El sistema elimina las alarmas confirmadas del panel Alarmas, pero seconservan en la vista Alarmas activadas.

Eliminar unaalarma del sistema

• Seleccione la alarma activada que desee eliminar y haga clic en el icono

Eliminar alarma .

Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y

haga clic en el icono Actualizar .

Cambiar el usuarioasignado de lasalarmas

1Haga clic en el icono Ver detalles de datos para mostrar los detalles dealarma en la parte inferior del panel.

2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevousuario asignado.

Crear un caso paralas alarmas


2 Seleccione las alarmas, haga clic en Crear caso y realice las seleccionesnecesarias.

Ver detalles sobreuna alarma


2 Seleccione la alarma y realice una de las acciones siguientes:

• Haga clic en la ficha Evento activador para ver el evento que activó la alarmaseleccionada. Haga doble clic en el evento para ver su descripción.

Si un único evento no cumple las condiciones de alarma, es posible queno aparezca la ficha Evento activador.

• Haga clic en la ficha Condición para ver la condición que activó el evento.

• Haga clic en la ficha Acción para ver las acciones resultantes de la alarmay las etiquetas de ePolicy Orchestrator asignadas al evento.

Editar laconfiguración deuna alarmaactivada

1Haga clic en la alarma activada, después en el icono Menú y seleccioneEditar alarma.

2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.

Véase también Adición de un caso en la página 331



Visualización de resultados de fuentes de Cyber ThreatCabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externosidentificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez ainformación detallada sobre las amenazas, las descripciones de los archivos y los eventoscorrespondientes a cada origen de indicadores.

Antes de empezarVerifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados delas fuentes de Cyber Threat de su organización.


1 En la consola de ESM, en Resumen predeterminado, seleccione Vistas de flujo de trabajo de evento | Indicadores deCyber Threat.

2 Elija el periodo de tiempo para la vista.

3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.

4 Lleve a cabo cualquier acción de vista estándar, tales como:

• Crear una lista de vigilancia o anexar datos a una existente.

• Crear una alarma.

• Ejecutar un comando remoto.

• Crear un caso.

• Buscar o repetir la última búsqueda.

• Exportar el indicador a un archivo CSV o HTML.

5 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventosde origen y Flujos de origen.

Véase también Configuración de la administración de Cyber Threat en la página 231

Integración con Threat Intelligence ExchangeThreat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpointsconectados a estos archivos.

Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hayun servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza aescuchar los eventos de DXL y de registro.

Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, elenriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agreganautomáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificaciónvisual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor deThreat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo sehaya agregado al ESM.

Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial deejecución (véase Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.

Flujo de trabajo de alarmasSupervisión y respuesta para alarmas 6


Reglas de correlación

Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estasreglas generan eventos que se pueden buscar y ordenar.

• TIE - Reputación de GTI cambiada de limpia a contaminada

• TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts

• TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts

• TIE - Varios archivos maliciosos encontrados en un único host

• TIE - Reputación de TIE cambiada de limpia a contaminada

• TIE - Aumento de archivos maliciosos detectado en todos los hosts

Alarmas

El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de ThreatIntelligence Exchange.

• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso(SHA-1) encontrado en un número creciente de hosts.

• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agregainformación a la lista de vigilancia IP de orígenes de datos de TIE.

Lista de vigilancia

La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado laalarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.

Historial de ejecución de Threat Intelligence Exchange

Existe la posibilidad de ver el historial de ejecución de cualquier evento de Threat IntelligenceExchange (véase Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence Exchange), el cual incluye una lista de las direcciones IP que han intentado ejecutar elarchivo. En esta página, puede seleccionar un elemento y realizar cualquiera de estas acciones:

• Crear una nueva lista de vigilancia • Agregar la información a una lista negra

• Anexar la información a una lista devigilancia

• Exportar la información a un archivo .csv

• Crear una nueva alarma

Administración de la cola de informes de alarmaSi una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar unoo varios de ellos.






Propiedades .


3 Haga clic en la ficha Configuración.

4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta unmáximo de cinco informes de forma simultánea.

• Vea los informes generados por alarmas.

• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informesrestantes se moverán hacia arriba en la cola.

Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera deejecución en el ESM, lo que permite cancelar cualquiera de ellos.

5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informesde la lista.


Ajuste de alarmasPerfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estosprocedimientos describen cómo crear tipos concretos de alarmas.

Flujo de trabajo de alarmasAjuste de alarmas 6


Procedimientos• Creación de alarmas UCAPL en la página 256

Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities ApprovedProducts List, lista de productos aprobados con capacidades unificadas).

• Adición de alarmas de eventos del monitor de estado en la página 259Cree alarmas basadas en los eventos del monitor de estado que, después, permiten lageneración de un informe de Resumen de eventos de monitor de estado.

• Adición de una alarma de Coincidencia de campo en la página 268Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activacuando el dispositivo recibe y analiza el evento.

• Adición de una alarma a las reglas en la página 270Si desea recibir una notificación cuando se generen eventos a través de reglas específicas,es posible agregar una alarma a esas reglas.

• Configuración de una captura SNMP para la notificación de fallos de alimentación en lapágina 194Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales ylos fallos de alimentación de DAS con objeto de evitar que el sistema se apague debido aesta situación.

• Creación de capturas SNMP a modo de acciones de alarma en la página 195Es posible enviar capturas SNMP a modo de acciones de alarma.

• Adición de una alarma de notificación sobre fallos de alimentación en la página 195Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de lasfuentes de alimentación del ESM.

• Administración de orígenes de datos no sincronizados en la página 85Configure una alarma que le avise cuando los datos no sincronizados generen eventos, deforma que pueda ver una lista de orígenes de datos, editar su configuración y exportar lalista.

Creación de alarmas UCAPLCree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved ProductsList, lista de productos aprobados con capacidades unificadas).



• Revise los pasos para Creación de alarmas en la página 246.


Procedimiento• Configure los tipos de alarma aplicables:

6 Flujo de trabajo de alarmasAjuste de alarmas


Tipo de alarma Descripción

Umbral ajustable deerrores de inicio desesión alcanzado

Se activa una alarma cuando el número de errores de inicio de sesión de unmismo usuario alcanza un umbral que se puede ajustar.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca el valor 306-36.

Umbral deinactividadalcanzado

Activar una alarma cuando se bloquee una cuenta de usuario porque se haalcanzado el umbral de inactividad.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Número de sesionessimultáneaspermitidasalcanzado

Activar una alarma si un usuario intenta iniciar sesión en el sistemadespués de alcanzar el número máximo de sesiones simultáneas.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Error en lacomprobación deintegridad dearchivo del sistema

Activar una alarma cuando falle la comprobación de integridad de unarchivo del sistema.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Certificados a puntode caducar

Activar una alarma cuando haya certificados Common Access Card (CAC) ode servidor web a punto de caducar.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.

La alarma se activará 60 días antes de la fecha de caducidad del certificadoy, después, semanalmente. No es posible cambiar el número de días.

Envío de capturaSNMP cuando elestado del sistemano sea aprobado

Configurar una captura SNMP de modo que la alarma envíe una captura alNMS cuando detecte que el sistema ha dejado de funcionar en un estadoaprobado o seguro.1 Cree una alarma que coincida con cualquier condición y, después, acceda

a la ficha Acciones y seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clicen Aceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y,a continuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y hagaclic en Aceptar.

6 Configure el resto de opciones de alarma.



Tipo de alarma Descripción

Envío de mensajede syslog cuando elestado del sistemano es aprobado

Configurar un mensaje de syslog de modo que la alarma envíe un mensajede syslog al NMS cuando detecte que el sistema ha dejado de funcionar enun estado aprobado o seguro.1 Cree una alarma que coincida con cualquier condición, acceda a la ficha

Acciones y seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clicen Aceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y,a continuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y hagaclic en Aceptar.

6 Configure el resto de opciones de alarma.

El registro deseguridad noregistra los eventosnecesarios

Configurar una captura SNMP de modo que la alarma envíe una notificacióna un centro de operaciones de red (NOC) apropiado en un plazo de 30segundos si un registro de seguridad no está registrando los eventosnecesarios.1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades

del dispositivo | Configuración del dispositivo | SNMP.

2 Seleccione la captura de error del registro de seguridad, configure uno ovarios perfiles para el envío de capturas y haga clic en Aplicar.

ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensajeError al escribir en el registro de seguridad.

Inicio o fin defunciones deauditoría

Configurar una captura SNMP de modo que la alarma envíe una notificacióncuando las funciones de auditoría (como las de base de datos, cpservice oIPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP oConfiguración SNMP y seleccione Capturas de base de datos activa/inactiva. Configureuno o varios perfiles para el envío de las capturas y haga clic en Aplicar.

Existencia de unasesión por cadafunciónadministrativa

Activar una alarma cuando exista una sesión administrativa por cada una delas funciones administrativas definidas.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39para Administrador de criptografía y 306–40 para Usuario avanzado.También es posible configurar alarmas independientes.




Adición de alarmas de eventos del monitor de estadoCree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación deun informe de Resumen de eventos de monitor de estado.



• Revise los ID de firma del monitor de estado en la página 259 disponibles.

• Revise los pasos para Creación de alarmas en la página 246.


1 Para configurar una alarma antes de que se genere un evento del monitor de estado:

a Configure una Condición de alarma con el tipo Coincidencia de evento interno.

b En la línea Campo, seleccione ID de firma.

c En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado.

d Rellene el resto de opciones de configuración de la alarma.

2 Para configurar una alarma si existe un evento del monitor de estado:

a En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema

y seleccione una vista que muestre el evento del monitor de estado(Análisis de eventos o Resumen predeterminado).

bHaga clic en el evento y, después, haga clic en el icono Menú .

c Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma.

d Rellene el resto de opciones de configuración de la alarma.


ID de firma del monitor de estadoEn esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivoy gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificacióncuando se genere un evento de regla del monitor de estado.

Nombre de regla ID defirma

Descripción Tipo Dispositivo Gravedad

Se ha realizado oeliminado unaconexión de interfazde red física

306-50080 Cambio de laconfiguración de interfazde red mediante unasesión SSH.

Monitor desoftware

ESM Media

Se ha producido unerror de RAID

306-50054 Detección de errores deRAID.

Monitor dehardware

Todos Alta

Cuenta desactivadadebido a lainactividad

306-35 La cuenta de usuario seha desactivado debido ala inactividad.

Monitor desoftware

ESM Media





Cuenta desactivadadebido al máximo defallos de inicio desesión

306-36 La cuenta de usuario seha desactivado porquese ha alcanzado elmáximo de fallos deinicio de sesión.

Monitor desoftware

ESM Alta

Agregar/Editarcomando remoto

306-60 Adición o eliminación deun comando remoto dealarma.

Monitor desoftware

ESM Baja

Alerta de cambio deestado delrecopilador delanalizador de syslogavanzado

306-50029 El analizador de ASP seha detenido o iniciado.

Monitor desoftware

Receptor Media

Proceso de destiladorde APM

306-50066 El motor de extracciónde texto PDF/DOC deADM se ha detenido oiniciado.

Monitor desoftware

APM Media

Discrepancia conconfiguraciónaprobada

146-7 Cambio de dispositivo dedescubrimiento de redaprobado.

Monitor desoftware

ESM Baja

Cambio deconfiguración dearchivado

306-3 Cambio de laconfiguración dearchivado de ESM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del proceso dearchivado

306-50051 El proceso de archivadodel receptor se hadetenido o iniciado.

Monitor desoftware

APM/REC/IPS/DBM

Media

Activo vulnerable aevento

146-10,306-10

Evento de vulnerabilidadcreado.

Monitor desoftware

ESM Baja

Inicio de sesión deusuario administradorde auditoría

306-38 Evento UCAPL, inicio desesión de administradorde auditoría.

Monitor desoftware

ESM Baja

Cambio deconfiguración decopias de seguridad

306-1 Cambio de laconfiguración de copiasde seguridad de ESM.

Monitor desoftware

ESM Baja

Copia de seguridadrealizada

306-2 Copia de seguridadrealizada en el sistema.

Monitor desoftware

ESM Baja

Alerta del analizadorde Blue Martini

306-50071 El analizador de BlueMartini se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de estado deNIC de omisión

306-50001 En el NIC se ha activadoo desactivado el estadode omisión.

Monitor desoftware

IPA/ADM/IPS Media

El certificado de laautoridad decertificación hacaducado

306-50082 El certificado de laautoridad de certificaciónde ESM ha caducado.

Monitor desoftware

ESM Alta

El certificado de laautoridad decertificación caducarápronto

306-50081 El certificado de laautoridad de certificaciónde ESM caducará pronto.

Monitor desoftware

ESM Media

Cambio de caso 306-70 El caso ha cambiado. Monitor desoftware

ESM Baja





Estado de casoagregado/modificado/eliminado

306-73 El estado del caso hacambiado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de canal decomunicación

306-50013 El canal de control se hadetenido o iniciado.

Monitor desoftware

Todos Media

Error de captura deconfiguración (errorde dispositivo)

146-4 Error del dispositivo dedescubrimiento de red.

Monitor desoftware

ESM Baja

Error de captura deconfiguración(dispositivoinaccesible)

146-3 Dispositivo dedescubrimiento de redinaccesible.

Monitor desoftware

ESM Baja

Configuracióncapturada

146-5 La configuración dedescubrimiento de red seha comprobadocorrectamente.

Monitor desoftware

ESM Baja

Error de directiva deconfiguración

146-8 No se usa en el sistema. Monitor desoftware

ESM Baja

Directiva deconfiguracióncorrecta


ESM Baja

Cambio deconfiguración deasignación de datos

306-7 La configuración deasignación de datos deESM ha cambiado.

Monitor desoftware

ESM Alta

Alerta de espaciolibre en el disco enpartición de datos

306-50005 El espacio libre de cadapartición se estáagotando (por ejemplo,hada_hd tiene un 10 %de espacio libre).

Monitor desoftware

Todos Media

Cambio deconfiguración deconservación dedatos

306-6 La configuración deconservación de datos deESM ha cambiado.

Monitor desoftware

ESM Alta

Alerta de estado deservicios dedetección de basesde datos

306-50036 El servicio de detecciónautomática de DBM seha detenido o iniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de DPI

306-50008 El motor de inspecciónprofunda de paquetesdel IPS o ADM se hadetenido o iniciado.

Monitor desoftware

Todos Media

Eliminar comandoremoto

306-61 Comando remoto dealarma eliminado.

Monitor desoftware

ESM Baja

Eventos eliminados 306-74 El usuario ha eliminadoeventos de ESM.

Monitor desoftware

ESM Baja

Flujos eliminados 306-75 El usuario ha eliminadoflujos de ESM.

Monitor desoftware

ESM Baja

Adición de dispositivo 306-18 Se ha agregado unnuevo dispositivo alsistema.

Monitor desoftware

ESM Baja





Eliminación dedispositivo

306-19 Un dispositivo existentese ha eliminado delsistema.

Monitor desoftware

ESM Baja

Dispositivoposiblemente inactivo

146-2 Evento dedescubrimiento de redque indica que es posibleque un dispositivo nofuncione.

Monitor desoftware

ESM Baja

Dispositivoinaccesible

146-1 Un dispositivo dedescubrimiento de redagregado a ESM no estáaccesible.

Monitor desoftware

ESM Baja

Alerta de error deunidad de disco

306-50018 Comprueba y verifica laintegridad de todos losdiscos duros (internos ode DAS).

Monitor dehardware

Todos Alta

Alerta de cambio deestado del proceso dearchivado de ELM

306-50045 El motor de compresióndel ELM se ha detenido oiniciado.

Monitor desoftware

APM/REC/IPS/DBM

Media

ELM EDS FTP 306-50074 El programa SFTP delELM se ha detenido oiniciado.

Monitor desoftware

ELM Media

Proceso de archivode ELM

306-50065 El motor de reinsercióndel ELM se ha detenido oiniciado.Si un registro falla poralgún motivo, intentaráde nuevo la inserción. Siel proceso de reinserciónfalla, se activa estaregla.

Monitor desoftware

ELM Media

Alerta de cambio deestado del punto demontaje de ELM

306-50053 El almacenamientoremoto (CIFS, NFS,ISCSI, SAN) se hadetenido o iniciado.

Monitor desoftware

ELM Media

Alerta de cambio deestado del motor deconsultas de ELM

306-50046 El proceso de trabajosdel ELM (trabajos delELM, tales comoconsultas, inserciones,etc.) se ha detenido oiniciado.

Monitor desoftware

ELM Media

Almacenamientoredundante en ELM

306-50063 La duplicación del ELM seha detenido o iniciado.

Monitor desoftware

ELM Media

Error de la base dedatos del sistemaELM

306-50044 La base de datos del ELMse ha detenido oiniciado.

Monitor desoftware

ELM Alta

Alerta de cambio deestado de recopiladorde correo electrónico

306-50040 El recopilador MARS deCisco se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Etiquetas de ePOaplicadas

306-28 Se han aplicadoetiquetas de McAfeeePO.

Monitor desoftware

ESM Baja





Error al establecercomunicación conELM

306-50047 La comunicación con elELM ha fallado.

Monitor desoftware

APM/REC/IPS/DBM

Alta

Error encomunicación SSH

306-50077 Problemas deldispositivo, tales comodiferencias de versión oun cambio de clave.

Monitor desoftware

Todos Alta

Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor desoftware

ESM Media

Apagado de ESM 306-33 ESM se ha apagado. Monitor desoftware

ESM Media

Alerta del recopiladorde eStreamer

306-50070 El recopilador deeStreamer se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde eStreamer

306-50041 El recopilador deeStreamer se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Separación departición de eventos

306-4 Se ha separado unapartición de eventos.

Monitor desoftware

ESM Baja

Ejecutar comandoremoto

306-62 Comando remoto dealarma ejecutado.

Monitor desoftware

ESM Baja

Error de inicio desesión porque se haalcanzado el máximode sesionessimultáneas

306-37 El usuario no pudo iniciarsesión porque se alcanzóel máximo de sesionessimultáneas.

Monitor desoftware

ESM Alta

Error al aplicarformato al dispositivoSAN

306-50057 Se produjo un error alaplicar formato al SANen ELM; el usuario debevolver a intentarlo.

Monitor dehardware

ESM Alta

Error de inicio desesión de usuario

306-31 El usuario no ha podidoiniciar sesión.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recopiladorde archivos

306-50049 El programa derecopilación de montajese ha detenido oiniciado.

Monitor desoftware

Receptor Media

Archivo eliminado 306-50 Se ha eliminadocualquier archivo que sepueda agregar oeliminar, como unarchivo de sonido oregistro de ESM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del proceso defiltrado

306-50050 El programa de filtradodel dispositivo se hadetenido o iniciado(reglas de filtrado).

Monitor desoftware

Receptor Media

Alerta de cambio deestado de agregadorde alertas de firewall

306-50009 El agregador del firewalldel IPS o del ADM se hadetenido o iniciado.

Monitor desoftware

IPS/ADM/IPS Media

Separación departición de flujos

306-5 Se ha separado unapartición de flujos.

Monitor desoftware

ESM Baja





Error de obtencióndatos de evaluaciónde vulnerabilidades

306-52 ESM no ha podidoobtener datos deevaluación devulnerabilidades.

Monitor desoftware

ESM Media

Obtención datos deevaluación devulnerabilidadescorrecta

306-51 ESM ha obtenido datosde evaluación devulnerabilidades.

Monitor desoftware

ESM Baja

Alerta interna demonitor de estado

306-50027 Un proceso del monitorde estado se ha detenidoo iniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de recopiladorde HTTP

306-50039 El recopilador de HTTP seha detenido o iniciado.

Monitor desoftware

Receptor Media

Cambio deconfiguración deindización

306-8 La configuración deindizado de ESM hacambiado.

Monitor desoftware

ESM Media

Clave SSH no válida 306-50075 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferencias deversión o un cambio declave.

Monitor desoftware

Todos Alta

Alerta de cambio deestado de recopiladorde IPFIX

306-50055 El recopilador de IPFIX(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuario administradorde claves ycertificados

306-39 Evento UCAPL, inicio desesión de administradorde criptografía.

Monitor desoftware

ESM Baja

Partición de registrosustituida

306-34 Las particiones másantiguas de la tabla deregistro de la base dedatos se han sustituido.

Monitor desoftware

ESM Baja

Alerta de espaciolibre en el disco enparticiones deregistro

306-50004 El espacio de la particiónde registro (/var) se estáagotando.

Monitor desoftware

Todos Media

Alerta de cambio deestado de servidor debase de datos McAfeeEDB

306-50010 La base de datos se hadetenido o iniciado.

Monitor desoftware

Todos Media

Alerta del recopiladorde McAfee ePO

306-50069 El recopilador de McAfeeePO se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado del formatode los eventos deMcAfee

306-50031 El recopilador deformatos de eventos deMcAfee se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Error decomunicación deldispositivo de lasolución SIEM deMcAfee

306-26 ESM no se puedecomunicar con otrodispositivo.

Monitor desoftware

ESM Alta





Alerta de MicrosoftForefront ThreatManagementGateway

306-50068 El recopilador deForefront ThreatManagement Gateway seha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado derecuperador deMS-SQL

306-50035 El recopilador deMicrosoft SQL se hadetenido o iniciado(cualquier origen dedatos de Microsoft SQL).

Monitor desoftware

Receptor Media

Alerta de registro devarios eventos

306-50062 El recopilador de jEMAILse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Análisis de MVMiniciado

306-27 Se ha iniciado un análisisde MVM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de recopiladorde NetFlow

306-50024 El recopilador de NetFlow(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Nueva cuenta deusuario

306-13 Se ha agregado unnuevo usuario alsistema.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de recopiladorde NFS/CIFS

306-50048 El montaje remoto paraNFS o CIFS se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde NitroFlow

306-50026 NitroFlow (flujos deldispositivo) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

No se ha encontradouna clave SSH

306-50076 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferencias deversión o un cambio declave.

Monitor desoftware

Todos Alta

Agregar/Editar listanegra de NSM

306-29 Una entrada de la listanegra de NSM se haagregado o editado.

Monitor desoftware

ESM Baja

Eliminar lista negrade NSM

306-30 Una entrada de la listanegra de NSM se haeliminado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de receptorde OPSEC

306-50028 El recopilador de OPSEC(Check Point) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de receptorde OPSEC

306-50034 El recopilador de OPSEC(Check Point) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta del recopiladorde Oracle IdentityManagement

306-50072 El recopilador de OracleIDM se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta desobresuscripción

306-50012 El ADM o el IPS hanentrado o salido delmodo desobresuscripción.

Monitor desoftware

IPS/ADM/IPS Media





Alerta del analizador/recopilador decomplementos

306-50073 El analizador/recopiladorde complementos se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Adición de directiva 306-15 Se ha agregado unadirectiva al sistema.

Monitor desoftware

ESM Baja

Eliminación dedirectiva

306-17 Se ha eliminado unadirectiva del sistema.

Monitor desoftware

ESM Baja

Cambio de directiva 306-16 Se ha cambiado unadirectiva en el sistema.

Monitor desoftware

ESM Baja

Discrepancia conconfiguración previa

146-6 Ha cambiado laconfiguración deldispositivo dedescubrimiento de red.

Monitor desoftware

ESM Baja

Disponibilidad altadel receptor

306-50058 Cualquier proceso dedisponibilidad alta se hadetenido o iniciado(Corosync, script decontrol de disponibilidadalta).

Monitor desoftware

Receptor Media

Configuración OPSECde disponibilidad altadel receptor

306-50059 No se utiliza. Monitor desoftware

Receptor Baja

ESM redundante sinsincronizar

306-76 El ESM redundante noestá sincronizado.

Monitor desoftware

ESM Alta

Alerta de cambio deestado de punto demontaje NFS remoto

306-50020 El montaje de NFS delELM se ha detenido oiniciado.

Monitor desoftware

ELM Media

Alerta de espaciolibre en el disco enpunto de montaje/recurso compartidoremoto

306-50021 Se está agotando elespacio libre en el puntode montaje remoto.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recursocompartido de SMB/CIFS remoto

306-50019 El punto de montajeremoto SMB/CIFS se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de correlaciónde riesgos

306-50061 El motor de correlaciónde riesgos se hadetenido o iniciado.

Monitor desoftware

ACE Media

Alerta de espaciolibre en el disco enparticiones raíz

307-50002 Se está agotando elespacio libre en lasparticiones raíz.

Monitor desoftware

Todos Media

Adición de regla 306-20 Se ha agregado unaregla al sistema, porejemplo, de ASP, filtradoo correlación.

Monitor desoftware

ESM Baja

Eliminación de regla 306-22 Regla eliminada delsistema.

Monitor desoftware

ESM Baja

Cambio de regla 306-21 Se ha cambiado unaregla en el sistema.

Monitor desoftware

ESM Baja

Error de actualizaciónde regla

306-9 Se ha producido un erroral actualizar una regla deESM.

Monitor desoftware

ESM Media





Alerta de cambio deestado derecuperador de SDEE

306-50033 El recopilador de SDEEse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde sFlow

306-50025 El recopilador de sFlow(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SNMP

306-50023 El recopilador de SNMPse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SQL

306-50038 El recopilador de SQL(anteriormente NFX) seha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde Symantec AV

306-50056 El recopilador deSymantec AV se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado delrecopilador de syslog

306-50037 El recopilador de syslogse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuario administradordel sistema

306-40 El administrador delsistema ha iniciadosesión.

Monitor desoftware

ESM Baja

Error decomprobación deintegridad delsistema

306-50085 Se ha marcado unprograma o procesoexterno no ISO enejecución en el sistema.

Monitor desoftware

Todos Alta

Alerta de cambio deestado de registradordel sistema

306-50014 El proceso de registro delsistema se ha detenido oiniciado.

Monitor desoftware

Todos Media

Cierre de tarea(consulta)

306-54 Se ha cerrado una tareadel Administrador detareas.

Monitor desoftware

ESM Baja

Alerta de espaciolibre en el disco enparticionestemporales

306-50003 La partición temporal (/tmp) se está quedandosin espacio en el disco.

Monitor desoftware

Todos Media

Alerta de cambio deestado del analizadorde registros de texto

306-50052 El analizador de texto seha detenido o iniciado.

Monitor desoftware

Receptor Media

Cambio de cuenta deusuario

306-14 Ha cambiado una cuentade usuario.

Monitor desoftware

ESM Baja

Error de inicio desesión de dispositivode usuario

306-50079 Un usuario SSH no hapodido iniciar sesión.

Monitor desoftware

ESM Baja

Inicio de sesión dedispositivo de usuario


ESM Baja

Cierre de sesión dedispositivo de usuario

306-50078 Un usuario SSH hacerrado la sesión.

Monitor desoftware

ESM Baja

Inicio de sesión deusuario

306-11 Un usuario ha iniciadosesión en el sistema.

Monitor desoftware

ESM Baja

Cierre de sesión deusuario

306-12 Un usuario ha cerrado lasesión en el sistema.

Monitor desoftware

ESM Baja





Alerta de estado delmotor de datos deevaluación devulnerabilidades

306-50043 El motor de evaluaciónde vulnerabilidades(vaded.pl) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Adición de variable 306-23 Se ha agregado unavariable de directiva.

Monitor desoftware

ESM Baja

Eliminación devariable

306-25 Se ha eliminado unavariable de directiva.

Monitor desoftware

ESM Baja

Cambio de variable 306-24 Ha cambiado unavariable de directiva.

Monitor desoftware

ESM Baja

El certificado delservidor web hacaducado

306-50084 El certificado del servidorweb de ESM hacaducado.

Monitor desoftware

ESM Alta

El certificado delservidor webcaducará pronto

306-50083 El certificado del servidorweb de ESM caducarápronto.

Monitor desoftware

ESM Media

Alerta de recopiladorde Websense

306-50067 El recopilador deWebsense se ha detenidoo iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado delrecopilador de WMIEvent Log

306-50030 El recopilador de WMI seha detenido o iniciado.

Monitor desoftware

Receptor Media

Adición de una alarma de Coincidencia de campoUna alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando eldispositivo recibe y analiza el evento.



• Revise cómo utilizar los Elementos lógicos en la página 269.



Propiedades .


3 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; acontinuación, haga clic en la ficha Condición.



4 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma.

a Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma.

b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene lapágina Agregar campo de filtro.

c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debetranscurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenadorcontiene el primer evento de origen que coincide con la condición de activación, pero no loseventos que se producen durante el periodo de activación de condición. Los eventos nuevos quecoinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre elperiodo correspondiente a la frecuencia de activación máxima.

Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma.En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.

5 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Estetipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local,combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM).

6 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración.


La alarma se escribirá en el dispositivo.

Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto aldispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas.

Elementos lógicosCuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una reglade correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.

Elemento Descripción

AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajoeste elemento lógico debe ser verdadero para que la condición sea verdadera. Use estaopción si desea que se cumplan todas las condiciones bajo este elemento lógico antes deque se active una regla.

OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de lascondiciones agrupadas bajo este elemento tiene que ser verdadera para que la condiciónsea verdadera. Use este elemento si desea que se active la regla cuando se cumpla unade las condiciones.

SET En el caso de los componentes o las reglas de correlación, SET permite definircondiciones y seleccionar el número de condiciones que deben ser verdaderas para quese active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones delconjunto para que se active la regla, la configuración será "2 de 3".

Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:



• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).

• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementossecundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.

Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,también se eliminan todos los elementos secundarios.

• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado ytodos sus elementos secundarios de la jerarquía.

Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condicionespara la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros paracontrolar el comportamiento de la regla o el componente cuando se ejecuten.

Adición de una alarma a las reglasSi desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posibleagregar una alarma a esas reglas.



Procedimiento1

En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas situado en labarra de herramientas de acciones.

2 Seleccione el tipo de regla en el panel Tipos de regla.

3 Seleccione una o varias reglas en el área de visualización de reglas.

4Haga clic en el icono Alarmas .

5 Crear la alarma.


Configuración de una captura SNMP para la notificación defallos de alimentaciónSeleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallosde alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.



• Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptorde capturas SNMP).





Propiedades .

2 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.

4 Haga clic en Agregar e introduzca la información solicitada como sigue.

• Tipo de perfil: seleccione Captura SNMP.

• Dirección IP: escriba la dirección a la que desee enviar la captura.

• Puerto: escriba 162.

• Nombre de comunidad: escriba Público.

Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.

5 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.

El perfil se agregará a la tabla Destinos.

6 Seleccione el perfil en la columna Uso y haga clic en Aceptar.

Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado demantenimiento junto al dispositivo en el árbol de navegación del sistema.

Creación de capturas SNMP a modo de acciones de alarmaEs posible enviar capturas SNMP a modo de acciones de alarma.



• Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturasSNMP).


Procedimiento1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.

a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el

icono Propiedades .

b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.

c Rellene los campos restantes y haga clic en Aplicar.



2 Configure SNMP en el ESM.

a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfilagregado en el Paso 1.

c Haga clic en Aplicar.

3 Defina una alarma con Captura SNMP como acción.

a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar.

b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccioneCoincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones.

c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para losmensajes SNMP.

d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione unaplantilla existente o haga clic en Agregar para definir una plantilla nueva.

e Vuelva a la página Configuración de alarma y continúe con la configuración.

Adición de una alarma de notificación sobre fallos dealimentaciónEs posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes dealimentación del ESM.



• Configuración de una captura SNMP para la notificación de fallos de alimentación en lapágina 194



Propiedades .


3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clicen la ficha Condición.

4 En el campo Tipo, seleccione Coincidencia de evento interno.

5 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).

6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clicen Finalizar.

Se activará una alarma cuando falle una fuente de alimentación.



Procedimientos• Resumen personalizado para alarmas activadas y casos en la página 273

Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmasde tipo Coincidencia de campo y Coincidencia de evento interno.

Resumen personalizado para alarmas activadas y casosSeleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipoCoincidencia de campo y Coincidencia de evento interno.




Propiedades .

2 Haga clic en Alarmas y, después, en Agregar.

3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno.

4 Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables y, acontinuación, seleccione los campos que incluir en el resumen de caso.

5 Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, acontinuación, seleccione los campos que incluir en el resumen correspondiente a la alarmaactivada.

6 Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.

Administración de orígenes de datos no sincronizadosConfigure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma quepueda ver una lista de orígenes de datos, editar su configuración y exportar la lista.


Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasadoso futuros, lo cual puede provocar la aparición de una marca roja en el receptor.





Propiedades .

2 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generadopor un origen de datos que no está sincronizado con el ESM.

a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic enla ficha Condición.

b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debecomprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debeexistir para que se active la alarma.

c Rellene la información en el resto de fichas.

3 Vea, edite o exporte los orígenes de datos que no están sincronizados.

a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono dePropiedades.

b Haga clic en Administración del receptor y seleccione Diferencia de tiempo.

Orígenes de datos no sincronizadosComo resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder lasincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece unamarca roja junto al receptor en el árbol de navegación del sistema.

Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puedeadministrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véaseAdministración de orígenes de datos no sincronizados).

Los eventos no sincronizados pueden ser eventos antiguos o futuros.

Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.

1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración deusuario).

2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de unorigen de datos).

3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado.

4 Ha configurado el sistema de esa forma a propósito.

5 El sistema no está conectado a Internet.

6 El evento está desincronizado al llegar al receptor.

Véase también Adición de un origen de datos en la página 78Administración de orígenes de datos no sincronizados en la página 85Selección de la configuración de usuario en la página 36



7 Uso de los eventos

El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventosy flujos, además de conservar esta información disponible para fines de consulta, análisis forense,validación de reglas y conformidad.

Contenido Eventos, flujos y registros Administración de informes Descripción de los filtros contains y regex Uso de las vistas de ESM Filtros de tipos personalizados Visualización de la hora del evento

Eventos, flujos y registrosLos eventos, flujos y registros recopilan distintos tipos de actividades que se producen en undispositivo.

Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Unflujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cualesal menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que seproduce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen ydestino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempoentre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre loseventos y los flujos:

• Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunesque los eventos.

• Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.

• Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.

• Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes deorigen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetestransmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el númerode bytes y paquetes transmitidos por el destino del flujo.

• Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la redHOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en unadirectiva para un dispositivo Nitro IPS.

Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que seseleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistemao el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cadadispositivo.

7


Configuración de descargas de eventos, flujos y registrosPuede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar eldispositivo de forma que lo haga automáticamente.



.

2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.

3 Configure las descargas y haga clic en Aplicar.

Limitación del tiempo de recopilación de datosPuede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos decada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo.

Antes de empezarDesactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos(véase Cambio de la configuración de agregación de eventos o flujos).

Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el anchode banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos alESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno.


Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos yregistros puede acarrear una fuga de datos.

1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el

icono Propiedades .

2 Seleccione una de las siguientes opciones:

• Eventos, flujos y registros

• Eventos y registros

• Registros

3 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas deinicio y finalización del intervalo de tiempo.

El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalode tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESMdel ELM y cuándo envía los datos el ESM al ELM para su registro.

Definición de la configuración de umbral de inactividadCuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no segeneran eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece unindicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema.

7 Uso de los eventosEventos, flujos y registros



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que estéseleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros.

2 Haga clic en Configuración de inactividad.

3 Resalte el dispositivo y haga clic en Editar.

4 Realice cambios en la configuración y después haga clic en Aceptar.

Obtención de eventos y flujosEs posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación delsistema.


1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic

en el icono Obtener eventos y flujos en la barra de herramientas de acciones.

2 En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,haga clic en Iniciar.

El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detallessobre los dispositivos resaltados en la tabla superior.

3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,

haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas.

Comprobación de eventos, flujos y registrosEs posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de formaautomática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividaddel sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puedeespecificar qué dispositivos deben buscar cada tipo de información y establecer la configuración deumbral de inactividad para los dispositivos administrados por el ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos yregistros.

2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.


Véase también Definición de la configuración de umbral de inactividad en la página 276

Uso de los eventosEventos, flujos y registros 7


Definición de la configuración de geolocalización y ASNLa geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. Elnúmero de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y queidentifica de forma exclusiva cada una de las redes de Internet.

Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posiblerecopilar datos de geolocalización de origen y destino para los eventos.



.

2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.

3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.

Es posible filtrar los datos de eventos mediante esta información.

Obtención de eventos y flujosEs posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación delsistema.


1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic

en el icono Obtener eventos y flujos en la barra de herramientas de acciones.

2 En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,haga clic en Iniciar.

El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detallessobre los dispositivos resaltados en la tabla superior.

3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,

haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas.

Agregación de eventos o flujosUn evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasarmiles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento oflujo con un recuento que indica el número de veces que se ha producido.

El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo comoen el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo alas reglas para las cuales se haya activado la agregación en el Editor de directivas.

Dirección IP de destino origen y destino

Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como"::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:



• ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).

• ::0000:10.0.12.7 sería 10.0.12.7.

Eventos y flujos agregados

Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar laduración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en losprimeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora dela primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la últimainstancia del evento) y el campo Total contiene el valor 30.

Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, enel caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglasindividuales (véase Administración de las excepciones de agregación de eventos).

La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplazala configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recuperaregistros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si seconfigura para la recuperación automática, el dispositivo solo comprime un registro hasta la primeravez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime unmáximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Siel tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia lacompresión en ese registro nuevo.

Cambio de la configuración de agregación de eventos o flujosLa agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Esposible cambiar la configuración según proceda. El rendimiento de cada opción de configuración sedescribe en la página Agregación.

Antes de empezarEs necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo oAdministrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.

La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientrasque la agregación de flujos lo está en los receptores y los dispositivos IPS.



.

2 Haga clic en Agregación de eventos o Agregación de flujos.


Adición de excepciones a la configuración de agregación de eventosLa configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posiblecrear expresiones para reglas individuales si la configuración general no es aplicable a los eventosgenerados por una regla.




1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar laexcepción.

2Haga clic en el icono Menú y seleccione Modificar configuración de agregación.


Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará parareflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuraciónde agregación de eventos definida para el dispositivo.

4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.

5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.

6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.

La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.

Administración de las excepciones de agregación de eventosEs posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. Tambiéncabe la posibilidad de editar o eliminar una excepción.



.

2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.

3 Realice los cambios necesarios y haga clic en Cerrar.

Configuración del reenvío de eventosEl reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediantesyslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir elpaquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtrenantes de su reenvío.

Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo deregistros firmados digitalmente de cada uno de los dispositivos del entorno.

Configuración del reenvío de eventosEs posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a unservidor syslog o SNMP.

El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número deeventos recuperados por el ESM, puede afectar al rendimiento global de ESM.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío deeventos.

2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar.

3 Si ha seleccionado agregar o editar un destino, defina su configuración.


Adición de destinos de reenvío de eventosEs posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a unservidor syslog o SNMP.





Véase también Agentes de reenvío de eventos en la página 282



Agentes de reenvío de eventosEstos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando sereenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos.

Agente Contenido

Syslog(McAfee9.2)

ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IPde origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC dedestino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisoro el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de horade UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID deIPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, IDnormalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor deagregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3,Valor de agregación 3.Los siguientes campos de cadena también aparecen entre comillas porque podríancontener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario dedestino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por elusuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definidopor el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27.

Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opciónestá marcada al configurar el reenvío de eventos en el ESM).

Syslog(McAfee8.2)

ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IPde origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC dedestino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisoro el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de horade UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID deIPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, IDnormalizado.Los siguientes campos de cadena también aparecen entre comillas porque podríancontener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario dedestino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,Tipo definido por el usuario 10.

Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opciónestá marcada al configurar el reenvío de eventos en el ESM).

Syslog(Nitro)

ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puertode origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual(VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de laconexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez(en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento,Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, IDde origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64).

Syslog(ArcSight)

"McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombrede IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez,Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento deeventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo,Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo),ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si elevento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC deorigen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64).



Agente Contenido

Syslog(Snort)

snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName],[Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP dedestino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido delpaquete tiene la codificación Base 64).

Syslog(registrosdeauditoría)

Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre decategoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje deregistro.

Syslog(formatode eventocomún)

Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto =modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor,dirección convertida de dispositivo.

Syslog(formatode eventoestándar)

<#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)","subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0","src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00","dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for customfield 1", "packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

Activación o desactivación del reenvío de eventosEs posible activar o desactivar el reenvío de eventos en el ESM.



2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección.


Modificación de la configuración de todos los destinos de reenvío deeventosCabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de unavez.





2 Haga clic en Configuración y establezca las opciones.


Adición de filtros de reenvío de eventosEs posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMPen el ESM.



2 Haga clic en Agregar y, después, en Filtros de evento.

3 Rellene los campos de filtrado y haga clic en Aceptar.

Edición de la configuración de filtrado de reenvío de eventosEs posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada.

Antes de empezarCuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivosdel filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos deusuarios.



2 Haga clic en Editar y, después, haga clic en Filtros de evento.

3 Realice los cambios y haga clic en Aceptar.

Véase también Configuración de grupos de usuarios en la página 211

Envío y reenvío de eventos con el formato de eventos estándarEl formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetosJavaScript (JSON) que permite representar datos de eventos genéricos.El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde elESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a unreceptor, mediante la selección de SEF como formato de datos al crear el origen de datos.

Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar acabo estos cuatro pasos:



1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESMque reenvía los eventos.

— Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes dedatos a otro sistema.

— Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipospersonalizados y, después, haga clic en Exportar.

— Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación dereglas.

2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipospersonalizados y las reglas personalizadas que acaba de exportar.

— Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes dedatos a otro sistema.

— Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipospersonalizados y, después, haga clic en Importar.

— Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación dereglas.

3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.

— En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar

el origen de datos y, después, haga clic en el icono Agregar origen de datos .

— En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y,después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos.

— Rellene la información solicitada y haga clic en Aceptar.

4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío.

— Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades

.

— Haga clic en Reenvío de eventos y, después, en Agregar.

— En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en elcampo Formato, rellene el resto de campos con la información correspondiente al ESM destino delreenvío y haga clic en Aceptar.

Administración de informesLos informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar uninforme propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.

Informes predefinidos

Los informes predefinidos se dividen en las siguientes categorías:

• Conformidad • McAfee Database Activity Monitoring (DAM)

• Ejecutivo • McAfee DEM

• McAfee ADM • McAfee Event Reporter

Uso de los eventosAdministración de informes 7


Estos informes generan datos basados en los eventos.

Informes definidos por el usuario

Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selecciónde la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se puedenincluir componentes y configurarlos para que muestren los datos de la forma deseada.

Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega uninforme, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear unoexistente como plantilla y editar sus funciones. También es posible eliminar un diseño de informecuando ya no es necesario.

Véase también Adición de una condición de informe en la página 287Establecimiento del mes de inicio para los informes trimestrales en la página 286Adición de un diseño de informe en la página 286

Establecimiento del mes de inicio para los informestrimestralesSi ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido yalmacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de estafecha de inicio.


1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.

2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes.

3 Haga clic en Aplicar para guardar la configuración.

Adición de un informeAgregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalosdefinidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseñode informe existente o crear uno nuevo mediante el editor Diseño del informe.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.

2 Haga clic en Agregar y defina la configuración en la página Agregar informe.

3 Haga clic en Guardar.

El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campoCondición.

Adición de un diseño de informe Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades.

7 Uso de los eventosAdministración de informes




2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.

3 En la sección 4, seleccione Informe en PDF o Informe en HTML.

4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.

5 Configure el diseño a fin de mostrar los datos generados por el informe.

El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable.

Inclusión de una imagen en los PDF y los informesEs posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan laimagen que aparece en la pantalla Inicio de sesión.

Antes de empezarAgregue la imagen a la página Configuración personalizada (véase Personalización de la páginade inicio de sesión).


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuraciónpersonalizada.

2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos.


Véase también Personalización de la página de inicio de sesión en la página 28

Adición de una condición de informeAgregue condiciones para que estén disponibles a la hora de configurar un informe.



2 Haga clic en Condiciones y rellene la información solicitada.


Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición paraun informe.

Visualización de los nombres de hosts en un informeEs posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP deorigen y destino en los informes.

Uso de los eventosAdministración de informes 7




2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las seccionesde la 1 a la 4.

3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras oGráfico circular y rellene el Asistente de consultas.

4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IPcomo nombres de host.

Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedadesdel sistema | Hosts).

Descripción de los filtros contains y regexLos filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizadoscomo no indizados. Estos filtros tienen requisitos de sintaxis.

Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. Lamayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas yminúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains notienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles concontains/regex.

Sintaxis y ejemplos

La sintaxis básica de contains es contains(valor) y, en el caso de regex, esregex(expresión_regular).

Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono correspondiente oincluya la notación de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsquedadevolverá cualquier valor que contenga valor, independientemente de las mayúsculas y minúsculasutilizadas.

Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultadosincluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Sidesea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valoresy haga clic en el icono OR.

Ejemplo 1 - Búsqueda simple

Campos indizados: contains(stra), regex(stra)

Campos no indizados: stra

Resultado: devuelve cualquier cadena con stra, como, por ejemplo, administrador, gmestrad o straub.

Ejemplo 2 - Búsqueda OR

7 Uso de los eventosDescripción de los filtros contains y regex


Campos indizados: contains(admin,NGCP), regex((admin|NGCP))

Campos no indizados: admin,NGCP

Resultado: devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El par adicionalde paréntesis es necesario para que funcione OR con la expresión regular.

Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio

Símbolo de dólar:

Campos indizados: contains($), regex(\x24) o regex(\$)

Campos no indizados: $

Resultado: devuelven cualquier cadena dentro del campo que contenga $. Diríjase a http://www.ascii.cl para ver la lista de valores HEX correspondientes a los caracteres.

Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape dePCRE es un método de búsqueda mejor.

Símbolo de porcentaje:

Campos indizados: contains(%), regex(\x25) o regex(\%)

Campos no indizados: %

Barra diagonal inversa:

Campos indizados: contains(\), regex(\x5c) o regex(\\)

Campos no indizados: \

Barra diagonal inversa doble:

Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\)

Campos no indizados: \\

En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error deExpresión regular no válida (ER5-0015).

Ejemplo 4 - Búsqueda mediante el carácter comodín *

Campos indizados: contains (ad*)

Campos no indizados: ad*

Resultado: devuelve cualquier cadena que empiece por ad como, por ejemplo, administrador yadición.

Ejemplo 5 - Búsqueda mediante una expresión regular

regex(nitroguard/x28[3-4]/x29[com|info}+)

(3)www(10)nitroguard(3)com(0)

(3)www(10)nitroguard(4)info(0)

(3)www(10)nitroguard(3)gov(0)

(3)www(10)nitroguard(3)edu(0)

Uso de los eventosDescripción de los filtros contains y regex 7


(3)www(10)nitroguard(7)oddball(0)

Estos dominios corresponden a eventos DNS de Microsoft.

Resultado: esta expresión regular busca una cadena concreta. En este caso, se trata de nitroguard,un dominio principal de tres o cuatro dígitos y com o info. Esta expresión regular coincide con las dosprimeras expresiones, pero no con las demás. Estos ejemplos se emplean para mostrar cómo utilizarregex con esta función. Las expresiones serán muy distintas en su caso.

Advertencias

• El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y unrendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de trescaracteres.

• Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que sepuede utilizar en reglas de correlación con tipos personalizados de nombre/valor.

• El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento máslento en las consultas.

Descripción del filtro Bloom

Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.

Campos compatibles con contains y regex

Access_Resource File_Operation_Succeeded Sitio de referencia

Aplicación Ruta de archivo Clave de registro

Application_Protocol File_Type Valor de registro

Área Filename Request_Type

Authoritative_Answer Estado de reenvío Response_Code

CCO De Return_Code

Proceso del llamador From_Address RTMP_Application

Catalog_Name FTP_Command Sensor_Name

Categoría Host Sensor_Type

Cc HTTP_Req_Cookie Sensor_UUID

Client_Version HTTP_Req_Host Estado de sesión

Comando HTTP_Req_Method ID de firma

Contact_Name HTTP_Req_Referer Signature_Name

Contact_Nickname HTTP_Req_URL SNMP_Error_Code

Cookie HTTP_User_Agent SNMP_Item

Creator_Name Incoming_ID SNMP_Item_Type

Database_ID Interfaz SNMP_Operation

Database_Name Dest. de interfaz SNMP_Version

ID de centro de datos Job_Name Usuario de origen

Nombre de centro de datos Job_Type Source_Context

DB2_Plan_Name Idioma ID de inicio de sesión de origen

Delivery_ID Local_User_Name Source_Network

7 Uso de los eventosDescripción de los filtros contains y regex


http://en.wikipedia.org/wiki/Bloom_filter

Descripción Logical_Unit_Name Source_UserID

Usuario de destino Tipo de inicio de sesión Source_Zone

Directorio de destino LPAR_DB2_Subsystem Comando SQL

Destination_Filename Mail_ID SQL_Statement

Destination_Hostname Buzón de correo Step_Count

ID de inicio de sesión de destino Mainframe_Job_Name Step_Name

Destination_Network Malware_Insp_Action Asunto

Destination_UserID Malware_Insp_Result SWF_URL

Destination_Zone Servidor de administración Table_Name

Método de detección Message_ID Target_Class

Acción de dispositivo Message_Text Target_Context

Dirección Método Nombre de proceso de destino

Directorio NTP_Client_Mode TC_URL

DNS_Class NTP_Opcode Categoría de amenaza

DNS_Name NTP_Request Amenaza gestionada

DNS_Type NTP_Server_Mode Threat_Name

Dominio Objeto To

Event_Class Object_Type To_Address

External_Application Sistema operativo URL

External_DB2_Server Policy_Name Categoría de URL

External_Hostname Privileged_User User_Agent

ID de sesión externo Process_Name User_Nickname

Función Query_Response Versión

File_Operation Motivo ID de máquina virtual

Nombre de máquina virtual

Los siguientes tipos personalizados pueden utilizar contains y regex:

Vistas• Cadena

• Cadena aleatoria

• Nombre/valor

• Cadena con hash

Administración de casos• Notas

• Resumen

• Historial

Uso de las vistas de ESMEl ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por undispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation andCorrelation (MSEAC) de McAfee.

Contenido Uso de las vistas de ESM Visualización de detalles de sesión Barra de herramientas de vistas

Uso de los eventosUso de las vistas de ESM 7


Vistas predefinidas Adición de una vista personalizada Componentes de vista Uso del Asistente de consultas Administración de vistas Búsqueda alrededor de un evento Visualización de los detalles de dirección IP de un evento Cambio de la vista predeterminada Filtrado de vistas Listas de control Normalización de cadenas

Uso de las vistas de ESMMediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a travésde un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. Lavista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema.

Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vistapredeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida(véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin deejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas).También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú decomponentes y la barra de herramientas de componentes a fin de interactuar con las vistas y susdatos.

En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta unaconsulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurridodurante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberarrecursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso.

En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregadosaparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería10.0.12.7.

Visualización de detalles de sesiónEs posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV medianteel Visor de sesión.

Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado deuna conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentancon ID de sesión.


1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.

2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, acontinuación, seleccione Información detallada de evento | Eventos.

3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos desesión situado junto al campo ID de sesión.

Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión.

7 Uso de los eventosUso de las vistas de ESM


Barra de herramientas de vistasLa barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de variasopciones que se pueden utilizar a la hora de configurar las vistas.

Tabla 7-1


1 — Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediantela ocultación del panel del árbol de dispositivos.

2 — Navegación por vistas Permite retroceder y avanzar por las vistasanteriores.

3 — Lista de vistas Seleccione una vista en la lista desplegable, la cualincluye todas las vistas predefinidas ypersonalizadas seleccionadas para su visualizaciónen esta lista.

4 — Administrar vistas Permite administrar todas las vistas (véaseAdministración de vistas). Puede seleccionar quévistas desea incluir en la lista, agregar carpetas orenombrar, eliminar, copiar, importar y exportarvistas.

5 — Actualizar vista actual Permite actualizar todos los datos mostrados en elpanel de vistas.

6 — Vista predeterminada Volver a la vista predeterminada.

7 — Imprimir vista actual Imprimir una copia de la vista actual. Las opcionesde impresión son:

• Cambiar tamaño para ajustar todos los componentes en unapágina: los componentes que forman parte de lavista se ajustan para que la vista quepa en unapágina.

• Imprimir cada componente en una página distinta: cadacomponente que forma parte de la vista seimprime en una página diferente. Si hace clic enCambiar tamaño de componente para ajustarlo a la página, seajusta el tamaño de cada componente pararellenar toda la página.

• Imprimir área visible solamente: solo se imprime la partede la vista visible en la pantalla.

• Exportar a PDF: la vista se guarda como un archivoPDF.

8 — Editar vista actual Permite modificar la vista mostrada, en caso de seruna vista personalizada. Al hacer clic en estaopción, se abre la Barra de herramientas de edición de vistas(véase Adición de una vista personalizada).

9 — Crear vista nueva Permite crear una nueva vista personalizada (véaseAdición de una vista personalizada).



Tabla 7-1

(continuación)


10 — Espacio de tiempo Especifique el espacio de tiempo correspondiente ala información que desea que aparezca en la vista.

11 — Ocultar filtros Haga clic aquí para ampliar la vista actual mediantela ocultación del panel de filtrado.

Vistas predefinidasLa lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas delsistema, así como a cualquier vista personalizada que se agregue.

A continuación se detallan los diferentes tipos de vistas predefinidas.

• Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como suposible efecto sobre su sistema.

• Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas.

• Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.

• La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol denavegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobreel dispositivo seleccionado aparece en la mitad inferior de la vista.

• Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueday los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase VistaBúsqueda de ELM mejorada).

• Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivoseleccionado en el árbol de navegación del sistema.

• Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interéspara empleados ajenos al departamento de TI.

• Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realizamediante Nitro IPS (véase Vistas de flujo).

• McAfee Event Reporter incluye vistas específicas para varios productos de McAfee.

• Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de vercorrectamente los datos en los administradores personalizados, es necesario crear vistaspersonalizadas.

• Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes:

• Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse lascondiciones de alarma (véase Vista Alarmas activadas).

• Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos loscasos).



Vistas de flujoUn flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado elanálisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por eldispositivo Nitro IPS.

Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una horade inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión).

Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos queeventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos noestán asociados con acciones de evento tales como alerta, supresión y rechazo.

Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origeny destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetestransmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el númerode bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujoentrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de lared HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS.

A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerloasí, podrá ver los flujos en la vista Análisis de flujos.

Activación del registro de flujosPara ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activardos variables de firewall.


1 En el árbol de navegación del sistema, seleccione un dispositivo.

2Haga clic en el icono del Editor de directivas y seleccione Variable en el panel Tipos de regla.

3 Expanda la categoría Firewall en el panel de visualización de reglas.

4 En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valorde herencia, escriba Yes y haga clic en Aceptar.

5 En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar elvalor de herencia, escriba Yes y haga clic en Aceptar.

Vista Búsqueda de ELM mejoradaLa vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en elsistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo entiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registrosuno o varios ELM.

Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELMpara proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cualpermite limitar la consulta para minimizar el número de archivos en los que buscar.

Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados:



• Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con unadistribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable deespacios de tiempo.

• Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datossegún los orígenes de datos de los dispositivos seleccionados en el árbol de navegación delsistema.

• Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo dedispositivo según los dispositivos seleccionados en el árbol de navegación del sistema.

Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que seencuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen dedatos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados.Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado amostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, ademásde limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estosgráficos muestran los resultados reales.

Realización de una búsqueda de ELM mejoradaCabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM.


1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable.

2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscaren la lista desplegable situada junto al campo de texto.

3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto.

4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable.

5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar.

6 Si fuera necesario, seleccione una o varias de estas opciones:

• Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas yminúsculas.

• Expresión regular: el término del campo de búsqueda se considera como expresión regular.

• NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido enel campo de búsqueda.



7 Haga clic en Buscar.

Los resultados aparecerán en la sección Resultados de la búsqueda de la vista.

8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice.

Opción Definición

Guardar búsqueda Guardar los resultados de esta búsqueda aunque se abandonela vista. Las búsquedas guardadas se pueden ver en la páginaPropiedades de ELM | Datos.

Descargar archivo de resultados de

búsqueda

Descargar los resultados en la ubicación designada.

Copiar elementos seleccionados al

portapapeles

Copiar los elementos seleccionados al portapapeles para poderpegarlos en un documento.

Ver detalles de datos Mostrar los detalles de cualquier registro seleccionado en latabla Resultados de la búsqueda.

Visualización y administración de alarmas activadasEs posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

Antes de empezar

• Verifique con su administrador que pertenece a un grupo de acceso con privilegios deadministración de alarmas.

• Verifique con su administrador si su consola está configurada para mostrar el panel deregistro Alarmas (véase Selección de la configuración de usuario en la página 36).


Procedimiento

1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:

• Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol denavegación del sistema.

• Alerta visual emergente: se abre cuando se activa una alarma.

•Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas.



Confirmar unaalarma

• Para confirmar una alarma, haga clic en la casilla de verificación de laprimera columna de la alarma activada que desee confirmar.

• Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma

de la parte inferior de la vista.

El sistema elimina las alarmas confirmadas del panel Alarmas, pero seconservan en la vista Alarmas activadas.

Eliminar unaalarma del sistema

• Seleccione la alarma activada que desee eliminar y haga clic en el icono

Eliminar alarma .




Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y

haga clic en el icono Actualizar .

Cambiar el usuarioasignado de lasalarmas


2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevousuario asignado.

Crear un caso paralas alarmas


2 Seleccione las alarmas, haga clic en Crear caso y realice las seleccionesnecesarias.

Ver detalles sobreuna alarma


2 Seleccione la alarma y realice una de las acciones siguientes:

• Haga clic en la ficha Evento activador para ver el evento que activó la alarmaseleccionada. Haga doble clic en el evento para ver su descripción.

Si un único evento no cumple las condiciones de alarma, es posible queno aparezca la ficha Evento activador.

• Haga clic en la ficha Condición para ver la condición que activó el evento.

• Haga clic en la ficha Acción para ver las acciones resultantes de la alarmay las etiquetas de ePolicy Orchestrator asignadas al evento.

Editar laconfiguración deuna alarmaactivada

1Haga clic en la alarma activada, después en el icono Menú y seleccioneEditar alarma.

2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.

Véase también Adición de un caso en la página 331

Adición de una vista personalizadaLas vistas personalizadas incluyen componentes que permiten mostrar la información que se desee.


1 En la barra de herramientas de vistas, haga clic en el icono Crear vista nueva y, después, arrastre ysuelte un componente de la Barra de herramientas de edición de vistas (véase Visualización decomponentes).

2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver(véase Uso del Asistente de consultas) y haga clic en Finalizar.

Los datos aparecerán en el componente agregado.



3 Realice una de las operaciones siguientes:


Mover el componente Haga clic en la barra de título del componente y, después,arrástrelo y suéltelo.

Mostrar los nombres de hosten lugar de las direcciones IPde forma predeterminada

Haga clic en el icono Mostrar nombres de host de la barra deherramientas de un componente que muestre las direcciones IP(véase Administración de los nombres de host).

Personalizar el componente Haga clic en el componente y realice cambios en la configuraciónmediante el panel Propiedades (véase Personalización decomponentes).

Agregar más componentes ala vista

1 Haga clic en un componente y arrástrelo.

2 En el Asistente de consultas, realice selecciones de forma que la vistagenere los datos que desee ver y haga clic en Finalizar.

Guardar la vista 1 Haga clic en Guardar o en Guardar como y escriba un nombre para lavista.

Para guardarla en una carpeta existente, seleccione la carpeta.


Copiar y pegar uncomponente

1 Haga clic en el componente que desee copiar.

2 Haga clic en Copiar y después en Pegar.

Eliminar un componente Seleccione el componente y, a continuación, haga clic en Eliminar.

Salir del editor de vistas singuardar una vista

Elimine todos los componentes y cierre la Barra de herramientas deedición de vistas.

Componentes de vistaEs posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidadesde la forma que le resulte más útil.

Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y seconfiguran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente deconsultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente.



Descripción de los componentes de vista Existen trece componentes distintos que se pueden agregar a una vista personalizada. Se puedenutilizar para configurar la vista a fin de ver los datos con el formato más adecuado.

Componente Descripción

Dial de control Muestra los datos de un vistazo. Es dinámico y se puede vincular con otroscomponentes de la consola. Se actualiza a medida que el usuario interactúacon la consola de ESM.

Cada dial incluye un indicador de referencia ( ). El degradado que rodeael borde exterior del dial se torna de color rojo por encima del indicador dereferencia. Si lo prefiere, todo el dial puede cambiar de color para indicar uncomportamiento anómalo: amarillo cuando se encuentre dentro del umbralde una referencia o rojo cuando se supere ese umbral.

La opción Tasa permite ajustar la tasa de los datos visualizados. Porejemplo, si observa Día en curso y Eventos totales y cambia la tasa a una hora,verá el número de eventos por hora para el día en cuestión. Esta opciónestará desactivada si la consulta visualizada ya muestra un promedio, comopor ejemplo Promedio de gravedad o Promedio de bytes.

Gráfico de origen ydestino

Muestra la actividad general de direcciones IP de evento o flujo. La opciónde evento permite especificar direcciones IP y ver todos los ataquesllevados a cabo en las direcciones especificadas, así como todos los ataquesque esas direcciones IP han lanzado sobre otras. La opción de flujo permiteespecificar direcciones IP y ver las direcciones IP que han conectado conellas, así como las conexiones que realizaron esas direcciones IP.

Este gráfico incluye un campo abierto en la parte inferior del componenteque permite ver los eventos o flujos de origen y destino para una direcciónIP concreta. Escriba la dirección en el campo o seleccione una previamente

utilizada y haga clic en el icono Actualizar .

Gráfico circular Muestra la información consultada mediante un gráfico circular. Resulta útilcuando hay pocas categorías que visualizar (por ejemplo, una consulta deacción o protocolo).

Tabla Muestra la información mediante diversas columnas. Este componente esútil para mostrar datos de eventos y flujos con el mayor nivel de detalle.

Gráfico de barras Muestra la información consultada en un gráfico de barras, lo cual permitecomparar el tamaño de cada resultado en un intervalo de tiempo concreto.

Lista Muestra los datos de consulta seleccionados en forma de lista. Estecomponente resulta útil cuando se desea ver una lista más detallada deelementos en un espacio reducido.

Distribución Muestra una distribución de eventos y flujos a lo largo de un periodo detiempo. Es posible establecer intervalos para periodos de tiempo específicosa fin de dar forma a los datos.

Área de notas Un componente vacío que se emplea para notas de texto. Permite escribirnotas relacionadas con la vista actual.

Recuento Muestra el total de eventos, activos, vulnerabilidades o flujos consultadospara una vista concreta.

Título Permite crear un título o encabezado para la vista. Se puede colocar encualquier parte de la vista.



Componente Descripción

Topología de red Permite ver los datos representados en la red. También se puede crear unavista personalizada para utilizarla junto con los datos de descubrimiento dered (véase Adición de dispositivos al componente de topología de red).

Mapa degeolocalización

Muestra la ubicación de origen y destino de las alertas y los flujos en unmapa de geolocalización. Las opciones de este componente permitencambiar entre marcar una ciudad, una región, un país y áreas del mundo,acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús.

Filtrar lista Muestra una lista de usuarios y grupos de Active Directory. Cuando seagrega el componente Filtrar lista, es posible enlazar otros componentes conél; para ello, haga clic en la flecha hacia abajo de los campos de filtradoUsuario de origen o Usuario de destino en el Asistente de consultas y seleccione Enlazarcon Lista de Active Directory. Asimismo, es posible ver los datos de eventos yflujos asociados con Active Directory mediante el icono de menú.

Personalización de componentesAl agregar o editar un componente, existen varias opciones disponibles en el panel Propiedades que sepueden utilizar para personalizarlo. Las opciones disponibles dependen del componente seleccionado.

Opción Definición

Título Cambiar el título de un componente.

Anchura/Altura Definir las dimensiones del componente. También es posible hacer clic y arrastrarla línea de límite.

X/Y Definir la ubicación del componente en la vista. También se puede hacer clic en labarra de título del componente y, después, arrastrarlo y soltarlo.

Editar consulta Realizar cambios en la consulta actual. Al hacer clic en este botón, se abre elAsistente de consultas (véase Uso del Asistente de consultas).

Mostrar barra decontrol

Indicar si se debe mostrar o no la barra de control en la parte inferior delcomponente.

Tamaño de página Definir cuántos registros se muestran por página si hay más datos de los que sepueden mostrar de forma simultánea.

Mostrar valor “Otros” Si se selecciona esta opción, aparece el valor Otros en la parte inferior de uncomponente de gráfico o lista. Proporciona el total de registros no mostrados enla página actual. Por ejemplo, si está en la segunda página de un conjunto deregistros, la categoría Otros es la suma de los valores de la primera página y todaslas páginas existentes tras la segunda.

Mostrar leyenda Mostrar una leyenda en la parte inferior o a la derecha de un gráfico de sectores.

Mostrar valores(gráficos de barras ylista)

Incluir el valor de cada elemento en un gráfico de barras.

Mostrar etiquetas Incluir una etiqueta por cada barra de un gráfico de barras. Es posible establecerel número máximo de caracteres que se pueden mostrar en una etiqueta. Si seestablece en 0, no existirá límite máximo en la etiqueta.



Opción Definición

Mostrar promedios dereferencia

Seleccione si desea comparar los datos actuales con los datos históricos en ungráfico de distribución o de barras, o bien en un dial de control. Existen dosopciones distintas que se pueden usar al mostrar los datos de referencia:• Usar intervalo de tiempo automático: si se selecciona esta opción, los datos de

referencia se correlacionan mediante el uso del mismo periodo de tiempoutilizado en la consulta actual para los últimos cinco intervalos. Por ejemplo, siestá consultando el día en curso un lunes, los datos de referencia se calculanpara el mismo periodo de los últimos cinco lunes. Se emplean menos intervalossi no existen datos para un intervalo concreto. Una vez recopilados los valoresde cada intervalo, se halla el promedio a fin de calcular el valor de referenciaactual.

• Usar intervalo de tiempo específico: al seleccionar un intervalo concreto, es posibleespecificar un momento de inicio y fin para calcular un promedio. Si se empleaesta opción, se calcula como un periodo de tiempo único. En el caso de losinformes de distribución, produce un promedio de línea plana.

Los datos de referencia se muestran en los gráficos de distribución mediante unalínea azul. La línea es plana si se ha seleccionado la opción Usar intervalo de tiempoespecífico o si no hay datos suficientes para calcular un valor correlacionado. Lalínea es curva (siempre que se muestren varios valores para cada periodo detiempo) si se calcula un valor correlacionado. El gráfico de barras muestra unindicador de flecha en el punto de referencia de cada barra. Si el valor actual esmayor que el de referencia, la barra será de color rojo por encima del marcadorde referencia. Si el gráfico de barras incluye la gravedad de la regla, el color de labarra no cambiará para el valor de referencia.

Una opción adicional permite establecer la aparición de un valor de margen juntocon los datos de referencia. El valor de margen se calcula a partir del valor dereferencia. Por ejemplo, si el valor de referencia es 100 y el margen superior esdel 20 %, el valor de margen calculado será 120. La activación de esta funciónpermite mostrar el área de margen para cada una de las barras del gráfico debarras. Un gráfico de distribución calcula el promedio de referencia, y muestra unárea sombreada por encima y por debajo de la referencia que indica el área demargen.

Lista de dispositivos Arrastrar y soltar dispositivos en el componente Topología de red o el árbolAgrupaciones lógicas de dispositivos.

Agrupaciones lógicasde dispositivos

Crear carpetas a fin de agrupar los dispositivos para el componente Topología de red.

Fondo Seleccionar el color del fondo para la vista. URL de imagen de fondo permite importaruna imagen para utilizarla como fondo.

Adición de dispositivos al componente de topología de redLa topología de red permite obtener datos de eventos y flujos de los dispositivos o el árbol dedispositivos, así como ver los datos representados en la red.

Antes de empezarEs necesario descubrir la red para que aparezca la lista de dispositivos (véaseDescubrimiento de red).

También permite crear una vista personalizada que se puede usar con los datos de descubrimiento dered. Una vez creada una vista de topología de la red, hay que personalizarla para mostrar lainformación de eventos o flujos (véase Adición de una vista personalizada).




1 Si va a agregar o editar una vista, haga clic en el componente Topología de red de evento, arrástrelo ysuéltelo.

El panel Propiedades mostrará la Lista de dispositivos y el árbol Agrupaciones lógicas de dispositivos.

2 En la Lista de dispositivos o la Lista de carpetas, seleccione un dispositivo o una carpeta y haga una deestas cosas:

• Para agregar el dispositivo o la carpeta al componente, arrástrelo y suéltelo en el componente.

• Para agregar el dispositivo o la carpeta a un grupo en el árbol Agrupaciones lógicas de dispositivos,haga clic en Agregar, introduzca un nombre para la carpeta y haga clic en Aceptar; a continuación,arrastre y suelte el dispositivo en la carpeta.

3 Ordene los dispositivos.

Los dispositivos físicamente conectados al sistema se conectan mediante una línea recta negra alcomponente. Las líneas curvas azules o rojas indican una ruta de datos.

Detalles de dispositivos en los componentes de la Topología de redEs posible ver detalles de un dispositivo específico en un componente de Topología de red al hacer dobleclic en el dispositivo. Esta pantalla permite ver información sobre interfaces y endpoints, como, porejemplo, un resumen de puertos, el total de dispositivos y el estado de los dispositivos.

Opción Definición

Resumen de puertos de Muestra el puerto que se está visualizando.

Total Proporciona el número total de dispositivos.

Por encima del promedio de referencia Indica el número de dispositivos por encima del promedio dereferencia actual.

Representa una estación de trabajo.

Indica que la interfaz tiene datos de alerta asociados y que los datosestán por debajo del promedio de referencia.

Indica que la interfaz tiene datos de alerta asociados y que los datosestán por encima del promedio de referencia.

Indica que la interfaz no tiene datos de alerta asociados.

Indica que el estado administrativo no funciona (no solooperativamente hablando).

Representa un enrutador.

Indica que el puerto del conmutador está activo.



Opción Definición

Representa un dispositivo desconocido.

Representa un dispositivo no gestionado.

Indica que el ESM no se puede comunicar con el dispositivo medianteSNMP, descubrimiento de red ni ping.

Barra de herramientas de componentesLa barra de herramientas de componentes, situada en la parte inferior de cada componente de unavista, proporciona diversas acciones que es posible llevar a cabo con los datos del componente. Lasacciones disponibles dependen del tipo de componente.

Opción Definición

Marcar eventos como revisados: marcar eventos concretos una vezrecibidos. Posteriormente, puede usar la lista desplegableCambiar filtro de estado de evento para mostrar solamente loseventos revisados o solamente los eventos que no se hanrevisado.

Asignar eventos a un caso o Remedy: asignar eventos a un caso(véase Administración de casos) o enviar un mensaje decorreo electrónico al sistema Remedy (si está configurado).Al hacer clic en este icono, es posible seleccionar:• Crear un nuevo caso

• Agregar eventos a un caso

• Enviar evento a Remedy (véase Envío de un mensaje decorreo electrónico a Remedy)

Ejecutar URL de dispositivo: ejecutar la dirección URL asociadacon el evento seleccionado, en caso de haber agregadoalguna para el dispositivo (véase Adición de una URL). Si noha definido ninguna, se le pedirá que lo haga.

Mostrar u Ocultar nombres de host: mostrar u ocultar los nombresde host asociados con las direcciones IP de la vista (véaseAdministración de nombres de host).

Iconos de tipos de gráficos Cambiar tipo de gráfico: cambiar el tipo de gráfico que muestralos datos. El icono correspondiente a esta función será elicono del componente correspondiente al tipo de gráficoactual.



Opción Definición

Ver u Ocultar detalles de datos: mostrar u ocultar los detalles delevento seleccionado. Existen varias fichas en esta sección:

• Detalles: muestra la información disponible para el evento oel flujo seleccionados.

• Detalles avanzados: muestra información sobre el dispositivode red de origen, el dispositivo de red de destino y lascorrecciones. Es posible buscar eventos o flujos según suID, en caso de disponer de derechos suficientes para verlos registros, haciendo clic en el icono de la lupa situado ala derecha del campo ID de evento o ID de flujo.

• Geolocalización: muestra la ubicación del origen y el destinodel evento seleccionado.

• Descripción: proporciona el nombre, la descripción y la firmao regla asociadas al evento.

• Notas: permite agregar notas al evento o el flujo queaparecen cada vez que se visualiza el elemento particular.

• Paquete: recupera el contenido del paquete que generó elevento seleccionado. Es posible llevar a cabo las siguientesfunciones en esta ficha:

• Seleccionar el formato en el que se desea ver elpaquete.

• Recuperar los datos del paquete mediante .

•Guardar el paquete en el equipo mediante . Si setrata de una captura de paquete (PCAP) (como eventosde Nitro IPS, eventos de ADM o eventos de Estreamerprocedentes del receptor), se guardará con laextensión .pcap y se podrá abrir en cualquier programade visualización de PCAP. De lo contrario, se guardarácomo archivo de texto.

• Configurar la recuperación automática del paquete alhacer clic en un evento.

• Buscar información en el paquete mediante laintroducción de la palabra clave en el campo Buscar texto y

haciendo clic en .

No utilice caracteres especiales como paréntesis ocorchetes en el campo Buscar texto.

• Eventos de origen: cuando se selecciona un evento decorrelación o vulnerabilidad, se muestra el conjunto deeventos que provocó la generación del evento.

• Archivo de ELM: si introduce texto en el campo Buscar texto, serecuperan los datos archivados en el ELM. Si se agrega elevento, un dispositivo Event Receiver o ACE mostraráhasta 100 eventos agregados.

• Tipos personalizados: si ha definido tipos personalizados(véase Definición de filtros de tipos personalizados),



Opción Definición

muestra los campos de tipos personalizados y los datosdel evento correspondientes a esos campos.

• Información: muestra información como el nombre deldispositivo, la dirección IP, la versión del sistema operativoy el dispositivo, la descripción del sistema, la persona decontacto del sistema y la ubicación física del sistema.

• Interfaces: muestra el nombre de puerto, la velocidad delpuerto, la VLAN, el estado administrativo y el estadooperativo.

• Vecinos: muestra información específica sobre losdispositivos vecinos, como la interfaz local, el dispositivovecino y la interfaz vecina.

Cambiar período de intervalo/Cambiar tasa de intervalos: indique con quéfrecuencia desea que se actualicen los datos del gráfico.

Tasa: seleccione la tasa para los datos mostrados (Ninguna,Por segundo, Por minuto, Por hora, Por día, Por semana, Pormes).

Dirección IP: ver los eventos o flujos de origen y destino parauna dirección IP concreta. Escriba la dirección en el campo oseleccione una que haya utilizado anteriormente y haga clic

en el icono Actualizar .

Geolocalización: cambiar entre marcar una ciudad, una región,un país y áreas del mundo, acercar o alejar y seleccionarubicaciones mediante las teclas Ctrl y Mayús.

Cambiar página: navegar por los datos cuando hay más de unapágina.

Cambiar filtro de estado de evento: seleccionar el tipo de eventos oflujos que aparecerán en la lista de análisis. Es posible vertodos los eventos, solo los eventos revisados, solo loseventos no revisados, los eventos corregidos, todos losflujos, solo los flujos abiertos o solo los flujos cerrados.

Botones de historial: desplazarse hacia adelante y haciaatrás por los cambios realizados en la vista.

o Ver rutas de datos u Ocultar rutas de datos: ocultar o ver la línea queconecta dos dispositivos con las conexiones de datos deeventos o flujos.

Ocultar texto: ocultar o mostrar las etiquetas del dispositivo enla vista Topología de red.

Envío de un mensaje de correo electrónico a RemedySi configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar alsistema la existencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe unnúmero de caso de Remedy que se agrega al registro de evento.

El usuario se encarga de configurar el sistema Remedy, que no tiene relación alguna con McAfee NitroIPS.




1 En una vista de eventos, resalte el evento que requiera solución.

2Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy.

3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa.

4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistemaacerca del evento.

5 Haga clic en Enviar.

Opciones de menú de componentes

La mayoría de los componentes de una vista disponen de un menú que muestra las opcionesdisponibles para el componente en cuestión. En la tabla siguiente se incluyen los posibles elementos.

Opción Definición

Información detallada (de evento,flujo o activo)

Ver más detalles sobre el tipo de datos seleccionado en las listas deinformación detallada. Los detalles se muestran en una vista nueva.

Resumir o Resumir según Ver datos de otros eventos o flujos que comparten características conlos eventos seleccionados. Por ejemplo, si observa un evento debarrido de puertos en la pantalla de análisis y desea ver otros eventosgenerados por el mismo atacante, haga clic en el evento, seleccioneResumir según y haga clic en IP de origen.

Modificar configuración deagregación

Crear una excepción a la configuración de agregación general para unaregla individual (véase Adición de excepciones a la configuración deagregación de eventos).

Acciones

Crear nueva listade vigilancia

Seleccionar eventos en una vista y agregarlos a una nueva lista devigilancia (véase Listas de vigilancia).

Adjuntar a lista decontrol

Seleccionar eventos en una vista y agregarlos a una lista de vigilanciaexistente.

Crear nuevaalarma

Seleccionar eventos en una vista y crear una alarma en función de susvalores (véase Creación de una alarma).

Realizar análisisde MVM

Iniciar un análisis de McAfee Vulnerability Manager si el sistemaincluye un dispositivo McAfee Vulnerability Manager.

Ejecutar ePO Abrir la interfaz de ePolicy Orchestrator (véase Ejecución de ePolicyOrchestrator).

Historial deejecución de TIE

Cuando se selecciona un evento de TIE, se puede abrir la páginaHistorial de ejecución de TIE para ver las direcciones IP que han intentadoejecutar el archivo seleccionado. Desde esta página, es posible crearuna nueva lista de vigilancia, anexar un archivo a una lista devigilancia, crear una nueva alarma, incluir un archivo en la lista negra,exportar un archivo a CSV o agregar etiquetas de ePolicy Orchestratoral archivo.

Mostrar regla Ver la regla que generó el evento.

Detalles de dirección IP Permite buscar información sobre un puerto o una dirección IP deorigen o destino. Es posible ver los detalles de la amenaza y losresultados de la búsqueda de WHOIS correspondientes a la direcciónIP seleccionada.

Búsqueda de ASN Recuperar un registro de WHOIS mediante el identificador ASN.



Opción Definición

Examinar referencia Abrir el navegador web predeterminado y conectar con la base dedatos de firmas de McAfee online, la cual proporciona informaciónsobre la firma que generó el evento seleccionado.

Establecer ID de caso de Remedy Agregar el ID de caso de Remedy, recibido al enviar un mensaje decorreo electrónico de evento al sistema Remedy, al registro de eventoscon fines de referencia (véase Adición de un ID de caso de Remedy aun registro de eventos).

Lista negra Agregar la dirección IP del evento seleccionado a la lista negra. Alseleccionar esta opción, se abre el Editor de la lista negra, donde el campode dirección IP se rellena mediante los datos del evento seleccionado(véase Lista negra de dispositivo virtual o IPS).

Buscar ELM Realizar una búsqueda de información contenida en el ELM sobre elevento seleccionado. Se abrirá la página Búsqueda de ELM mejorada con losdatos seleccionados (véase Realización de una búsqueda de ELMmejorada).

Cambiar VLAN Cambiar la VLAN para cualquier dispositivo seleccionado. Es posibleseleccionar entre uno y doce dispositivos.

Activar/Desactivar puerto(s) Es posible realizar una selección única o múltiple de interfaces oendpoints. En función de lo seleccionado, aparecerá la opción paraactivar o desactivar. Por ejemplo, si selecciona cinco interfaces y unade ellas está activada mientras que las otras cuatro estándesactivadas, solo tendrá la posibilidad de desactivar el puerto. Noobstante, si selecciona un puerto desactivado, estará disponible laopción Activar puerto(s).

Ver eventos/Ver flujos Ver los eventos generados por un flujo o los flujos generados por unevento.

Exportar Exportar un componente de vista a formato PDF, texto, CSV o HTML(véase Exportación de un componente).

Eliminar Eliminar eventos o flujos de la base de datos. Es necesario pertenecera un grupo con privilegios de evento y solo se pueden eliminar losregistros seleccionados, la página actual de datos o un númeromáximo de páginas a partir de la primera.

Marcar como revisado Marcar con un indicador los eventos como revisados. Es posible marcartodos los registros del conjunto de resultados, la página actual o losregistros seleccionados.

Crear regla de firewall personalizada Crear una regla de firewall personalizada basada en las propiedadesdel evento o el flujo seleccionados. Al hacer clic en Crear regla de firewallpersonalizada, se abre la página Nueva regla (véase Adición de reglas decorrelación, base de datos o ADM personalizadas).

Crear regla personalizada Crear una regla personalizada mediante la firma que activó una alertaconcreta como punto de partida. Esta opción está disponible cuando seseleccionan las alertas generadas por reglas estándar (no de firewall).Al hacer clic en Crear regla personalizada, se abre la página Nueva regla(véase Adición de reglas de correlación, base de datos o ADMpersonalizadas).

Realización de una búsqueda de WHOIS o ASNEn un componente de tabla es posible realizar una búsqueda de WHOIS para localizar informaciónsobre una dirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consultade ASN de un gráfico de barras y cualquier registro de flujo en un componente de tabla con datos deASN, recupera un registro WHOIS mediante el identificador ASN.




1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente detabla o una barra de consulta de ASN de un componente de gráfico.

2Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN.

3 Para buscar otra dirección IP o identificador:

• En la página de la ficha WHOIS, seleccione una dirección IP en la lista desplegable y escriba elnombre de host.

• En la página Búsqueda de ASN, escriba los números o realice una selección en la lista desplegable.

Adición de un ID de caso de Remedy a un registro de eventoCuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID decaso. Es posible agregar este número al registro de eventos como referencia para el futuro.


1Resalte el evento en la vista Análisis de eventos y haga clic en el menú .

2 Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar.

Exportación de un componenteEs posible exportar los datos incluidos en un componente de vista de ESM. Los componentes degráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se puedenexportar a una lista de valores separados por comas (CSV) o HTML.

Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datosexportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de unapágina, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haberdiferencias respecto de lo que se ve en el componente.


1En una vista, haga clic en el menú correspondiente al componente que desee exportar y hagaclic en Exportar.

2 Seleccione uno de los formatos siguientes:

• Texto: exportar los datos en formato de texto.

• PDF: exportar los datos a modo de imagen.

• Imagen a PDF: exportar solo la imagen.

• CSV: exportar una lista de valores delimitados por comas.

• HTML: exportar los datos en forma de tabla.



3 En la página Exportar, especifique los datos que desee exportar.

• Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo depáginas a partir de la página 1.

• Si selecciona Imagen a PDF, se genera la imagen.

• Si selecciona CSV o HTML, solo puede exportar los elementos seleccionados, la página de datosactual o un número máximo de páginas a partir de la página 1.


Se generará el archivo de exportación y se le pedirá que descargue el archivo resultante.

Uso del Asistente de consultasTodos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cadacomponente.

A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cadacomponente del Asistente de consultas mediante la selección del tipo de consulta, la consulta, los camposque incluir y los filtros que usar. Todas las consultas del sistema, tanto predefinidas comopersonalizadas, aparecerán en el asistente para que pueda seleccionar los datos que desee que genereel componente. También cabe la posibilidad de editar o eliminar consultas, así como de copiar unaconsulta existente a fin de usarla como plantilla para configurar una consulta nueva.

Administración de consultasEl ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora deagregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones deconfiguración, así como de agregar o quitar consultas personalizadas.


1 Acceda al Asistente de consultas de una de las formas siguientes.


Agregar unanueva vista

1Haga clic en el icono Crear vista nueva , situado en la barra de herramientasde vista.

2 Arrastre y suelte un componente de la Barra de herramientas de edición de vistas en elpanel de vista.

Aparecerá el Asistente de consultas.

Editar una vistaexistente

1 Seleccione la vista que desee editar.

2Haga clic en el icono Editar vista actual , situado en la barra de herramientasde vista.

3 Haga clic en el componente que desee editar.

4 Haga clic en Editar consulta en el panel Propiedades.Se abrirá el Asistente de consultas por la segunda página.




Establecer eldiseño de uninforme nuevo

1 En Propiedades del sistema, haga clic en Informes.

2 Haga clic en Agregar.

3 En la sección 5 de la página Agregar informe, haga clic en Agregar.

4 Arrastre y suelte un componente en la sección de diseño del informe.

Aparecerá el Asistente de consultas.

Editar el diseñode un informeexistente

1 En Propiedades del sistema, haga clic en Informes.

2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar.

3 En la sección 5 de la página Editar informe, seleccione un diseño existente yhaga clic en Editar.

4 Haga clic en el componente en la sección de diseño del informe y haga clic enEditar consulta en la sección Propiedades.

Se abrirá el Asistente de consultas por la segunda página.

2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones:


Agregar una nuevaconsulta

1 Seleccione la consulta que desee usar como plantilla y haga clic enCopiar.

2 Escriba el nombre de la nueva consulta y haga clic en Aceptar.

3 En la lista de consultas, haga clic en la recién agregada y, después, enSiguiente.

4 En la segunda página del asistente, cambie la configuración mediante losbotones.

Editar una consultapersonalizada

1 Seleccione la consulta personalizada que desee editar y haga clic enEditar.

2 En la segunda página del asistente, cambie la configuración mediante losbotones.

Quitar una consultapersonalizada

Seleccione la consulta personalizada que desee eliminar y, a continuación,haga clic en Quitar.


Componentes enlazadosCuando un componente de vista se enlaza con otro componente mediante un enlace de datos, la vistapasa a ser interactiva.

Al seleccionar uno o varios elementos en el componente principal, los resultados mostrados en elcomponente secundario cambian, igual que si se accediera a información detallada. Por ejemplo, sienlaza un componente de IP de origen de gráfico de barras principal a un componente de IP dedestino de gráfico de barras secundario, al hacer una selección en el componente principal elcomponente secundario ejecuta su consulta mediante la IP de origen seleccionada como filtro. Alcambiar la selección en el componente principal, se actualizan los datos en el componente secundario.

El enlace de datos solo permite enlazar un campo con otro.




1 Cree los componentes principal y secundario; después, seleccione el componente secundario.

2 En el panel Propiedades, haga clic en Editar consulta | Filtros.

La página Filtros de consulta se abrirá con las consultas principales y secundarias activadas.

3 En la lista desplegable de consultas secundarias, seleccione Enlazar con.

4 Haga clic en Aceptar y, después, en Finalizar.

Comparación de valoresLos gráficos de distribución tienen una opción que permite superponer una variable adicional sobre elgráfico actual.

De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, porejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosascomparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacioen la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en unúnico gráfico de distribución.

La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona unaconsulta de evento, solamente es posible realizar la comparación con los campos de la tabla deeventos, pero no con la tabla de flujos o de activos y vulnerabilidades.

Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de laforma habitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobrelos datos al mismo tiempo. El componente de distribución muestra los datos para ambos conjuntos dedatos en el mismo gráfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico(esquina inferior izquierda del componente), se siguen mostrando ambos conjuntos de datos.

Comparación de valores de gráficosEs posible comparar los datos de un gráfico de distribución con la variable que se seleccione.


1Seleccione el icono Crear vista nueva o el icono Editar vista actual .

2Haga clic en el icono Distribución y, después, arrástrelo y suéltelo en la vista para abrir elAsistente de consultas.

3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente.

4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada.

5 Haga clic en Aceptar y, después, en Finalizar.

6 Mueva el componente a la ubicación correcta en la vista y, después:

• Haga clic en Guardar si va a agregar el componente a una vista existente.

• Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vistanueva.



Configuración de la distribución apilada para vistas e informesEs posible configurar el componente de distribución en una vista o informe para poder ver ladistribución de los eventos relacionados con un campo específico.

Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe.Cuando se accede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo ydefinir el tipo y los detalles del gráfico.

No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta.


1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada)o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta.

El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio(por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).

2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones.

3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas.

La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el

tipo de gráfico, mediante el icono Opciones de gráfico .

Administración de vistasLa administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista almismo tiempo, así como de seleccionar las vistas que incluir en la lista de vistas y asignar permisos ausuarios o grupos específicos para el acceso a vistas concretas.


1En la consola de ESM, haga clic en el icono Administrar vistas .

2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar.

Búsqueda alrededor de un eventoEn la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos delevento dentro del espacio de tiempo seleccionado antes y después del evento.


1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis deeventos.

2Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar.



3 Seleccione el número de minutos antes y después de la hora del evento donde desea que elsistema busque una coincidencia.

4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda yescriba el valor.

Los resultados aparecerán en la vista Resultado de la búsqueda.

Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menúAnálisis de eventos.

Visualización de los detalles de dirección IP de un eventoSi cuenta con una licencia de McAfee

®

Global Threat Intelligence™

(McAfee GTI) de McAfee, dispone deacceso a la nueva ficha Detalles de amenaza al ejecutar una búsqueda de Detalles de dirección IP. Cuando seselecciona esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo odatos de geolocalización.

Antes de empezarAdquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI).

Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas deMcAfee o con el Soporte de McAfee.


1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento| Análisis de eventos.

2Haga clic en una dirección IP, después en el icono de menú de cualquier componente quetenga una dirección IP y, a continuación, en Detalles de dirección IP.

La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada.Puede copiar los datos al portapapeles del sistema.

La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. Noobstante, la página Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece estainformación.

Cambio de la vista predeterminadaLa vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando seinicia sesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada porcualquiera de las vistas predefinidas o personalizadas del ESM.


1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas.

2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y hagaclic en Aceptar.



Filtrado de vistasEn el panel de filtros situado en la consola principal de ESM, es posible establecer filtros paraaplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre.

La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos defiltrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar yeliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado,administrar todos los filtros e iniciar el administrador de normalización de cadenas.

Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertarde que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros yse vuelve a ejecutar la consulta.

Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales,filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman partede una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas enel valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como"Salas,""Barbas""Juan".

Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex).

Filtrado de una vistaLos filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtrosy actualiza la vista, los datos de la vista reflejarán los filtros agregados.


1 En la consola de ESM, haga clic en la lista desplegable de vistas y seleccione la que desee filtrar.

2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formassiguientes:

• Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vistaactual de forma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escribaesta dirección IP en el campo IP de origen.

• Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex).

• Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listasde vigilancia por las que filtrar.

• En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en elpanel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datosseleccionados.

En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80representa un intervalo de gravedad de entre 60 y 80.





Ver datos que coinciden conmás de un filtro

Introduzca los valores en cada campo.

Ver datos que coinciden conalgunos valores de filtrado yexcluyen otros

1 Introduzca los valores de filtrado que desee incluir y excluir.

2Haga clic en el icono NOT situado junto a los campos quedesee excluir.

Ver datos que coinciden confiltros de expresión regular o detipo OR

1 Introduzca los valores de filtrado en los campos de expresiónregular y OR.

2 Haga clic en el icono OR junto a los campos que tengan losvalores OR.

La vista incluirá los datos que coincidan con los valores de loscampos no marcados como OR y que coincidan con cualquierade los valores de los campos marcados como OR.

Para que funcione este filtro, hay que marcar un mínimo dedos campos como OR.

Hacer que en los valores defiltrado no se distinga entremayúscula y minúscula

Haga clic en el icono Sin distinción mayúsculas/minúsculas junto alcampo de filtrado adecuado.

Reemplazar las cadenasnormalizadas por sus alias

Haga clic en el icono de normalización de cadenas junto alcampo de filtrado adecuado.

4Haga clic en el icono Ejecutar consulta .

La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en lavista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista queindica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros seborran y la vista muestra todos los datos.

Panel FiltrosEl panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para las vistas.

Icono Significado Descripción

Sugerencias Hace que aparezca información sobre herramientas al hacerclic en un campo de filtro.

Iniciar administrador denormalización decadenas

Se aplica el filtrado por una cadena y sus alias (véaseNormalización de cadenas).

Ejecutar consulta Se aplican los filtros actuales a la vista. Deberá hacer clic eneste icono si cambia un valor de filtro y desea aplicarlo a lavista actual.

Borrar todo Se borran todos los filtros del panel de filtros.



Icono Significado Descripción

Opciones de conjuntode filtros

Seleccione una acción que realizar con los conjuntos defiltros.• Convertir en predeterminado: guarda los valores de filtro

introducidos como predeterminados. Estos filtros seaplican automáticamente al iniciar sesión.

• Restaurar predeterminado: devuelve los filtros a los valorespredeterminados para poder ejecutar la consulta con elconjunto de filtros predeterminado.

• Guardar filtros rellenados: guarda el conjunto de filtros actual ylo agrega a la lista de filtros disponibles, donde podráseleccionarlo a la hora de agregar un filtro. Escriba unnombre para el conjunto y seleccione la carpeta dondedesee guardarlo.

• Administrar filtros: abre la página Administración de conjuntos defiltros, donde puede organizar los conjuntos de filtrosdisponibles.

Seleccione un campo de filtro o un conjunto de filtros porlos que filtrar la vista. Al hacer clic en el campo, un menúdesplegable indica todos los filtros y conjuntos de filtrosposibles.

Mostrar lista de filtros Seleccione las variables o las listas de vigilancia pararealizar el filtrado.

NOT Para ver datos que coinciden con algunos valores de filtro yexcluyen otros, haga clic en esta opción junto a los camposque desee excluir.

OR Para ver los datos que coinciden con los filtros de expresiónregular y OR, haga clic en este icono junto a los campos quetengan los valores OR. La vista incluirá los datos quecoincidan con los valores de los campos no marcados comoOR y que coincidan con cualquiera de los valores de loscampos marcados como OR.

Para que funcione este filtro, hay que marcar un mínimode dos campos como OR.

Sin distinciónmayúsculas/minúsculas

Para que en los valores de filtro no se distinga entremayúsculas y minúsculas, haga clic en este icono.

Normalización decadenas

Permite reemplazar las cadenas normalizadas por sus alias.

Ver filtros de unconjunto

Permite ver una lista de los filtros incluidos en un conjunto.

Sustituir valor Permite reemplazar el valor actual por el valor incluido en elconjunto de valores.

Quitar este filtro Permite eliminar el campo de filtro de los filtros actuales.

Adición de filtros de ID de evento de Windows y UCFUno de los retos que supone la conformidad con las normativas es la naturaleza en constanteevolución de estas normativas. Unified Compliance Framework (UCF) es una organización que asignalas características específicas de cada normativa a ID de control armonizados. A medida que cambianlas normativas, estos ID se actualizan y se insertan en ESM.



• Es posible filtrar por el ID de conformidad a fin de seleccionar la conformidad necesaria osubcomponentes específicos, o bien por el ID de evento de Windows.


Agregar filtrosUCF

1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID deconformidad.

2 Seleccione los valores de conformidad que desee usar como filtros y haga clic

en Aceptar | Ejecutar consulta .

Agregar filtrosde ID de eventode Windows

1 Haga clic en el icono de filtro situado junto al ID de firma.

2 En Variables de filtrado, seleccione la ficha Windows.

3 Escriba los ID de evento de Windows (separados por comas) en el campo detexto o seleccione los valores que desee usar como filtro en la lista.

Selección de ID normalizadosCuando se crea una vista nueva o se agrega un filtro a una vista, se puede optar por filtrar los datosmediante ID normalizados.


1 En la consola de ESM, realice una de estas acciones:

• Si va a crear una vista nueva, haga clic en Filtros en la segunda página del Asistente de consultas(véase Definición de la configuración de componentes de vista o informe).

• Si va a agregar filtros a una vista, seleccione la vista a la que desee agregarlos. El panel Filtrosse encuentra en la parte derecha de la pantalla.

2 Localice el campo ID normalizado y haga clic en el icono Filtros .

3 Seleccione los ID y haga clic en Aceptar.

Los números de ID seleccionados se agregarán al campo ID normalizado.

Listas de controlUna lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar comofiltro o como condición de alarma.

Puede ser global o específica de un usuario o grupo, y puede ser estática o dinámica. Una lista devigilancia estática consta de valores específicos que se introducen o se importan. Una lista devigilancia dinámica consta de valores que resultan de los criterios de búsqueda de cadenas oexpresiones regulares que se definen.

Una lista de vigilancia puede contener un máximo de 1 000 000 de valores. Las listas de valores de laspáginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de 25 000 valores. Sihay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editaruna lista de vigilancia mediante la adición de valores de forma que el total supere los 25 000, deberáexportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista.

Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tieneuna marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice.Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posible



actualizar los valores configurados para caducar mediante su anexión a la lista a través de la opciónAdjuntar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú decomponentes).

El ESM proporciona un conector para el origen de datos relacionales de Hadoop HBase sirviéndose delos pares clave-valor del origen. Estos datos se pueden emplear en una lista de vigilancia (véaseAdición de una lista de vigilancia de Hadoop HBase). Por ejemplo, se pueden suministrar a alarmasque se activen cuando se encuentren valores de la lista de vigilancia en eventos nuevos.

Adición de una lista de vigilanciaSi agrega una lista de vigilancia al ESM, podrá usarla a modo de filtro para una condición de alarma.


1 Acceda a la página Listas de vigilancia de una de estas formas:

•En la consola de ESM, haga clic en el icono de inicio rápido Listas de vigilancia .

• En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas devigilancia.

La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema.

Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero nocontienen datos a menos que se adquiera una licencia de McAfee GTI a través de McAfee. Póngaseen contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquirir unalicencia.


3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia.

Véase también Lista de vigilancia de McAfee GTI en la página 319

Lista de vigilancia de McAfee GTILas listas de vigilancia de McAfee GTI contienen más de 130 millones de direcciones IP sospechosas ymaliciosas recopiladas por McAfee junto con su gravedad. Estas listas de vigilancia se pueden utilizarpara activar alarmas, para filtrar datos en informes y vistas, a modo de filtro en la correlación dereglas y como origen de calificación para un administrador de correlación de riesgos de un ACE.

Para agregar los datos de las listas al sistema, es necesario adquirir una licencia de McAfee GTI pormedio de McAfee. Una vez hecho esto, las listas se agregarán al sistema la siguiente vez quedescargue las reglas. Este proceso puede tardar varias horas debido al tamaño de la base de datos.

Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad dedescargarlas sin conexión.

Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema | Listas de control)indica si la lista está activa (contiene valores) o inactiva (no contiene valores).

Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o conel Soporte de McAfee.



Creación de una lista de vigilancia de fuentes de amenazas o IOC deInternetCabe la posibilidad de crear una lista de vigilancia, que se puede actualizar periódicamente, paraextraer automáticamente las fuentes de amenazas o indicadores de compromiso (IOC) de Internet.

En esta lista de vigilancia, se puede acceder a una vista previa de los datos que se recuperarán através de la solicitud HTTP, así como agregar expresiones regulares para filtrar dichos datos.


1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades

.

2 Haga clic en Listas de vigilancia y, después, en Agregar.

3 Rellene la ficha Principal y seleccione Dinámica.

4 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo.

5 Complete la información solicitada en las fichas Origen, Análisis y Valores.

El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código deorigen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribiruna expresión regular para la coincidencia. Una actualización planificada o ejecutada medianteEjecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsquedamediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxisRE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con unadirección IP.

Adición de una lista de vigilancia de Hadoop HBaseAgregue una lista de vigilancia con Hadoop HBase como origen.


1En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,después, haga clic en Listas de vigilancia.

2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la informaciónsolicitada y, a continuación, haga clic en la ficha Origen.

3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, elpuerto y el nombre de la tabla.



4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados medianteBase64. Por ejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora.

Normalización de cadenasRecurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar convalores de alias, así como para importar o exportar un archivo .csv de valores de normalización decadenas.

Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización decadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre deusuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal esJuan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, [email protected] y JuanD. Acontinuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el iconode filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante semuestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar laexistencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no.Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividadde usuarios con privilegios.

Administración de archivos de normalización de cadenasAntes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM.


1En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas .

2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.

Creación de un archivo de normalización de cadenas que importarSi crea un archivo .csv de alias, es posible importarlo en la página Normalización de cadenas para poderutilizarlo como filtro.




1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formatosiguiente:

comando, cadena principal, alias

Los comandos posibles son agregar, modificar y eliminar.

2 Guárdelo como archivo .CSV y, después, importe este archivo.

Filtros de tipos personalizadosLos campos de tipos personalizados se pueden usar como filtros para vistas e informes, así como paracrear reglas personalizadas, lo cual permite definir datos relevantes en su caso y, después, acceder aellos.

Los datos generados por estos campos de tipos personalizados se pueden ver en la sección Detalles delas vistas Análisis de eventos o Análisis de flujos.

Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use lapágina Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puedecambiar la configuración de subtipo.

Exportación o importación de tipos personalizados

Al exportar los tipos personalizados, se exportan todos a la ubicación seleccionada. Al importar unarchivo de tipos personalizados, los datos importados reemplazan los tipos personalizados existentesen el sistema.

Consultas personalizadas

A la hora de configurar una consulta personalizada para una vista, los tipos personalizadospredefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Siagrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la informaciónconsultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultadoalguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipopersonalizado.

Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuariode origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como unfiltro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta nodevolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campode usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en latabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En casode no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía,pero otras columnas mostrarán datos.

Tipo de datos personalizados

Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cadacampo en un registro de varios campos.

7 Uso de los eventosFiltros de tipos personalizados


Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipopersonalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal obooleano). Por ejemplo:

• Registro inicial: 100300.351

• Tres subtipos: Integer|decimal|boolean

• Subtipo personalizado: 100|300.35|1

Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra elnúmero de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto decolor rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64bits.

Tipo personalizado de nombre/valor

Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya ungrupo de pares de nombre/valor especificado. A continuación, se pueden filtrar las vistas y lasconsultas por estos pares, así como utilizarlos en alarmas de coincidencia de campo.

A continuación se indican algunas de las características de esta función:

• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.

• Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.

• La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslogavanzado (ASP).

• El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Sisupera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar eltamaño y el número de nombres.

• Los nombres deben constar de más de dos caracteres.

• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.

• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -<nombre>.

Formato de expresión regular para tipos personalizados no indizados

Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoriay cadena con hash:

• Puede utilizar la sintaxis contains(<expresión regular>) o simplemente escribir un valor en loscampos de cadena aleatoria no indizada o cadena con hash y después filtrar los tipospersonalizados.

• Es posible emplear la sintaxis regex().

• Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado noindizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y elasterisco actúan como una barra (|) y un punto seguido por un asterisco (.*) en un campo decadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco(*), se sustituye por un punto seguido por el asterisco (.*).

• Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar unerror que indica que la expresión regular no es válida.

• Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado delas cadenas con hash y las cadenas aleatorias indizadas o no indizadas.

Uso de los eventosFiltros de tipos personalizados 7


• El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>)y regex(<en una parte de un mensaje de regla>).

• Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después.

Estos son algunos filtros de búsqueda habituales:

• Un valor único

• Varios valores separados por comas que se convierten en una expresión regular

• Una sentencia contains con un * que actúa como .*

• Expresiones regulares avanzadas donde se emplea la sintaxis regex()

Véase Descripción de los filtros contains y regex.

Creación de tipos personalizadosEs posible agregar tipos personalizados para usarlos como filtros si se dispone de privilegios deadministrador.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipospersonalizados.


3 Haga clic en Aceptar para guardar el tipo personalizado.

Tabla de tipos personalizados predefinidosSi dispone de privilegios de administrador, puede ver una lista de los tipos personalizados predefinidosen la tabla de tipos personalizados (Propiedades del sistema | Tipos personalizados). Si no cuenta conprivilegios de administrador, utilice esta lista de tipos personalizados predefinidos.

Nombre Tipo de datos Campo de evento Campo de flujo

Application (Aplicación) Cadena Campo personalizado -1

Ninguno

Application_Layer ID de firma Ninguno Campopersonalizado - 4

Application_Protocol Cadena Campo personalizado -1

Ninguno

Authoritative_Answer Cadena Campo personalizado -10

Ninguno

Bcc (CCO) Cadena Campo personalizado -9

Ninguno

CC (CC) Cadena Campo personalizado -8

Ninguno

Client_Version Cadena Campo personalizado -9

Ninguno

Command (Comando) Cadena Campo personalizado -2

Ninguno

Confidence (Confianza) Entero no firmado Campo personalizado -8

Ninguno




Contact_Name Cadena Campo personalizado -6

Ninguno

Contact_Nickname Cadena Campo personalizado -8

Ninguno

Cookie Cadena Campo personalizado -9

Ninguno

Database_Name Cadena Campo personalizado -8

Ninguno

Destination User (Usuario dedestino)

Cadena Campo personalizado -6

Campopersonalizado - 1

Destination_Filename Cadena Campo personalizado -9

Ninguno

Direction (Dirección) Cadena Campo personalizado -10

Ninguno

DNS_Class Cadena Campo personalizado -8

Ninguno

DNS_Name Cadena Campo personalizado -5

Ninguno

DNS_Type Cadena Campo personalizado -6

Ninguno

Domain (Dominio) Cadena Campo personalizado -3

Ninguno

End_Page Entero no firmado Campo personalizado -9

Ninguno

File_Operation Cadena Campo personalizado -5

Ninguno

File_Operation_Succeeded Cadena Campo personalizado -6

Ninguno

Filename (Nombre de archivo) Cadena Campo personalizado -3

Ninguno

Flow_Flags Entero no firmado Ninguno Campopersonalizado - 1

From (De) Cadena Campo personalizado -5

Ninguno

Hops (Saltos) Entero no firmado Campo personalizado -8

Ninguno

Host Cadena Campo personalizado -4

Ninguno

HTTP_Layer ID de firma Ninguno Campopersonalizado - 5

HTTP_Req_Cookie Cadena Ninguno Campopersonalizado - 3

HTTP_Req_Host Cadena Ninguno Campopersonalizado - 5

HTTP_Req_Method Cadena Ninguno Campopersonalizado - 6

HTTP_Req_Reference Cadena Ninguno Campopersonalizado - 4




HTTP_Req_URL Cadena Ninguno Campopersonalizado - 2

HTTP_Resp_Length Entero no firmado Ninguno Campopersonalizado - 5

HTTP_Resp_Status Entero no firmado Ninguno Campopersonalizado - 4

HTTP_Resp_TTFB Entero no firmado Ninguno Campopersonalizado - 6

HTTP_Resp_TTLB Entero no firmado Ninguno Campopersonalizado - 7

HTTP_User_Agent Cadena Ninguno Campopersonalizado - 7

Interface (Interfaz) Cadena Campo personalizado -8

Ninguno

Job_Name Cadena Campo personalizado -5

Ninguno

Language (Idioma) Cadena Campo personalizado -10

Ninguno

Local_User_Name Cadena Campo personalizado -5

Ninguno

Message_Text Cadena Campo personalizado -9

Ninguno

Method (Método) Cadena Campo personalizado -5

Ninguno

NAT_Details

• NAT_Address

• NAT_Port

• NAT_Type

Personalizado

• Dirección IPv4

• Entero nofirmado


Campo personalizado -9

Campopersonalizado - 1

Network_Layer ID de firma Ninguno Campopersonalizado - 1

NTP_Client_Mode Cadena Campo personalizado -5

Ninguno

NTP_Offset_To_Monitor Entero no firmado Campo personalizado -8

Ninguno

NTP_Opcode Cadena Campo personalizado -10

Ninguno

NTP_Request Cadena Campo personalizado -9

Ninguno

NTP_Server_Mode Cadena Campo personalizado -6

Ninguno

Num_Copies Entero no firmado Campo personalizado -6

Ninguno

Object (Objeto) Cadena Campo personalizado -5

Ninguno

Object_Type Cadena Campo personalizado -2

Ninguno




Priority (Prioridad) Entero no firmado Campo personalizado -8

Ninguno

Query_Response Cadena Campo personalizado -9

Ninguno

Referer (Sitio de referencia) Cadena Campo personalizado -10

Ninguno

Response Time (Tiempo derespuesta)

• Seconds (Segundos)

• Milliseconds (Milisegundos)

Personalizado



Campo personalizado -10

Ninguno

RTMP_Application Cadena Campo personalizado -9

Ninguno

Session_Layer Cadena Ninguno Campopersonalizado - 3

SNMP_Error_Code Cadena Campo personalizado -10

Ninguno

SNMP_Item Cadena Campo personalizado -6

Ninguno

SNMP_Item_Type Cadena Campo personalizado -8

Ninguno

SNMP_Operation Cadena Campo personalizado -5

Ninguno

SNMP_Version Cadena Campo personalizado -9

Ninguno

Source User (Usuario de origen) Cadena Campo personalizado -7

Start_Page Entero no firmado Campo personalizado -8

Ninguno

Subject (Asunto) Cadena Campo personalizado -10

Ninguno

SWF_URL Cadena Campo personalizado -5

Ninguno

TC_URL Cadena Campo personalizado -6

Ninguno

To (Para) Cadena Campo personalizado -6

Ninguno

Transport_Layer ID de firma Ninguno Campopersonalizado - 2

URL Cadena Campo personalizado -8

Ninguno

User_Agent Cadena Campo personalizado -6

Ninguno

User_Nickname Cadena Campo personalizado -5

Ninguno

Version (Versión) Cadena Campo personalizado -10

Ninguno



Adición de tipos personalizados de tiempoEs posible agregar tipos personalizados que permiten almacenar datos temporales.

Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos. Tiempo - Precisión denanosegundos almacena datos temporales con una precisión de nanosegundos. Incluye un número decoma flotante con nueve valores de precisión que representan los nanosegundos.

Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en lasconsultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible enel enriquecimiento de datos, las listas de vigilancia ni las alarmas.


1En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,a continuación, haga clic en Tipos personalizados | Agregar.

2 En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos,rellene la información restante y haga clic en Aceptar.

Tipos personalizados de nombre/valorEl tipo personalizado de nombre/valor consta de un grupo de pares de nombre/valor que se especifica.Es posible filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas deCoincidencia de evento interno.

A continuación se indican algunas de las características de esta función:

• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.

• Se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.

• La parte del par correspondiente al valor solo se puede recopilar mediante ASP.

• El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres.Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar eltamaño y el número de nombres.

• Los nombres deben constar de más de dos caracteres.

• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.

• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -<nombre>.

Adición de un tipo personalizado de grupo de nombre/valorSi agrega un grupo de pares de nombre/valor, puede filtrar las vistas y las consultas con respecto aellos y utilizarlos en las alarmas de tipo Coincidencia de evento interno.



2 Haga clic en Tipos personalizados y, después, en Agregar.

3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clicen Aceptar.



Visualización de la hora del eventoEs posible ver la hora exacta a la que se insertó un evento en la base de datos del receptor.

Antes de empezarDebe contar con los siguientes permisos:

• Ver datos para obtener eventos y ver la hora del evento.

• Administración de vistas para crear una vista.

• Administración de eventos para cambiar los eventos.


1 En la consola de ESM, agregue una vista de tabla de eventos que incluya el campo Hora de dispositivo.

aEn la barra de herramientas del panel de visualización, haga clic en el icono Crear vista nueva .

b En la Barra de herramientas de edición de vistas, haga clic en el componente Tabla y arrástrelo.

c En el Asistente de consultas, haga clic en Siguiente y, después, en Campos.

d Haga clic en Hora de dispositivo en la lista de la izquierda y muévalo a la lista de la derecha.

e En la página Campos, haga clic en Aceptar y, después, en Finalizar.

f En la Barra de herramientas de edición de vistas, haga clic en Guardar como, escriba el nombre de la vista yhaga clic en Aceptar.

g Cierre la Barra de herramientas de edición de vistas.

La vista se agregará a la lista desplegable de vistas.

2 Visualice la Hora de dispositivo de una de las formas siguientes.

Si envía un evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy), la horadel dispositivo correspondiente al evento se perderá.

• Visualice la columna Hora de dispositivo en la tabla de eventos de la vista que ha agregado.

• Haga clic en el icono Ver detalles de datos en la barra de herramientas situada en la parte inferiorde la tabla, haga clic en la ficha Detalles avanzados y, después, visualice el campo Hora de dispositivo.

Uso de los eventosVisualización de la hora del evento 7


7 Uso de los eventosVisualización de la hora del evento


8 Administración de casos

Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporteasociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tengael privilegio Usuario administrador de casos activado.

Hay cinco maneras de agregar un caso:

• En la vista Administración de casos

• En el panel Casos, sin vinculación con ningún evento

• En la vista Análisis de eventos, con vinculación a un evento

• Al configurar una alarma

• En una notificación de una alarma activada

Contenido Adición de un caso Creación de un caso a partir de un evento Adición de eventos a un caso existente Edición o cierre de un caso Visualización de detalles de casos Adición de niveles de estado de casos Envío de casos por correo electrónico Visualización de todos los casos Generación de informes de administración de casos

Adición de un casoEl primer paso para rastrear una tarea generada como resultado de un evento de red es agregar uncaso al sistema de administración de casos.


1 En el panel Casos , haga clic en el icono Agregar caso .


El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso porcorreo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico).

8


Creación de un caso a partir de un eventoPara rastrear un evento en la vista Análisis de eventos, cree un caso. Esto permite rastrear el flujo detrabajo.


1 En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos.

2Haga clic en el evento, haga clic en el icono de menú y, después, en Acciones | Crear un nuevocaso.

3 Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso.

El nuevo caso incluye los datos de evento en la tabla Mensaje.

Adición de eventos a un caso existenteEs posible agregar uno o varios eventos a un caso existente a fin de rastrear las acciones realizadascomo respuesta a esos eventos.


1 En el panel de vistas, seleccione Vistas de evento en la lista desplegable de vistas y, a continuación,haga clic en Análisis de eventos.

2 Seleccione los eventos y, después, realice una de las siguientes acciones:

•Haga clic en el icono Asignar eventos a un caso o Remedy y seleccione Agregar eventos a un caso.

•Haga clic en el icono Menú , resalte Acciones y haga clic en Agregar eventos a un caso.

3 Seleccione el caso y haga clic en Agregar.

La página Detalles del caso muestra el ID de evento en la tabla Mensajes.

4 Haga clic en Aceptar y, a continuación, en Cerrar.

Edición o cierre de un casoSi dispone de privilegios de Administrador de administración de casos, puede modificar cualquier caso delsistema. Si cuenta con privilegios de Usuario administrador de casos, solamente puede modificar los casosque tenga asignados.


1 Acceda a Detalles del caso de una de las formas siguientes.

8 Administración de casosCreación de un caso a partir de un evento



Un caso que tieneasignado

1 Seleccione el caso en el panel Casos.

2 Haga clic en el icono Editar caso .

Un caso que notiene asignado

1 Haga clic en el icono Abrir ventana de administración de casos en el panelCasos.

2 Seleccione el caso que desea modificar.

3 Haga clic en el icono Editar caso , situado en la parte inferior de la vista.

2 Edite la configuración o cierre el caso en el campo Estado.


Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya noaparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado.

Visualización de detalles de casosSi dispone de derechos de Administrador en el ESM, puede ver todos los casos del ESM y realizaracciones al respecto. Todos los usuarios de un grupo pueden ver cualquier caso perteneciente algrupo.


1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos .

Se abrirá la vista Administración de casos con todos los casos del sistema.

2 Revise los datos de las fichas Notas y Eventos de origen.

3 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles delcaso.

Adición de niveles de estado de casosEl administrador de casos ofrece dos niveles de estado: Abierto y Cerrado. Es posible agregar otrosestados a los que asignar los casos.



2 En la vista Administración de casos, haga clic en el icono Configuración de administración de casos en labarra de herramientas de la parte inferior y, después, haga clic en Agregar.

Administración de casosVisualización de detalles de casos 8


3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casosnuevos.

4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar.

Envío de casos por correo electrónicoEs posible configurar el sistema para que envíe de forma automática un mensaje de correo electrónicoa la persona o el grupo a los que está asignado un caso cada vez que se agregue o se reasigne uncaso.

Antes de empezarEs necesario disponer de privilegios de Administrador de administración de casos.

También se puede enviar por correo electrónico una notificación de caso manualmente, así comoincluir notas sobre el caso y detalles del evento.


Enviar por correoelectrónico un casoautomáticamente

1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos.

2 Haga clic en el icono Configuración de administración de casos .

3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clicen Cerrar.

Las direcciones de correo electrónico de los usuarios deben encontrarse enel ESM (véase Configuración de usuarios).

Enviar un casoexistente por correoelectrónicomanualmente

1 En el panel Casos, seleccione el caso que desee enviar por correo

electrónico y haga clic en el icono Editar caso .

2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene loscampos Desde y Hasta.

3 Indique si desea incluir las notas y adjuntar un archivo CSV con losdetalles de evento.

4 Escriba las notas que desee incluir en el mensaje de correo electrónico yhaga clic en Enviar.

Visualización de todos los casosSi tiene privilegios de tipo Administrativo en el ESM, podrá administrar todos los casos del sistema, tantoabiertos como cerrados.

Los privilegios de Administrador de administración de casos permiten crear estados y organizaciones, así comoestablecer la funcionalidad automática de correo electrónico.

8 Administración de casosEnvío de casos por correo electrónico






Agregar un casoHaga clic en el icono Agregar caso , situado en la barra deherramientas de la parte inferior de la vista.

Ver o editar el casoseleccionado Haga clic en el icono Editar caso , situado en la barra de

herramientas de la parte inferior de la vista.

Enviar el casoseleccionado por correoelectrónico

Haga clic en el icono Enviar caso por correo electrónico , situado en labarra de herramientas de la parte inferior de la vista.

Configurar un caso paraque se envíe un mensajede correo electrónicocuando se agregue ocambie

Haga clic en el icono Configuración de administración de casos , situado enla barra de herramientas de la parte inferior de la vista.

Agregar o editar losestados disponibles paralos casos

Haga clic en el icono Configuración de administración de casos y, después,en Agregar, Editar o Eliminar.

Ver las notas, el historial ylos eventos de origen delcaso seleccionado

Haga clic en Notas, Historial o Eventos de origen. Al hacer clic en Eventos deorigen, se abren las fichas de detalles de Eventos de origen. Si las fichasno están visibles o lo están pero desea ocultarlas, haga clic en elicono Ver detalles de evento de origen , situado en la barra deherramientas de la parte inferior de la vista.La ficha Historial registra todas las ocasiones en que un usuariovisualiza un caso. Si el mismo usuario visualiza un caso más de unavez en cinco minutos, el registro no se actualiza en cada ocasión.

Cambiar las columnas deEventos de origen

Haga clic en la ficha Eventos de origen y, después, haga clic en Editarcolumnas visibles en la ficha Eventos de origen.

Filtrar los casos En el panel Filtros, seleccione o escriba los datos por los que desee

filtrar los casos y haga clic en el icono Ejecutar consulta . La lista decasos cambiará para mostrar únicamente los que cumplan loscriterios de filtrado.

Generación de informes de administración de casosExisten seis informes de administración de casos disponibles en el ESM.


1 En la página Propiedades del sistema, haga clic en Informes | Agregar.

2 Rellene las secciones 1, 2 y 3.

3 En la sección 4, seleccione Consulta en CSV.

Administración de casosGeneración de informes de administración de casos 8


4 En la sección 5, seleccione el informe de administración de casos que desee ejecutar.

• Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienenasignada, su estado, los usuarios a los que están asignados, las organizaciones a las que estánasignados (si procede), la fecha y la hora de adición de los casos, la fecha y la hora deactualización de los casos (si procede) y los resúmenes de los casos.

• Detalles de administración de casos: incluye toda la información del informe Resumen de administración decasos, además de los números de ID de los eventos vinculados a los casos y la informacióncontenida en las secciones de notas de los casos.

• Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo,la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, semuestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, laorganización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo.

• Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo.

• Casos por organización: incluye el número de casos por organización.

• Casos por estado: incluye el número de casos por tipo de estado.

5 Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar.

El informe se guardará y se agregará a la lista de Informes.

8 Administración de casosGeneración de informes de administración de casos


9 Uso de Asset Manager

Asset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importaractivos.En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar acabo las siguientes operaciones en el grupo al completo:

• Cambiar los atributos de todos los activos del grupo.

Este cambio no es persistente. Si se agrega un activo a un grupo modificado, no heredaráautomáticamente la configuración anterior.

• Realizar operaciones de arrastrar y colocar.

• Cambiar el nombre de un grupo si es necesario.

Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante eletiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de lasinstalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describenel sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable elactivo.

Existen dos formas de definir las etiquetas de un activo: lo hace el sistema cuando se recupera unactivo o lo hace el usuario cuando agrega o edita un activo. Si el sistema define las etiquetas, seactualizan cada vez que se recupera el activo, en caso de haber cambiado. Si las define el usuario, elsistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayan cambiado. Siagrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando se recupereel activo, haga clic en Restablecer. Es necesario realizar esta acción cada vez que se realicen cambios enla configuración de las etiquetas.

La administración de la configuración forma parte de las normativas de conformidad estándar, talescomo PCI, HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de losenrutadores y conmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función deadministración de configuraciones permite hacer lo siguiente:

• Establecer la frecuencia con la que deben sondearse los dispositivos.

• Seleccionar los dispositivos descubiertos en los que comprobar la configuración.

• Identificar un archivo de configuración recuperado como predeterminado para el dispositivo.

• Ver los datos de configuración, descargar los datos a un archivo y comparar la información deconfiguración de ambos dispositivos.

Contenido Administración de activos Establecimiento de la administración de configuración Descubrimiento de la red Orígenes de activos Administración de orígenes de evaluación de vulnerabilidades

9


Administración de zonas Evaluación de activos, amenazas y riesgo Administración de amenazas conocidas

Administración de activosUn activo es cualquier dispositivo de la red que disponga de una dirección IP.

En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos deactivos, agregar orígenes de activos y asignar un activo a un grupo de activos. Los activosdescubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también sepueden manipular.


1Haga clic en el icono de inicio rápido de Asset Manager .

2 Asegúrese de que esté seleccionada la ficha Activo.

3 Administre los activos según proceda y, después, haga clic en Aceptar.

Procedimientos• Definición de activos antiguos en la página 338

El grupo Activos antiguos del Administrador de activos permite almacenar activos que no se handetectado en el periodo de tiempo definido.

Definición de activos antiguosEl grupo Activos antiguos del Administrador de activos permite almacenar activos que no se han detectado enel periodo de tiempo definido.


1Haga clic en el icono de inicio rápido de Asset Manager .

2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos.

3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse ala carpeta Activos antiguos y, después, haga clic en Aceptar.

Establecimiento de la administración de configuraciónLa administración de configuración permite recuperar los archivos de configuración de los dispositivosque se han descubierto correctamente mediante el perfil de la interfaz de línea de comandos (CLI).Cuando termina el proceso de descubrimiento de red, es necesario establecer la administración deconfiguración.

9 Uso de Asset ManagerAdministración de activos



1Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración deconfiguración.

2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Aceptar.

Procedimientos• Administración de archivos de configuración recuperados en la página 339

Hay varias cosas que se pueden hacer para administrar los archivos que se recuperancuando se comprueba la configuración de los enrutadores y los conmutadores.

Administración de archivos de configuración recuperadosHay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando secomprueba la configuración de los enrutadores y los conmutadores.

Antes de empezarRecupere los archivos de configuración (véase Establecimiento de la administración deconfiguración).


1Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración deconfiguración.

2 Lleve a cabo cualquiera de las acciones disponibles en la sección Archivos de configuración recuperados dela página.

Descubrimiento de la red El Descubrimiento de la red muestra las ubicaciones físicas donde se producen los eventos en la red, lo cualaumenta la capacidad de rastrear los eventos.

El Descubrimiento de la red es para usuarios avanzados con un conocimiento amplio de la red, y requiere laasignación de privilegios. Es necesario disponer de privilegios activados para crear y ver elDescubrimiento de la red, así como para modificar la configuración de conmutación en Control de puertos de red.

El Descubrimiento de la red a través de SNMPv3, Telnet o SSH no es conforme a FIPS. Si está obligado acumplir las normativas de FIPS, no utilice estas funciones.

Descubrimiento de redEl primer paso para crear un mapa de la red es su descubrimiento. Es necesario establecer losparámetros antes de iniciar el análisis.

Uso de Asset ManagerDescubrimiento de la red 9



1Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.

2 Haga clic en Configuración y, después, en Agregar en la página Configurar opciones de red a fin de agregarlos parámetros para el descubrimiento.

3 Indique la configuración de Parámetros de descubrimiento de red.

4 Haga clic en Aceptar. Los parámetros definidos se agregarán a la lista Configurar opciones de red.

5 Lleve a cabo otras acciones según proceda.

6 Haga clic en Descubrir red a fin de iniciar el análisis. Si es necesario detener el descubrimiento, hagaclic en Detener descubrimiento.

La sección Dispositivo de red de la página se rellenará con los datos del análisis.


Administración de la lista de exclusiones de IPEs posible agregar direcciones IP a la Lista de exclusiones de IP a fin de excluirlas de la búsqueda dedescubrimiento de red.


1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.

2 Haga clic en Lista de exclusiones de IP.

3 Agregue una nueva dirección, o bien edite o quite una existente.


Descubrimiento de endpointsA la hora de configurar la red, agregar direcciones IP a la lista de exclusiones y descubrir la red, esnecesario descubrir los endpoints conectados a los dispositivos.


1Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.

2 Haga clic en Descubrir endpoints a fin de iniciar el análisis inmediatamente.

Los resultados y el estado del análisis se indicarán en la sección Dispositivos endpoint de la página.

3 Para planificar el descubrimiento automático de endpoints, seleccione Descubrir automáticamente cada yseleccione la frecuencia.

Visualización de un mapa de la redExiste la posibilidad de generar una representación gráfica de la red que permita mover losdispositivos a cualquier posición.

9 Uso de Asset ManagerDescubrimiento de la red



1Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Descubrimiento de lared.

2 Haga clic en Mapa de red.

Se abrirá la representación gráfica de la red.

3 Mueva los dispositivos o pase el ratón sobre un dispositivo a fin de ver sus propiedades.

Cambio del comportamiento de Descubrimiento de redExiste la posibilidad de cambiar la configuración predeterminada de ping, número de estaciones finalesy dispositivos simultáneos de Descubrimiento de red.


1En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .

2 Haga clic en la ficha Descubrimiento de red, haga clic en Configuración y por último, en Opciones avanzadas.


Orígenes de activos Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través deOrígenes de activos.

Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o gruposrecuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Estoaumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como losde PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan ala tabla de activos.

Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en laconsola de administración de Altiris.

Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS paraconsultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar ladirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debecontener la información de DNS correspondiente a los equipos de Active Directory.

Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributo networkAddress delos objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar de realizar unaconsulta DNS.

Administración de orígenes de activosEs posible recuperar datos de Active Directory o un servidor Altiris.

Uso de Asset ManagerOrígenes de activos 9



1Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos.

El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes deactivos actuales.

Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios.

2 Seleccione un dispositivo y, después, seleccione alguna de las acciones disponibles.

Administración de orígenes de evaluación de vulnerabilidadesEs posible recuperar datos de una serie de proveedores de evaluación de vulnerabilidades mediante eluso de Evaluación de vulnerabilidades. Para comunicarse con los orígenes de evaluación de vulnerabilidadesdeseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar losdatos de evaluación de vulnerabilidades.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades.

2 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades y, después, escríbalosen el dispositivo.


Administración de zonasEs posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red.

Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en laubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona ydesea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas yasignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agruparlos eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada unade las zonas.

Administración de las zonasLas zonas ayudan a categorizar los dispositivos y los orígenes de datos según la geolocalización o elASN. Es necesario agregar zonas, ya sea individualmente o mediante la importación de un archivoexportado de otro equipo, y asignar los dispositivos o los orígenes de datos a las zonas.

9 Uso de Asset ManagerAdministración de orígenes de evaluación de vulnerabilidades



1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.

2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte laconfiguración de zonas.

3 Despliegue los cambios realizados y, después, haga clic en Aceptar

Adición de una zonaEl primer paso para la administración de zonas es agregar las zonas empleadas para categorizar losdispositivos y los orígenes de datos. Se pueden agregar individualmente mediante la función Agregarzona, o bien se puede importar un archivo exportado de otro sistema. Cuando se agrega una zona, esposible editar su configuración en caso de ser necesario.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.

2 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar.

Exportación de la configuración de zonasEs posible exportar la configuración de zonas del ESM para poder importarla a otro ESM.


1Haga clic en el icono de Asset Manager y, después, en Administración de zonas.

2 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar.

3 Haga clic en Aceptar y seleccione el archivo que descargar inmediatamente.

Importación de la configuración de zonasLa función de importación permite importar un archivo de zonas tal cual está o editar los datos antesde su importación.

Antes de empezarExporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM.

Uso de Asset ManagerAdministración de zonas 9



1 Abra el archivo de configuración de zonas que desee importar.

• Si se trata de un archivo de importación de definición de zonas, tendrá ocho columnas:Comando, Nombre de zona, Nombre de principal, Geolocalización, ASN, Predeterminado, Iniciode IP y Fin de IP.

• Si es un archivo de importación de asignación de dispositivos a zonas, tendrá tres columnas:Comando, Nombre de dispositivo y Nombre de zona.

2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cadalínea cuando se importe.

• add (agregar): importar los datos de la línea tal cual están.

• edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible parael archivo de definición de zonas).

Para realizar cambios en un intervalo de subzonas, es necesario eliminar el intervalo existente y,después, agregar el intervalo con los cambios. No es posible la edición directa.

• remove (quitar): eliminar la zona que coincide con esta línea del ESM.

3 Guarde los cambios realizados y cierre el archivo.

4Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración dezonas.

5 Haga clic en Importar y seleccione el tipo de importación.

6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar.

El sistema le notificará si se detectan errores en el archivo.

7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo.

8 Despliegue los cambios a fin de actualizar los dispositivos.

Adición de una subzonaUna vez agregada una zona, es posible agregar subzonas a fin de categorizar aún más los dispositivosy eventos según la dirección IP.

Antes de empezarAgregue zonas en la ficha Administración de zonas.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración dezonas.

2 Seleccione una zona y haga clic en Agregar subzona.


9 Uso de Asset ManagerAdministración de zonas


Evaluación de activos, amenazas y riesgoMcAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades delsistema generan una lista de amenazas conocidas. Se utilizan la gravedad de estas amenazas y lacriticidad de cada activo para calcular el nivel de riesgo que para la empresa.

Administrador de activos

Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna unnivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene unúnico equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, sucriticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno deellos con una copia de seguridad, el nivel de criticidad es considerablemente menor.

Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menúEditar de la ficha Activo.

Administración de amenazas

La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, sugravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivaramenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detallesde las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de laamenaza, así como las contramedidas que se pueden utilizar.

Vistas predefinidas

Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobreactivos, amenazas y riesgo.

• Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles deamenaza, y los niveles de amenaza según el riesgo.

• Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo yproductos de protección disponibles.

• Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos.

Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús delcomponente.

Vistas personalizadas

Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas(véase Adición de una vista personalizada) que muestren los datos necesarios.

• En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarialmedia y la calificación de riesgo empresarial total.

• En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, laprotección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y lasamenazas por proveedor.

• En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activosprincipales por calificación de riesgo y las amenazas principales por calificación de riesgo.

Uso de Asset ManagerEvaluación de activos, amenazas y riesgo 9


Administración de amenazas conocidasSeleccione qué amenazas conocidas se deben usar en los cálculos de riesgo.

Cada amenaza tiene una calificación de gravedad. Esta calificación y la calificación de criticidad de losactivos se emplean para calcular la gravedad global de una amenaza para su sistema.


1En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .

2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas.

3 Seleccione una amenaza conocida y haga una de estas cosas:

• Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza.

• Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo,haga clic en Desactivar.

• Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, hagaclic en Activar.


9 Uso de Asset ManagerAdministración de amenazas conocidas


10 Administración de directivas y reglas

Es posible crear, aplicar y ver las reglas y plantillas de directiva.

Contenido Descripción del Editor de directivas El Árbol de directivas Tipos de reglas y sus propiedades Configuración de la directiva predeterminada Operaciones relacionadas con reglas Asignación de etiquetas a reglas o activos Modificación de la configuración de agregación Omisión de la acción en las reglas descargadas Ponderaciones de gravedad Visualización del historial de cambios de directiva Aplicación de cambios de directivas Administración del tráfico prioritario

Descripción del Editor de directivasEl Editor de directivas permite crear plantillas de directiva y personalizar las directivas individuales.

Las plantillas de directiva, así como la configuración de directiva de cualquier dispositivo, puedenheredar valores de sus elementos principales. La herencia permite que la configuración de directivaaplicada a un dispositivo presente infinidad de opciones de configuración, a la vez que se mantiene elnivel de simplicidad y facilidad de uso. Todas las directivas agregadas, al igual que todos losdispositivos, cuentan con una entrada en el Árbol de directivas.

En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay queactualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas).

El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos ovalores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estasconfiguraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De formapredeterminada, las opciones de configuración del resto de directivas y dispositivos heredan losvalores de la Directiva predeterminada.

Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o eldispositivo en el árbol de navegación y haga clic en el icono del Editor de directivas de la barra de

herramientas de acciones .

10


1 Barra de menús 4 Pantalla de reglas

2 Panel de ruta de navegación 5 Campo de búsqueda de etiquetas

3 Panel de tipos de reglas 6 Panel Filtros/etiquetado

Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivoseleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra lajerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de ladirectiva en el panel de ruta de navegación y haga clic en la flecha del panel de ruta de navegación,que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en el icono del

Árbol de directivas . El menú del Árbol de directivas indica las cosas que se pueden hacer con unadirectiva.

Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección devisualización de reglas. Las columnas indican los parámetros de regla específicos que se puedenajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad decambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la listadesplegable.

El panel Filtros/etiquetado permite filtrar las reglas que aparecen en el Editor de directivas de forma que solose vean las que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones.

El Árbol de directivasEl Árbol de directivas enumera las directivas y los dispositivos del sistema.

El Árbol de directivas permite:

10 Administración de directivas y reglasEl Árbol de directivas


• Navegar para ver los detalles de una directiva o un dispositivo concretos

• Agregar una directiva al sistema

• Modificar el orden de las directivas o los dispositivos

• Localizar cualquier directiva o dispositivo por su nombre

• Renombrar, eliminar, copiar o copiar y reemplazar, importar o exportar una directiva

Icono Descripción

Directiva

El dispositivo no está sincronizado

El dispositivo está preparado

El dispositivo está actualizado

El dispositivo virtual no está sincronizado

El dispositivo virtual está preparado para la aplicación

El dispositivo virtual está actualizado

El origen de datos no está sincronizado

El origen de datos está preparado para la aplicación

El origen de datos está actualizado

El ADM no está sincronizado

El DEM no está sincronizado

Administración de directivas en el Árbol de directivasEs posible administrar las directivas del sistema mediante la realización de acciones en el Árbol dedirectivas.


1En la consola de ESM, haga clic en el icono del Editor de directivas y, después, en el icono del Árbol

de directivas .



Ver las reglas deuna directiva

• Haga doble clic en la directiva. Las reglas se enumeran en la sección devisualización de reglas del Editor de directivas.

Convertir unadirectiva ensecundaria deotra

• Seleccione el elemento secundario, arrástrelo y suéltelo en el principal.

Solo se pueden arrastrar y soltar dispositivos en directivas.

Localizar unadirectiva o undispositivo

• Escriba el nombre en el campo de búsqueda.

Administración de directivas y reglasEl Árbol de directivas 10



Agregar unanueva directiva

1 Seleccione la directiva a la que desee agregar la nueva directiva y haga clic

en el icono Elementos de menú del árbol de directivas .

2 Haga clic en Nueva, introduzca un nombre para la directiva y haga clic enAceptar.

Cambiar elnombre de unadirectiva

1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementosde menú del árbol de directivas.

2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar.

Eliminar unadirectiva

1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos demenú del árbol de directivas.

2 Haga clic en Eliminar y después en Aceptar en la página de confirmación.

Copiar unadirectiva

1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos demenú del árbol de directivas.

2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clicen Aceptar.

Mover dispositivosa una directiva

1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos

de menú del árbol de directivas .

2 Resalte la opción Mover y seleccione la directiva a la que desee mover losdispositivos.

Copiar yreemplazar unadirectiva

1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos demenú del árbol de directivas y seleccione Copiar y reemplazar.

2 En Seleccionar directiva, seleccione la directiva que desee reemplazar.

3 Haga clic en Aceptar y, a continuación, en Sí.

La configuración de la directiva copiada se aplicará a la directiva reemplazada,pero el nombre seguirá siendo el mismo.

10 Administración de directivas y reglasEl Árbol de directivas



Importar unadirectiva

La importación se produce desde el dispositivo seleccionado hacia abajo.1 Seleccione en el árbol el nivel al que desee importar la nueva directiva, haga

clic en el icono Elementos de menú del árbol de directivas y seleccione Importar.

2 Busque el archivo que desee importar y cárguelo.

Si aparece un mensaje de error, véase Importar directiva para encontraruna solución.

3 Seleccione las opciones de importación que desee usar y, a continuación,haga clic en Aceptar.

Exportar unadirectiva

1 Seleccione la directiva que desee exportar.La exportación incluye desde el nodo seleccionado hacia arriba en lajerarquía. Solo se exportan las reglas estándar con configuraciónpersonalizada o las reglas personalizadas, así que es necesario seleccionaruna de estas opciones para que se active la función Exportar.

2 Haga clic en Menú y seleccione Exportar.

3 Seleccione las opciones de exportación que desee emplear, haga clic enAceptar y seleccione la ubicación para guardar el archivo de directivaexportado.

3 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clic

en el icono de cierre .

Tipos de reglas y sus propiedadesEl panel Tipos de regla de la página Editor de directivas permite acceder a todas las reglas por tipo.

Es posible importar, exportar, agregar y editar las reglas, así como realizar diversas operaciones conellas cuando se seleccionan. Las funciones que se pueden llevar a cabo están limitadas según el tipode regla.

Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elementoprincipal. La regla (excepto en el caso de las reglas de Variable y Preprocesador) se marca con un iconopara indicar cómo hereda su uso, y el icono cuenta con un punto en la esquina inferior izquierda si lacadena de herencia se ha roto en algún punto por debajo de la fila actual.

Icono Descripción

Indica que el uso de este elemento está determinado por la configuración del elementoprincipal. La mayoría de las reglas están configuradas para heredar la configuración de formapredeterminada, pero el uso se puede cambiar.

Indica que la cadena de herencia está rota en este nivel y el valor de herencia estádesactivado.

Se emplea el uso actual de la regla cuando la cadena de herencia se ha roto.

Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de estepunto no heredan nada que se encuentre en un nivel superior de la cadena. Estaconfiguración resulta útil para forzar a las reglas a usar los valores predeterminados.

Indica un valor personalizado; el valor se configura de forma distinta a la predeterminada.

Administración de directivas y reglasTipos de reglas y sus propiedades 10


Propiedades

Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas deese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades puedenencontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete.

Estapropiedad...

Permite...

Acción Establecer la acción que realiza esta regla. Las opciones disponibles dependen deltipo de regla.

Los elementos de lista negra no se pueden mover a su destino; si se seleccionaPaso en la columna Lista negra, el sistema lo cambia automáticamente por Alerta.

Gravedad Seleccione la gravedad de la porción de regla cuando se active la regla. Lagravedad puede oscilar entre 1 y 100, siendo 100 la gravedad más alta.

Lista negra Permite crear automáticamente una entrada de lista negra por cada regla cuandose activa en el dispositivo. Puede elegir entre incluir en la lista negra solo ladirección IP o la dirección IP y el puerto.

Agregación Establezca para cada regla la agregación de los eventos creados cuando se activela regla. La configuración de agregación definida en las páginas de Agregación deeventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidasen el Editor de directivas.

Copiar paquete Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de quese produzca una pérdida de comunicación. Si existe una copia de los datos depaquete, es posible acceder a la información a través de su recuperación.

Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor.

VariablesUna variable es una configuración global o un marcador de posición para información específica decada usuario o sitio. Muchas reglas hacen uso de las variables.

Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificarvariables.

Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puedevariar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece laposibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen amodo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la páginaNueva variable.

Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valorescorrespondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir unnombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizarla efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NETde acuerdo con la red protegida por el dispositivo concreto.

En esta tabla se muestra una lista de variables habituales y sus valores predeterminados.

10 Administración de directivas y reglasTipos de reglas y sus propiedades


Nombre devariable

Descripción Valorpredeterminado

Descripciónpredeterminada

EXTERNAL_NET Cualquiera fuera de la redprotegida

!$HOME_NET Puerto 80

HOME_NET Espacio de dirección de la red localprotegida: (10.0.0.0/80)

Cualquiera Igual queHOME_NET

HTTP_PORTS Puertos de servidor web: 80 u80:90 para indicar un intervaloentre 80 y 90

80 Cualquier puertoexcepto el deHTTP_PORTS

HTTP_SERVE RS Direcciones de servidores web:192.168.15.4 o[192.168.15.4,172.16.61.5]

$HOME_NET Igual queHOME_NET

SHELLCODE_PORTS Cualquier cosa excepto puertos deservidor web

!$HTTP_PORTS Igual queHOME_NET

SMTP Direcciones de servidores decorreo


SMTP_SERVERS Direcciones de servidores decorreo


SQL_SERVERS Direcciones de servidores de basede datos SQL


TELNET_SERVERS Direcciones de servidores deTelnet


Las variables incluidas en el sistema de fábrica se pueden modificar. También es posible agregar,modificar o eliminar las variables personalizadas.

Cabe la posibilidad de asignar tipos a las variables personalizadas. Los tipos de variables se usan alfiltrar reglas para generar informes, y determinan el campo donde están disponibles las variables a lahora de agregar o modificar una regla. Los tipos de variables son globales por naturaleza, de formaque todos los cambios realizados se reflejan en todos los niveles de la directiva.

Administración de variablesCuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabodiversas acciones a fin de administrar las variables, tanto personalizadas como predefinidas.


1 Haga clic en el icono del Editor de directivas.

2 En el panel Tipos de regla, seleccione Variable.



Agregar una nuevacategoría

1 Seleccione Nueva | Categoría.

2 Escriba un nombre para la nueva categoría y haga clic en Aceptar.

Agregar unavariablepersonalizada

1 En el panel de visualización de reglas, seleccione la categoría y haga clic enNueva.

2 Seleccione Variable y defina la configuración solicitada.





Modificar unavariable

1 En el panel de visualización de reglas, seleccione la variable que deseemodificar.

2 Seleccione Editar y, después, haga clic en Modificar.

3 Modifique el valor o la descripción y haga clic en Aceptar.

Eliminar unavariablepersonalizada

1 En el panel de visualización de reglas, seleccione la variable que deseeeliminar.

2 Seleccione Editar y haga clic en Eliminar.

Importar unavariable

1 Seleccione Archivo y haga clic en Importar | Variables.

2 Haga clic en Importar, busque el archivo y cárguelo.

El archivo de importación debe ser un archivo .txt con la información en elformato siguiente: NombreVariable;ValorVariable; NombreCategoría(opcional); Descripción (opcional). Si falta algún campo, debe existir unpunto y coma que actúe como marcador de posición.

Modificar el tipo devariablepersonalizada

1 Seleccione la variable personalizada.

2 Haga clic en Editar y seleccione Modificar.

3 Cambie el tipo de variable.

Cuando el tipo de variable se establece con un valor distinto de No hay ningúntipo seleccionado y se confirma, no es posible cambiar el valor.


Detección de anomalías y secuestro de sesiones del protocolo TCPEs posible detectar y alertar de anomalías relacionadas con el protocolo TCP, así como comprobar laexistencia de sesiones TCP secuestradas mediante la variable de preprocesador Stream5.


1En la consola de ESM, haga clic en el icono del Editor de directivas .

2 En el panel Tipos de regla, haga clic en Variable.

3 En el panel de visualización de reglas, haga clic en Preprocesador y seleccione STREAM5_TCP_PARAMS.

4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor:• Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy

first.

• Para comprobar la existencia de secuestro de sesiones TCP, agregue detect_anomaliescheck_session_hijacking tras policy first.



Reglas de preprocesadorLos preprocesadores proporcionan una forma de unificar la detección de anomalías y la inspección depaquetes en los dispositivos McAfee Nitro IPS e IDS.

Los preprocesadores son vitales para la detección precisa de muchas reglas. Use los preprocesadoresaplicables a su configuración de red. Los parámetros de los preprocesadores se pueden cambiarmediante la edición de la variable de preprocesador en cuestión en el tipo de regla Variables del Editor dedirectivas.

Tipo Descripción

Normalización deRPC

Normaliza el tráfico específico del protocolo RPC de modo uniforme únicamente confines de detección. Este preprocesador puede evitar que los ataques relacionadoscon la fragmentación de RPC omitan el dispositivo Nitro IPS.

Detección debarrido de puertos

Genera un evento si detecta un barrido de puertos en los dispositivos del lado deconfianza de la red.

Una vez configurada correctamente la variable HOME_NET, deberá modificar lavariable SFPORTSCAN_PARMS (Variables | preprocesador) de forma que tenga esteaspecto:

proto { all } scan_type { all } sense_level { medium } ignore_scannersEsto se agrega a la variable sfportscan para eliminar lo que Nitro IPS reconocecomo barridos de puertos procedentes de HOME_NET. Las redes en las que eldispositivo Nitro IPS o IDS está situado cerca de un enrutador o firewall que utilizala traducción de direcciones de red (NAT) parecen realizar barridos de puertos en eldispositivo Nitro IPS. Al modificar esta variable, disminuyen los eventos que parecenfalsos positivos.

HOME_NET no se puede configurar con el valor “any” para que ignore_scannersfuncione correctamente.

ZipZap Cuando sirven contenido web (HTTP), muchos servidores aceptan solicitudes de losnavegadores web, lo que indica que el contenido web se puede comprimir antes desu envío. Aunque esto ahorra ancho de banda en la red, las páginas webcomprimidas no se pueden analizar mediante un dispositivo. El preprocesadorZipZap hace que el servidor web devuelva los datos con un formato sin procesar, sincomprimir y analizable. Al activar este preprocesador, aumenta el ancho de bandautilizado por el tráfico web.

Desfragmentador deIP basado endestino

Modela los destinos reales de la red en lugar de simplemente modelar los protocolosy buscar ataques en ellos. Utiliza la estructura de datos sfxhash y listas vinculadaspara la gestión de datos de forma interna, lo que le permite ofrecer un rendimientopredictivo y determinista en cualquier entorno, siendo esto de gran ayuda para laadministración en entornos con mucha fragmentación.



Tipo Descripción

Normalización desolicitud web

Normaliza las solicitudes web de manera uniforme únicamente con fines dedetección. Siempre está activada, y no es posible realizar cambios. Hay dos tipos depreprocesadores de normalización de solicitudes web, uno para las versiones hastala 8.2.x y otro para las versiones 8.3.0 y posteriores.

Este preprocesador detecta los siguientes ataques:• Ataques de cruce de directorios web (http://algo.com/./ataque.cmd)

• Cadenas con doble codificación (http://algo.com/%25%32%35%25%33%32%25%33%30ataque.cmd)

• Normalización de Unicode

• Caracteres no válidos en URI de solicitudes web

Reensamblado deTCP basado endestino y rastreo desesiones TCP/UDP

Rastrea las sesiones. Es un preprocesador Stream5, así que las palabras clave deregla "flow" y "flowbits" se pueden usar con el tráfico tanto TCP como UDP.

Administración de reglas de preprocesadorEs posible activar o desactivar cada uno de los preprocesadores, además de establecer su herencia.


1 En el panel Tipos de regla del Editor de directivas, haga clic en IPS | Preprocesador.

2 Seleccione Heredar, Activado o Desactivado para las reglas activas.

Reglas de firewallLas reglas de firewall se usan para detectar los eventos de red en función de la información de lospaquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.

La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicialencontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Lasreglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. Tambiénrastrean la velocidad y el tamaño del tráfico de red.

Estos son los tipos de reglas de firewall:

• Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas conotras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración deconexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar elnúmero de segundos antes de que se active la regla. Para ver detalles más específicos sobre cadaregla, consulte la sección de detalles en la parte inferior de la página.

• Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IPinterna reservada se detecta entrando en la red a través de un dispositivo, se activa la reglaantifalsificación.

• Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían conorigen o destino en una dirección IP o un puerto incluidos en la lista negra.

• DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo.

• IPv6: detecta el tráfico IPv6.

• Port-Block (Bloqueo de puertos): bloquea ciertos puertos.



Detección de anomalías

Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una reglaque solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de lacategoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían notener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasaproporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estosparámetros (véase Asistente de detección de anomalías).

Excepciones de firewall

Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar porel firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válidaprocede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IPfalsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla defirewall.

También se puede considerar una excepción como una excepción a los patrones definidos en otrasexcepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir unadirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a unaregla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puedeexcluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y laselección de la casilla.

A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas lasdirecciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 estáactiva para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones yescriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no alresto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista deexcepciones.

Adición de una regla de firewall personalizadaPor lo general, las reglas de firewall predeterminadas son suficientes para proteger la red. Noobstante, puede haber situaciones en las que sea necesario agregar reglas específicas para un entornoo un sistema protegidos.


1 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Firewall.

2 Seleccione Nueva y, después, haga clic en Regla de firewall.


Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si

hace clic en el icono de filtrado , se borrará el filtro.

Adición de excepciones de firewallEs posible agregar excepciones a las reglas de firewall para permitir que los eventos de red de losprotocolos, direcciones IP o puertos especificados pasen a través del firewall.




1 En el Editor de directivas, seleccione IPS | Firewall.

2 En el panel de visualización de reglas, haga clic en la regla a la que desee agregar una excepción.

Para que sea más fácil localizar la regla, utilice los filtros del panel Filtros/etiquetado (véase Adición dereglas de filtrado).

3 Seleccione Nueva y, después, haga clic en Excepción de firewall.

4 Haga clic en Agregar y seleccione o escriba los valores que definen la excepción.


Reglas de inspección profunda de paquetes (DPI)Las reglas de inspección profunda de paquetes (Deep Packet Inspection, DPI) evalúan el contenido deun paquete y lo comparan con los patrones de las firmas de reglas. Si hay alguna coincidencia, selleva a cabo la acción especificada.

El filtro BASE (en el panel Filtros/etiquetado) proporciona protección frente a intrusiones conocidas quepodrían dañar un sistema o sus datos. Lo mismo se aplica a los filtros MALWARE y VIRUS. Los filtrosDIRECTIVA y MULTIMEDIA inhiben actividades de red (o alertan sobre ellas) asociadas conespecificaciones de uso de la red definidas por el usuario, pero no asociadas a intrusiones de redpeligrosas en potencia. Estos son los tipos generales de grupos de filtros:

• Reglas protectoras (BASE, MALWARE, PERÍMETRO y VIRUS)

• Reglas de directiva (CHAT, MULTIMEDIA, PEERTOPEER, DIRECTIVA y SECURE APPLICATIONGATEWAY)

Por lo general, las reglas predeterminadas son suficientes para proteger la red. No obstante, puedehaber situaciones en las que se necesiten reglas específicas para un entorno o un sistema protegidos.Es posible agregar reglas de inspección profunda de paquetes (DPI) al ESM (véase Adición de reglasde inspección profunda de paquetes (DPI)).

Adición de reglas de inspección profunda de paquetes (DPI)Agregue una regla de inspección profunda de paquetes (DPI) cuando sea necesaria en un entorno o unsistema protegidos.


1 En el Editor de directivas, seleccione Nitro IPS | DPI.

2 Haga clic en Nueva y seleccione Regla de DPI.


Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Sihace clic en el icono de filtro, el filtrado se eliminará y se mostrarán todas las reglas de inspecciónprofunda de paquetes (DPI).

Adición del atributo de inspección profunda de paquetes (DPI)Cuando se agrega o edita una regla de inspección profunda de paquetes (DPI), uno de los pasosnecesarios es asignar atributos a la regla. Estos atributos definen la acción para la regla. Es posible



agregar y eliminar opciones personalizadas en la lista existente, de manera que se puedan asignar auna regla.


1 En el Editor de directivas, seleccione IPS | DPI | Agregar.

2 En la lista desplegable, seleccione la categoría del atributo.

3 En el campo Opciones, seleccione la acción asociada con este atributo.

4 Introduzca un valor para la opción seleccionada y haga clic en Aceptar.

El nombre y el valor de la opción se agregarán a la tabla Opciones de regla. Seleccione el valor paraeditarlo o eliminarlo.

Reglas internasEl tipo de regla Interno contiene reglas con ID de firma entre 3 000 000 y 3 999 999, que son alertasinternas y no tienen firmas como otras reglas. Estas reglas solo pueden estar activadas odesactivadas.

Este tipo de regla solo está disponible cuando se selecciona un dispositivo virtual o Nitro IPS en elárbol de navegación del sistema.

Administración de reglas internasEs posible ver la lista de las reglas internas existentes o cambiar su estado.


1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS.

2 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Interno.

3 En la columna Activar, haga clic en Seleccionar todo, No seleccionar nada o bien seleccione reglasindividuales o anule su selección.

Reglas de filtradoLas reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe losdatos definidos.

Orden de los datos

Las reglas de filtrado se escriben en el receptor con el siguiente orden de datos.

1 Todas la reglas no aplicables a todo.

a detención = verdadero y analizar = falso y registrar = falso

b detención = verdadero y analizar = verdadero y registrar = verdadero

c detención = verdadero y analizar = verdadero y registrar = falso

d detención = verdadero y analizar = falso y registrar = verdadero

2 Todas las reglas aplicables a todo.



Orden de las reglas

Si cuenta con derechos de Administrador de directivas, puede definir el orden en que desee que se ejecutenlas reglas de filtrado. Estas reglas, posteriormente, se ejecutarán en el orden más adecuado paragenerar los datos necesarios (véase Establecimiento del orden de las reglas de filtrado y ASP).

Adición de reglas de filtradoExiste la posibilidad de agregar reglas de filtrado al Editor de directivas.


1 En el Editor de directivas, seleccione Receptor | Filtro.

2 Seleccione Nuevo y, después, haga clic en Regla de filtrado.


4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de lacolumna Acción y haga clic en activada.

Reglas del analizador de syslog avanzado (ASP)El ASP proporciona un mecanismo para analizar los datos contenidos en mensajes de Syslog enfunción de las reglas definidas por el usuario.

El analizador de syslog avanzado (ASP) emplea reglas para identificar en qué parte del mensajeresiden datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres deusuario y acciones.

Con el ASP, es posible escribir reglas para revisar orígenes de registro complejos en sus servidoresLinux y UNIX.

Esta funcionalidad requiere conocimientos sobre la utilización de expresiones regulares.

Cuando el sistema recibe un registro de ASP, compara el formato de hora del registro con el formatoespecificado en la regla de ASP. Si el formato de hora no coincide, el sistema no procesa el registro.

Para aumentar las posibilidades de que el formato de hora coincida, agregue varios formatos de horapersonalizados (véase Adición del formato de hora a las reglas de ASP).

Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas deASP (véase Establecimiento del orden de las reglas de filtrado y ASP).

Adición de una regla de ASP personalizadaEl editor Regla de analizador de syslog avanzado permite crear reglas para analizar los datos de registro deASP.


1 En el Editor de directivas, seleccione Receptor | Analizador de syslog avanzado.

2 Seleccione Nueva y haga clic en Regla de analizador de syslog avanzado.

3 Haga clic en cada una de las fichas y rellene la información solicitada.




Establecimiento del orden de las reglas de filtrado y ASPSi dispone de derechos de Administrador de directivas, ahora puede establecer el orden de ejecución de lasreglas de filtrado o de analizador de syslog avanzado (ASP). Esta función permite ordenar las reglasde modo eficiente para que proporcionen los datos más necesarios.



2 En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación,seleccione un origen de datos en el campo Tipo de origen de datos.

El panel de la izquierda se rellena con las reglas que estén disponibles para su ordenación. Lasreglas ordenadas aparecen en el panel de la derecha.

3 En las fichas Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de laizquierda al de la derecha (arrástrela y colóquela o bien sírvase de las flechas) y colocarla porencima o debajo de Reglas sin ordenar.

Reglas sin ordenar representa las reglas del panel de la izquierda, que son aquellas que tienen el ordenpredeterminado.

4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar loscambios.

Adición de formatos de hora a las reglas de ASPCuando el sistema recibe un registro de analizador de syslog avanzado (ASP), el formato de hora debecoincidir con el formato especificado en la regla de ASP.

Es posible agregar varios formatos de hora personalizados para aumentar las posibilidades de que elformato de hora del registro coincida con alguno de los indicados.



2 En el panel Tipos de regla, haga clic en Receptor | Analizador de syslog avanzado.

3 Una vez descargadas las reglas de ASP, realice una de las acciones siguientes:

• Para editar una regla existente, haga clic en ella y, después, en Editar | Modificar.

• Para agregar una regla nueva, haga clic en Nuevo | Regla de analizador de syslog avanzado y, después,rellene las fichas General, Análisis y Asignación de campos.

4 Haga clic en la ficha Asignación y, después, en el icono situado sobre la tabla Formato de hora.

5 Haga clic en el campo Formato y seleccione el formato de hora.



6 Seleccione los campos de hora que desee que empleen este formato.

Primera vez y Última vez hacen referencia a la primera y la última vez que se generó el evento. Tambiénaparecerá cualquier campo de hora de Tipo personalizado agregado al ESM (véase Filtros de tipospersonalizados).

7 Haga clic en Aceptar y rellene el resto de información en la ficha Asignación.

Reglas de origen de datosLa lista de reglas de origen de datos incluye reglas tanto predefinidas como de aprendizajeautomático.

El receptor aprende de forma automática las reglas de origen de datos a medida que procesa lainformación que le envían los orígenes de datos asociados.

La opción Origen de datos del panel Tipos de regla solo resulta visible cuando se seleccionan una directiva,un origen de datos, el Analizador de syslog avanzado o un receptor en el árbol de navegación del sistema. Elárea de descripción situada en la parte inferior de la página ofrece información detallada sobre la reglaseleccionada. Todas las reglas tienen una configuración de gravedad que dicta su prioridad asociada.La prioridad afecta a la forma en que se muestran las alertas generadas para estas reglas con fines degeneración de informes.

Las reglas de origen de datos tienen una acción predeterminada definida. El receptor la asigna alsubtipo de evento asociado a la regla. Es posible cambiar esta acción (véase Establecimiento deacciones de reglas de origen de datos).

Establecimiento de acciones de reglas de origen de datosLas reglas de origen de datos tienen una acción predeterminada definida. El receptor asigna estaacción al subtipo de evento asociado a la regla. Es posible modificar esta acción.

Cabe la posibilidad de establecer el valor del subtipo de evento por cada regla de origen de datos. Estosignifica que se pueden establecer acciones de regla para paneles, informes, reglas de análisis oalarmas con distintos valores, tales como el resultado de una regla de acceso selectivo (permitir/denegar).


1En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas y,a continuación, seleccione Receptor | Origen de datos en el panel Tipos de regla.

2 Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación,seleccione la nueva acción.

• Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta.

• Seleccione Desactivar si no desea recopilar eventos para la regla en cuestión.

• Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción.

Administración de reglas de origen de datos de aprendizaje automáticoCabe la posibilidad de ver una lista de todas las reglas de origen de datos de aprendizaje automático yeditarlas o eliminarlas.




1 En el Editor de directivas, seleccione Receptor | Origen de datos.

2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior delpanel.

3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta

.

En el panel de visualización aparecerán todas las reglas de origen de datos de aprendizajeautomático.

4 Seleccione la regla que desee editar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglasde aprendizaje automático.

• Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic enAceptar.

• Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic enAceptar.

Reglas de eventos de WindowsLas reglas de eventos de Windows se usan para generar eventos relacionados con Windows.

Se trata de reglas de origen de datos para eventos de Windows y son independientes del tipo de reglade origen de datos porque constituyen caso de uso común. Todas las reglas de este tipo estándefinidas por McAfee. No es posible agregarlas, modificarlas ni eliminarlas, pero cabe la posibilidad decambiar la configuración de sus propiedades.

Reglas de ADMMcAfee ADM consta de una serie de dispositivos de red con tecnología de motor de ICE para lainspección profunda de paquetes (Deep Packet Inspection, DPI).

El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos deprotocolo y contenido que puede identificar y extraer contenido a partir del tráfico de red sin procesaren tiempo real. Es capaz de volver a ensamblar y descodificar por completo el contenido de nivel deaplicación, para lo cual transforma los crípticos flujos de paquetes de red en contenido fácilmentelegible, como si se leyera en un archivo local.

El motor de ICE puede identificar automáticamente protocolos y tipos de contenido sin necesidad deconfiar en números de puerto de TCP o extensiones de archivo concretos. El motor de ICE no empleafirmas para realizar los análisis y la descodificación; en su lugar, sus módulos implementananalizadores completos para cada protocolo o tipo de contenido. Esto tiene como resultado unaidentificación y una descodificación extremadamente precisas del contenido, y permite identificar yextraer el contenido aunque esté comprimido o codificado de cualquier otra forma (es decir, que nopasa por la red sin cifrar).

Gracias a la identificación y descodificación altamente precisas, el motor de ICE puede ofrecer unavisión del tráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir unflujo de documento PDF que pasó por la red dentro de un archivo zip a modo de datos adjuntoscodificados en BASE-64 con dirección a una dirección de correo electrónico SMTP y procedente de unservidor proxy SOCKS.



Este reconocimiento de aplicaciones y documentos permite al ADM proporcionar un contexto deseguridad inestimable. Puede detectar amenazas que no se detectan fácilmente mediante un sistemade detección de intrusiones tradicional o Nitro IPS, tales como:

• Fuga de información y documentos de carácter confidencial o infracciones de la directiva decomunicación.

• Tráfico de aplicación no autorizado (por ejemplo, quién utiliza Gnutella).

• Aplicaciones utilizadas de formas inesperadas (por ejemplo, HTTPS en un puerto no estándar).

• Documentos potencialmente maliciosos (por ejemplo, un documento que no coincide con suextensión).

• Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado).

El ADM también detecta patrones de tráfico malicioso mediante la localización de anomalías en losprotocolos de transporte y aplicación (por ejemplo, una conexión RPC que tiene un formato incorrectoo que el puerto TCP es 0).

Aplicaciones y protocolos compatibles

Existen más de 500 aplicaciones y protocolos compatibles en los que el ADM puede supervisar,descodificar y detectar anomalías. Esta lista incluye algunos ejemplos:

• Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc.

• Correo electrónico: MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

• Mensajería instantánea: AOL, ICQ, Jabber, MSN, SIP y Yahoo

• Protocolos de transferencia de archivos: FTP, HTTP, SMB y SSL

• Protocolos de compresión y extracción: BASE64, GZIP, MIME, TAR, ZIP, etc.

• Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU

• Paquetes de instalación: paquetes de Linux, archivos CAB de InstallShield, archivos CAB deMicrosoft

• Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital eiconos de Windows

• Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio,SHOUTCast, etc.

• Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4 , Vivo, Digital Video (DV), MJPEG,etc.

• Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes,archivos ejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollode software

• Otros protocolos: impresora de red, acceso a shell, VoIP, y peer-to-peer



Conceptos clave

Para comprender cómo funciona el ADM, es fundamental conocer los siguientes conceptos:

• Objeto: un objeto es un elemento individual de contenido. Un mensaje de correo electrónico es unobjeto, pero también un contenedor de objetos, ya que consta del cuerpo del mensaje y de datosadjuntos. Una página HTML es un objeto que puede contener otros objetos, tales como imágenes.Un archivo .zip y cada uno de los archivos contenidos en él son objetos. El ADM desempaqueta elcontenedor y trata cada uno de los objetos que hay dentro como un objeto en sí mismo.

• Transacción: una transacción es un envoltorio que rodea la transferencia de un objeto(contenido). Una transacción contiene como mínimo un objeto; no obstante, si ese objeto es uncontenedor, como un archivo .zip, la transacción podría contener varios objetos.

• Flujo: un flujo es la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones.

Reglas de DEMEl auténtico poder de McAfee DEM radica en la forma en que captura y normaliza la informacióncontenida en los paquetes de red.

El DEM también tiene la capacidad de crear reglas complejas mediante expresiones lógicas y regularespara la coincidencia con patrones, lo cual ofrece la posibilidad de supervisar los mensajes de bases dedatos o aplicaciones casi sin falsos positivos. Los datos normalizados (métricas) varían según laaplicación, ya que algunos mensajes y protocolos de aplicación tienen más información que otros. Lasexpresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis, sino también paraasegurarse de que la métrica sea compatible con la aplicación.

El DEM incluye un grupo de reglas predeterminado. Las reglas de conformidad predeterminadassupervisan los eventos de base de datos significativos, tales como inicio/cierre de sesión, actividad deadministrador de base de datos, como por ejemplo cambios de DDL, actividad sospechosa y ataquesde base de datos, que suelen ser necesarios para satisfacer los requisitos de conformidad. Es posibleactivar o desactivar cada una de las reglas predeterminadas y establecer el valor de los parámetrosque el usuario puede definir.

Estos son los tipos de reglas de DEM: base de datos, acceso a datos, descubrimiento y rastreo detransacciones.

Tipos de regla Descripción

Base de datos El grupo de reglas predeterminado del DEM incluye reglas para todos los tipos debases de datos admitidos y normativas habituales tales como SOX, PCI, HIPAA yFISMA. Es posible activar o desactivar cada una de las reglas predeterminadas yestablecer el valor de cada uno de los parámetros que el usuario puede definir.

Además de usar las reglas incluidas en el DEM, es posible crear reglas complejasmediante expresiones lógicas y regulares. Esto permite supervisar los mensajesde base de datos o aplicación prácticamente sin falsos positivos. Ya que algunosmensajes y protocolos de aplicación tienen más información que otros, los datosnormalizados (métricas) varían según la aplicación.

Las reglas pueden ser tan complejas como sea necesario y permiten la inclusiónde operadores tanto lógicos como de expresión regular. Es posible aplicar unaexpresión de regla a una o varias métricas disponibles para la aplicación.

Acceso a datos Las reglas de acceso a datos del DEM proporcionan la capacidad de rastrear rutasde acceso desconocidas a la base de datos y enviar alertas en tiempo real.Algunas infracciones habituales en los entornos de base de datos, como que losdesarrolladores de aplicaciones accedan a los sistemas de producción mediante losID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando secrean las reglas de acceso a datos apropiadas.



Tipos de regla Descripción

Descubrimiento Las reglas de descubrimiento de base de datos del DEM proporcionan una lista deexcepciones de servidores de base de datos, de los tipos admitidos por el ESM,que están en la red pero no se supervisan. Esto permite a un administrador deseguridad descubrir los nuevos servidores de base de datos agregados al entornoy los puertos de escucha no autorizados abiertos para acceder a los datos a travésde las bases de datos. Las reglas de descubrimiento (Editor de directivas | Tipo de reglade DEM | Descubrimiento) son reglas predefinidas que no se pueden agregar ni editar.Cuando se activa la opción de descubrimiento la página de servidores de base dedatos (Propiedades de DEM | Servidores de base de datos | Activar), el sistema emplea estasreglas para buscar servidores de base de datos presentes en la red pero noincluidos bajo el DEM en el árbol de navegación del sistema.

Rastreo detransacciones

Las reglas de rastreo de transacciones permiten realizar un seguimiento de lastransacciones de base de datos y conciliar los cambios automáticamente. Porejemplo, el lento proceso de rastrear los cambios de base de datos y conciliarlosmediante órdenes de trabajo autorizadas en el sistema de fichas de cambioexistente puede automatizarse por completo.

El uso de esta función se comprende mejor con un ejemplo:El administrador de la base de datos, como parte del procedimiento normal,ejecutaría el procedimiento almacenado de etiqueta de inicio(spChangeControlStart en este ejemplo) en la base de datos donde se deberealizar el trabajo antes de que empiece realmente el trabajo autorizado. Lafunción Rastreo de transacciones del DEM permite al administrador de base de datosincluir un máximo de tres parámetros de cadena opcionales a modo de argumentopara la etiqueta en la secuencia correcta:1 ID

2 Nombre o iniciales del administrador

3 Comentario

Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’Cuando el DEM detecta la ejecución del proceso spChangeControlStart, nosolamente registra la transacción, sino también los parámetros (ID, nombre,comentario) a modo de información especial.

Una vez terminado el trabajo, el administrador de base de datos ejecuta elprocedimiento almacenado de etiqueta de fin (spChangeControlEnd) y, si procede,incluye un parámetro de ID, que debe ser el mismo que el ID de la etiqueta deinicio. Cuando el DEM detecta la etiqueta de fin (y el ID), puede agrupar todas lasactividades entre la etiqueta de inicio (que tiene el mismo ID) y la etiqueta de fincomo una transacción especial. Entonces es posible informar por transacciones ybuscar por ID, que en este ejemplo de conciliación de órdenes de trabajo podríaser el número de control de cambio.

También es posible utilizar el rastreo de transacciones para registrar el inicio y elfin de una ejecución de orden o las sentencias de inicio y confirmación a fin deinformar mediante transacciones en lugar de consultas.



Referencias de métricas para reglas de DEMA continuación se ofrece una lista de referencias de métricas para las expresiones de reglas del DEM,las cuales están disponibles en la página Componente de expresión cuando se agrega una regla en el DEM.

Nombre Definición Tipos de bases de datos

Nombre deaplicación

El nombre que identifica el tipo de base de datos alque se aplica la regla.

MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PIServer, InterSystemsCache

Hora de inicio Marca de tiempo de inicio de la consulta. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

Desviación de horade inicio

Captura las desviaciones con respecto a la hora delservidor.

MSSQL, Oracle, DB2,Sybase, MySQL, PostgreSQL,Teradata, PIServer,InterSystems Cache

IP del cliente Dirección IP del cliente. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

Nombre del cliente Nombre del equipo cliente. MSSQL, Oracle, DB2,Sybase, Informix, PIServer,InterSystems Cache

PID del cliente ID de proceso asignado por el sistema operativo alproceso del cliente.

MSSQL, DB2, Sybase,MySQL

Puerto del cliente Número de puerto de la conexión de socket delcliente.

MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

Nombre delcomando

Nombre del comando de MySQL. MSSQL, Oracle, DB2,Sybase, Informix

Tipo de comando Tipo de comando de MySQL: DDL, DML, Show oReplication.


Datos entrantes Número total de bytes del paquete de consultaentrante.


Datos salientes Número total de bytes del paquete de resultadosaliente.





Nombre de la basede datos

Nombre de la base de datos a la que se accede. MSSQL, DB2, Sybase,MySQL, Informix,PostgreSQL, PIServer,InterSystems Cache

Hora de fin Marca de tiempo de fin de la consulta. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

Mensaje de error Contiene el texto de mensaje asociado con lasvariables SQLCODE y SQLSTATE de la estructura dedatos SQLCA, que proporciona información sobre eléxito o el fracaso de las sentencias SQL solicitadas.

DB2, Informix

Número de mensaje Un número de mensaje exclusivo asignado por elservidor de base de datos a cada error.

MSSQL, Oracle, Sybase,MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Gravedad delmensaje

Número de nivel de gravedad entre 10 y 24 queindica el tipo y la gravedad del problema.

MSSQL, Sybase, Informix

Texto de mensaje Texto completo del mensaje. MSSQL, Oracle, Sybase,MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Hora de red Tiempo que se tarda en enviar el conjunto deresultados de vuelta al cliente (response_time -server_response_time).


Nombre de clientede NT

Nombre del equipo Windows donde el usuario inicióla sesión.

MSSQL

Nombre de dominiode NT

Nombre del dominio de Windows donde el usuarioinició la sesión.

MSSQL

Nombre de usuariode NT

Nombre de inicio de sesión de usuario de Windows. MSSQL

Nombre del objeto MSSQL, Oracle, DB2,Sybase, MySQL, Informix

Nombre de usuariodel SO

Oracle

Nombre del paquete Un paquete contiene estructuras de control utilizadaspara ejecutar sentencias SQL. Los paquetes seproducen durante la preparación del programa y secrean utilizando el subcomando BIND PACKAGE deDB2.

DB2

Paquetes entrantes Número de paquetes que componen la consulta. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache




Paquetes salientes Número de paquetes que componen el conjunto deresultados devuelto.


Contraseña MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, InterSystemsCache

Longitud decontraseña

MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, InterSystemsCache

Tamaño de bloquede consulta

Un bloque de consulta es la unidad básica detransmisión para los datos de consultas y conjuntosde resultados. La especificación del tamaño delbloque de consulta permite al solicitante, que puedetener limitaciones en cuanto a recursos, controlar lacantidad de datos que se devuelven en cadamomento.

DB2, Informix

Estado de salida deconsulta

Estado de salida de una consulta. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Número de consulta Un número exclusivo asignado a cada consulta por elagente de supervisión AuditProbe; empieza desdecero para la primera consulta y va aumentando deuno en uno.

MSSQL, Oracle, DB2,Sybase, MySQL, PostgreSQL,Teradata, PIServer,InterSystems Cache

Texto de consulta La consulta SQL real enviada por el cliente. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

Tipo de consulta Un número entero asignado a los distintos tipos deconsultas.

MSSQL, Oracle, Sybase

Nombre de usuarioreal

Nombre de inicio de sesión de usuario del cliente.

Contenido derespuesta

MSSQL, Oracle, DB2,Sybase, MySQL, Informix

Tiempo de respuesta Tiempo de respuesta de un extremo a otro de laconsulta (server_response_time + network_time).

MSSQL, Oracle, Sybase,MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Filas de devolución Número de filas que componen el conjunto deresultados devuelto.





Indicador deseguridad

Métrica de indicador de seguridad cuyo valor seestablece en 1 (de confianza) o 2 (no fiable) cuandose cumplen los criterios del archivo de directiva deacceso especificados por el administrador. El valor 3indica que los criterios del archivo de directiva no sehan cumplido. El valor 0 indica que la supervisión deseguridad no se ha activado.

MSSQL, Oracle, DB2,Sybase, MYSQL, Informix,PostgreSQL, Teradata,PIServer, InterSystems

Mecanismo deseguridad

El mecanismo de seguridad utilizado para validar laidentidad del usuario (por ejemplo, el ID de usuario yla contraseña).

DB2

IP del servidor Dirección IP del host del servidor de base de datos. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Nombre del servidor Se trata del nombre del servidor. El nombre de hostse asigna como nombre de servidor de formapredeterminada.

MSSQL, Oracle, DB2,Sybase, Informix, PIServer,InterSystems Cache

Puerto del servidor Número de puerto del servidor. MSSQL, Oracle, DB2,Sybase, MySQL, Informix,PostgreSQL, Teradata,InterSystems Cache

Tiempo de respuestadel servidor

Respuesta inicial del servidor de base de datos a laconsulta del cliente.


Código de gravedad DB2

SID Identificador de sistema de Oracle. Oracle, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCache

SPID ID de proceso de sistema de base de datos asignadoa cada conexión/sesión concreta.

MSSQL, Sybase

Código SQL Cuando se ejecuta una sentencia SQL, el clienterecibe un SQLCODE, el cual es un código dedevolución que proporciona información adicionalespecífica de DB2 sobre un error o una advertenciade SQL:• El SQLCODE EQ 0 indica que la ejecución ha sido

correcta.

• El SQLCODE GT 0 indica que la ejecución ha sidocorrecta con una advertencia.

• EL SQLCODE LT 0 indica que la ejecución no hasido correcta.

• El SQLCODE EQ 100 indica que no se hanencontrado datos.

El significado de los SQLCODE distintos de 0 y 100varía en función del producto concreto queimplemente SQL.

Comando SQL Tipo de comando SQL.




Estado SQL El SQLSTATE de DB2 es un código de devoluciónadicional que proporciona a los programas deaplicación códigos de devolución comunes parasituaciones de error habituales en los sistemas debases de datos relacionales de IBM.

DB2

Nombre de usuario Nombre de inicio de sesión de usuario de la base dedatos.


Reglas de correlaciónLa finalidad principal del motor de correlación es analizar los datos que fluyen del ESM, detectarpatrones interesantes en el flujo de datos, generar alertas que representen esos patrones e insertarlas alertas en la base de datos de alertas del receptor. El motor de correlación se activa cuando seconfigura un origen de datos de correlación.

Dentro del motor de correlación, un patrón interesante tiene como resultado datos interpretados poruna regla de correlación. Una regla de correlación es distinta e independiente de una regla estándar ode firewall, y dispone de un atributo que especifica su comportamiento. Cada receptor obtiene ungrupo de reglas de correlación de un ESM (grupo de reglas de correlación desplegado), el cual secompone de cero o más reglas de correlación con un conjunto cualquiera de valores de parámetrosdefinidos por el usuario. Al igual que en el caso de los grupos de reglas estándar y de firewall, seincluirá un grupo de reglas de correlación de base en cada ESM (grupo de reglas de correlación básico)y las actualizaciones de este grupo de reglas se desplegarán en los dispositivos ESM desde el servidorde actualización de reglas.

Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando se actualizael grupo de reglas básico del motor de correlación, es necesario personalizar estos valorespredeterminados para que representen la red de forma apropiada. Si despliega estas reglas sin cambiarlos valores predeterminados, pueden generar falsos positivos o falsos negativos.

Solo se puede configurar un origen de datos de correlación por cada receptor, de forma similar a laconfiguración de syslog u OPSEC. Una vez configurado el origen de datos de correlación, se puedeeditar el grupo de reglas de base a fin de crear el grupo de reglas de correlación desplegado medianteel Editor de reglas de correlación. Cabe la posibilidad de activar o desactivar cada regla de correlación yestablecer el valor de los parámetros definibles por el usuario de cada regla.

Además de activar o desactivar las reglas de correlación, el Editor de reglas de correlación permite crearreglas personalizadas y crear componentes de correlación personalizados que se pueden agregar a lasreglas de correlación.

Visualización de los detalles de las reglas de correlaciónLas reglas de correlación muestran ahora detalles sobre la causa de que se activara la regla. Estainformación puede ayudarle a realizar ajustes en relación con los falsos positivos.

Los detalles se recopilan siempre en el momento de la solicitud en la interfaz de usuario. No obstante,en el caso de las reglas que usan listas de vigilancia dinámicas u otros valores que pueden cambiarcon frecuencia, es posible configurar la regla para obtener los detalles de inmediato tras la activación.Esto reduce la posibilidad de que los detalles dejen de estar disponibles.




1 Configurar cada una de las reglas para que los detalles se muestren de inmediato:

a En la consola de ESM, haga clic en el icono de inicio rápido Correlación .

Se abrirá el Editor de directivas con el tipo de regla Correlación seleccionado.

b Haga clic en la columna Detalles correspondiente a la regla y seleccione Activado.

Puede seleccionar varias reglas a la vez.

2 Ver los detalles:

a En el árbol de navegación del sistema, haga clic en Correlación de reglas bajo el dispositivo ACE.

b En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos y haga clic en el evento quedesee ver.

c Haga clic en la ficha Detalles de correlación para ver los detalles.

Adición de reglas de correlación, base de datos o ADMpersonalizadasAdemás de usar las reglas de correlación, base de datos y ADM predefinidas, es posible crear reglascomplejas mediante expresiones regulares y lógicas. Los editores empleados para agregar estos tiposdistintos de reglas se parecen mucho entre ellos, así que se describen en las mismas secciones.


1 En el panel Tipos de regla del Editor de directivas, seleccione ADM, DEM | Base de datos o Correlación.

2 Haga clic en Nueva y seleccione el tipo de regla que desee agregar.

3 Introduzca la información solicitada y, después, arrastre y suelte elementos lógicos y componentesde expresión de la barra de herramientas en el área Lógica de expresión a fin de crear la lógica de laregla.




Procedimientos• Adición de parámetros a un componente o una regla de correlación en la página 374

Los parámetros de una regla o un componente controlan su comportamiento cuando seejecutan. Los parámetros no son necesarios.

• Adición o edición de una regla de acceso a datos en la página 376Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas deacceso desconocidas a la base de datos y enviar eventos en tiempo real.

• Adición o edición de una regla de rastreo de transacciones en la página 377Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos yconcilian automáticamente los cambios, además de registrar el inicio y el fin de unaejecución de orden o las sentencias de inicio y confirmación a fin de informar mediantetransacciones en lugar de consultas.

• Administración de reglas de correlación, DEM o ADM personalizadas en la página 377Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Alagregar una regla personalizada, es posible editar la configuración, copiarla y pegarla a finde emplearla a modo de plantilla para una regla personalizada nueva, o bien eliminarla.

• Configuración de la regla y el informe para las pistas de auditoría de base de datos en lapágina 378Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría delas modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos otabla asociadas con un evento de base de datos concreto.

Elementos lógicosCuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una reglade correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.

Elemento Descripción

AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajoeste elemento lógico debe ser verdadero para que la condición sea verdadera. Use estaopción si desea que se cumplan todas las condiciones bajo este elemento lógico antes deque se active una regla.

OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de lascondiciones agrupadas bajo este elemento tiene que ser verdadera para que la condiciónsea verdadera. Use este elemento si desea que se active la regla cuando se cumpla unade las condiciones.

SET En el caso de los componentes o las reglas de correlación, SET permite definircondiciones y seleccionar el número de condiciones que deben ser verdaderas para quese active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones delconjunto para que se active la regla, la configuración será "2 de 3".

Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:



• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).

• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementossecundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.

Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,también se eliminan todos los elementos secundarios.

• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado ytodos sus elementos secundarios de la jerarquía.

Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condicionespara la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros paracontrolar el comportamiento de la regla o el componente cuando se ejecuten.

Edición de elementos lógicosLos elementos lógicos AND, OR y SET tienen una configuración predeterminada. Esta configuración sepuede cambiar en la página Editar elemento lógico.


1 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica decorrelación.

2 Haga clic en el icono Menú correspondiente al elemento que desee editar y, después, haga clicen Editar.

3 Cambie la configuración y haga clic en Aceptar.

Adición de parámetros a un componente o una regla de correlaciónLos parámetros de una regla o un componente controlan su comportamiento cuando se ejecutan. Losparámetros no son necesarios.


1 En las páginas Regla de correlación o Componente de correlación, haga clic en Parámetros.

2 Haga clic en Agregar y escriba un nombre para el parámetro.

3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección.

Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluirun intervalo (1–6 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13.

4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valores

predeterminados .

5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visibleexternamente. El parámetro es local en cuanto al ámbito de la regla.

6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la páginaParámetros de regla al resaltar el parámetro.

7 Haga clic en Aceptar y, a continuación, en Cerrar.



Ejemplo de componente o regla de correlación personalizadosAgregue un componente o regla de correlación.

La regla que vamos a agregar en este ejemplo genera una alerta cuando el ESM detecta cinco intentosde inicio de sesión fallidos de un mismo origen en un sistema Windows, seguidos por un inicio desesión correcto, todo ello en un plazo de diez minutos.

1 En el panel Tipos de regla del Editor de directivas, haga clic en Correlación.

2 Haga clic en Nueva y, después, seleccione Regla de correlación.

3 Escriba un nombre descriptivo y seleccione la gravedad.

Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedidoal sistema, un valor de gravedad adecuado sería 80.

4 Seleccione el ID de normalización, que podría ser Autenticación o Autenticación | Inicio de sesión y,después, arrastre y suelte el elemento lógico AND.

Se utiliza AND porque hay dos tipos de acciones que deben llevarse a cabo (primero los intentos deinicio de sesión y luego un inicio de sesión correcto).

5Haga clic en el icono Menú y seleccione Editar.

6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidosy después un inicio de sesión correcto) deben producirse en una secuencia; después, establezca elnúmero de veces que se debe producir esta secuencia, que este caso sería "1".

7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar.

Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debedividirse entre las dos. En este ejemplo, cinco minutos es el periodo de tiempo para cada acción.Una vez que se han producido los intentos fallidos en un plazo de cinco minutos, el sistema empiezaa esperar un inicio de sesión correcto del mismo origen de IP en los siguientes cinco minutos.

8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derechapara indicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clicen Aceptar.

9 Defina la lógica para esta regla o este componente.




Especificar el tipo defiltro que identifica loseventos de interés (eneste caso, variosintentos de inicio desesión fallidos en unsistema Windows).

1Arrastre el icono Filtro y suéltelo en el elemento lógico AND.

2 En la página Componente de filtrado de campos, haga clic en Agregar.

3 Seleccione Regla de normalización | En y, después, seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

• Varios intentos de inicio de sesión fallidos en un host de Windows


Indique el número deveces que debeproducirse el fallo deinicio de sesión y elperiodo de tiempo enel que deben ocurrirestos fallos.

1 Arrastre y suelte el elemento lógico AND en la barra Filtro.

Se utiliza el elemento AND porque son cinco los intentos distintos quedeben producirse. El elemento permite establecer el número de veces y lacantidad de tiempo en que deben producirse.

2Haga clic en el icono Menú correspondiente al elemento AND reciénagregado y haga clic en Editar.

3 En el campo Umbral, introduzca 5 y borre el resto de valores presentes.

4 Configure el campo Período de tiempo con el valor 5.


Defina el segundo tipode filtro que debeutilizarse, que es elinicio de sesióncorrecto.

1 Arrastre y suelte el icono Filtro en la parte inferior del corchetecorrespondiente al primer elemento lógico AND.

2 En la página Coincidir componente, haga clic en Agregar.

3 En los campos, seleccione Regla de normalización | En y, después, seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

4 Haga clic en Aceptar para volver a la página Coincidir componente.

5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar,seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic enSubtipo de evento | correcto | Agregar.

6 Haga clic en Aceptar para volver al Editor de directivas.

La nueva regla se agregará a la lista de reglas de correlación en el Editor de directivas.

Adición o edición de una regla de acceso a datosLas directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de accesodesconocidas a la base de datos y enviar eventos en tiempo real.Algunas infracciones habituales en los entornos de base de datos, como que los desarrolladores deaplicaciones accedan a los sistemas de producción mediante los ID de inicio de sesión de aplicación, sepueden rastrear con facilidad cuando se crean las directivas de acceso a datos apropiadas.




1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.


• Para agregar una regla, seleccione Nueva y haga clic en Regla de acceso a datos.

• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |Modificar.


Adición o edición de una regla de rastreo de transaccionesLas reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilianautomáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden o lassentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas.


1 En el Editor de directivas, seleccione DEM | Rastreo de transacciones.


• Para agregar una regla nueva, haga clic en Nueva y, después, en Regla de rastreo de transacciones.

• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |Modificar.


Administración de reglas de correlación, DEM o ADM personalizadasCopie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al agregaruna regla personalizada, es posible editar la configuración, copiarla y pegarla a fin de emplearla amodo de plantilla para una regla personalizada nueva, o bien eliminarla.


1 En el Editor de directivas, seleccione ADM o DEM | Base de datos, Acceso a datos o Rastreo de transacciones.





Ver todas las reglaspersonalizadas de ADM oDEM

1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.

2 Haga clic en la barra Avanzadas en la parte inferior del panel.

3 En el campo Origen, seleccione definido por el usuario.

4 Haga clic en Ejecutar consulta.

Las reglas personalizadas del tipo seleccionado aparecerán en el panelde visualización de reglas.

Copiar y pegar una regla 1 Seleccione una regla predefinida o personalizada.

2 Haga clic en Editar | Copiar

3 Haga clic en Editar | Pegar.La regla copiada se agregará a la lista de reglas existentes con elmismo nombre.

4 Para cambiar el nombre, haga clic en Editar | Modificar.

Modificar una reglapersonalizada

1 Seleccione la regla personalizada.

2 Haga clic en Editar | Modificar.

Eliminar una reglapersonalizada

1 Seleccione la regla personalizada.

2 Haga clic en Editar | Eliminar.

Configuración de la regla y el informe para las pistas de auditoría de basede datosUn informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de lasmodificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o tablaasociadas con un evento de base de datos concreto.

Una vez configurados los parámetros para generar este informe, se reciben notificaciones de informede conformidad que muestran la pista de auditoría asociada con cada evento. Para generar los eventosde pista de auditoría, es necesario agregar una regla Acceso a datos y un informe Pistas de auditoría de usuariocon privilegios.


1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.

2 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP en el panel de visualización dereglas.

3 Haga clic en Editar | Copiar y, después, en Editar | Pegar.

4 Cambie el nombre y las propiedades de la nueva regla.

a Resalte la nueva regla y seleccione Editar | Modificar.

b Introduzca un nombre para la regla y, después, escriba el nombre de usuario.

c Seleccione el tipo de acción No fiable y haga clic en Aceptar.

5Haga clic en el icono Desplegar .



6 Configure el informe:

a En Propiedades del sistema, haga clic en Informes | Agregar.

b Rellene las secciones de la 1 a la 3 y la sección 6.

c En la sección 4, seleccione Informe en PDF o Informe en HTML.

d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos).

e Haga clic en Guardar.

7 Para generar el informe, haga clic en Ejecutar ahora.

Reglas de ESMLas reglas de ESM se emplean para generar eventos relacionados con el ESM.

Todas las reglas de este tipo están definidas por McAfee. Se pueden utilizar para generar informes deconformidad o auditoría que muestren lo que ha ocurrido en el ESM. No es posible agregar, modificarni eliminar estas reglas. Sin embargo, es posible cambiar la configuración de las propiedades (véaseTipos de reglas y sus propiedades).

NormalizaciónCada proveedor pone nombre a sus reglas y las describe. Como resultado, a menudo un mismo tipode regla tiene distintos nombres, lo cual dificulta la recopilación de información sobre los tipos deeventos que se producen.

McAfee ha compilado y actualiza de forma constante una lista de ID normalizados que describen lasreglas, de forma que los eventos se puedan agrupar en categorías útiles. Cuando se hace clic enNormalización en el panel Tipos de regla del Editor de directivas, aparecen estos ID, nombres y descripciones.

Estas funciones de evento ofrecen la opción de organizar la información sobre eventos mediante IDnormalizados:

• Ver campos de componentes: Resumen de evento normalizado es una opción disponible al definir loscampos para una consulta de evento en un gráfico circular, un gráfico de barras y los componentesde lista (véase Administración de consultas).

• Ver filtros de componentes: cuando se crea una vista nueva, es posible filtrar los datos de eventosen un componente por los ID normalizados (véase Administración de consultas).

• Ver filtros: ID normalizado es una opción presente en la lista de filtros de vista (véase Filtrado devistas).

• Ver lista: hay disponible una vista Resumen de evento normalizado en la lista de Vistas de evento.

La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecenen la lista.

Al agregar filtros de ID normalizado a una vista nueva o existente, es posible:

• Filtrar según todos los ID normalizados en una carpeta de primer nivel. Se incluye una máscara (/5para una carpeta de primer nivel) al final del ID para indicar que los eventos también se filtraránsegún los ID secundarios de la carpeta seleccionada.

• Filtrar por los ID de una carpeta de segundo o tercer nivel. Se incluye una máscara (/12 para unacarpeta de segundo nivel y /18 para una carpeta de tercer nivel) al final del ID para indicar que loseventos se filtrarán según los ID secundarios de la subcarpeta seleccionada. El cuarto nivel nodispone de máscara.



• Filtrar por un ID único.

• Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús.

Activación de Copiar paqueteCuando se activa la opción Copiar paquete para una regla, los datos de paquete se copian en el ESM. Siestá activada, los datos del paquete se incluyen en los datos del evento de origen de una alarma detipo Coincidencia de evento interno o Coincidencia de campo.



2 En el panel Tipos de regla, haga clic en el tipo de regla al que desee acceder y, después, localice laregla en el panel de visualización de reglas.

3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de formapredeterminada, y haga clic en activado.

Configuración de la directiva predeterminadaEs posible configurar la directiva predeterminada para que funcione en el modo de solo alertas o en elmodo de sobresuscripción. También cabe la posibilidad de ver el estado de las actualizaciones dereglas y de iniciar una actualización.

Modo de solo alertasEs posible aplicar directivas a dispositivos Nitro IPS y dispositivos virtuales en el Modo de solo alertas.

Cuando el Modo de solo alertas está activado, se envían todas las reglas activadas a los dispositivos con eluso de alertas aunque la regla esté establecida con una acción de bloqueo como supresión. Al visualizarlos eventos generados, la columna Subtipo de evento incluye la acción como Alerta seguida por la acciónrealizada si no estuviera activado el Modo de solo alertas, como alerta-supresión. Esto resulta útil para losadministradores de sistemas que se están familiarizando con los patrones de tráfico de la red, ya queles permite analizar los eventos generados sin bloquear activamente ningún evento pero viendo laacción que se realizaría si no estuviera activado el Modo de solo alertas.

La activación del Modo de solo alertas no cambia la configuración de uso individual de las reglasindividuales en el Editor de directivas. Por ejemplo, cuando está activado, podría enviarse una regla aldispositivo Nitro IPS o el dispositivo virtual con el uso de alertas aunque su uso en el Editor de directivasesté establecido en supresión (con la excepción de que un grupo de reglas esté establecido con el valorpaso, en cuyo caso permanece igual en este modo). Esto permite activar y desactivar con facilidad elModo de solo alertas sin que ello afecte a la configuración de directiva. El Modo de solo alertas no afecta a lasreglas desactivadas. Las reglas nunca se envían a un dispositivo cuando están configuradas con elvalor Desactivar.

Activación del Modo de solo alertasSi desea que todas las reglas activadas se envíen a los dispositivos con el uso de alertas, deberáactivar la función Modo de solo alertas. Esta opción hace uso de la herencia, de forma que estaconfiguración de directiva omite el valor que, de otro modo, se heredaría.

10 Administración de directivas y reglasConfiguración de la directiva predeterminada



1En el Editor de directivas, haga clic en el icono Configuración .

2 En el campo Modo de solo alertas, seleccione Activado.

Configuración del modo de sobresuscripciónEl Modo de sobresuscripción define cómo se gestionarán los paquetes si se supera la capacidad deldispositivo. En cualquier caso, el paquete se registra a modo de evento.



2 En el campo Modo de sobresuscripción, haga clic en Actualizar.

3 En el campo Valor, introduzca la funcionalidad.

a Si se permite el paso (paso o 1), los paquetes que se descartarían pueden pasar sin seranalizados.

b Con la supresión (supresión o 0) se eliminan los paquetes que superan la capacidad deldispositivo.

c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop.


A partir de la versión 8.1.0, cambiar el Modo de sobresuscripción afecta al dispositivo y a sus elementossecundarios (dispositivos virtuales). A fin de que este cambio se aplique, es necesario cambiar elmodo en el dispositivo principal.

Visualización del estado de actualización de directivas de losdispositivosEs posible ver un resumen del estado de actualización de las directivas de todos los dispositivospertenecientes al ESM.

Esto ayuda a determinar cuándo se deben desplegar actualizaciones en el sistema.



2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar yplanificados para un despliegue automático.


Administración de directivas y reglasConfiguración de la directiva predeterminada 10


Operaciones relacionadas con reglasExisten diversas operaciones que se pueden llevar a cabo con las reglas a fin de administrarlas ygenerar la información necesaria.

Administración de reglasEs posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación.Las reglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se puedenmodificar, pero deben guardarse como una nueva regla personalizada.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar.



Ver las reglaspersonalizadas

1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.

2 En la parte inferior del panel, haga clic en la barra Avanzadas.

3 En el campo Origen, seleccione definido por el usuario y haga clic en Ejecutar

consulta .

Copiar y pegar unaregla

1 Seleccione una regla predefinida o personalizada.

2 Seleccione Editar | Copiar y, después, seleccione Editar | Pegar.La regla copiada se agregará a la lista de reglas existentes con el mismonombre.

3 Para cambiar el nombre, seleccione Editar | Modificar.

Modificar una regla 1 Resalte la regla que desee ver y, después, seleccione Editar | Modificar.

2 Cambie la configuración y haga clic en Aceptar. Si se trata de una reglapersonalizada, se guardará con los cambios. Si es una regla estándar, sele preguntará si desea guardar los cambios a modo de nueva reglapersonalizada. Haga clic en Sí.

Si no ha cambiado el nombre de la regla, se guardará con el mismo nombrey un ID de firma distinto. Para cambiar el nombre, seleccione la regla y,después, seleccione Editar | Modificar.

Eliminar una reglapersonalizada

• Seleccione la regla personalizada.

• Seleccione Editar | Eliminar.

Importación de reglasEs posible importar un conjunto de reglas exportado de otro ESM y guardarlo en su ESM.

10 Administración de directivas y reglasOperaciones relacionadas con reglas



1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que deseeimportar.

2 Haga clic en Archivo | Importar y seleccione Reglas.

Estos cambios no se rastrean, de forma que no pueden deshacerse.

3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar.

El archivo se cargará en el ESM.

4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienenel mismo ID que las existentes.

5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como seindica.

El contenido del archivo se revisa y se activan o desactivan las opciones apropiadas en función delcontenido del archivo seleccionado.

Conflictos durante la importación de reglas de correlaciónAl exportar reglas de correlación, se crea un archivo que contiene los datos de la regla. Sin embargo,no incluye los elementos a los que la regla hace referencia, tales como variables, zonas, listas decontrol, tipos personalizados y activos, que se podrían emplear.

Cuando el archivo exportado se importa a otro ESM, los elementos contenidos en la regla a los que sehaga referencia y que no existen en el sistema de importación producirán un conflicto de regla. Porejemplo, si una regla hace referencia a la variable $abc y no hay ninguna variable definida en elsistema de importación que se denomine $abc, esta situación constituye un conflicto. Los conflictos seregistran y la regla se marca con un indicador para dejar patente que está en conflicto.

Los conflictos se resuelven mediante la creación de los elementos necesarios a los que se hacereferencia (manualmente o a través de la importación, si procede) o la edición de la regla decorrelación para cambiar las referencias dentro de la regla.

Si hay reglas en conflicto, aparece una página inmediatamente tras el proceso de importación queindica qué reglas hay en conflicto o cuáles han fallado. Las reglas se pueden editar para resolverconflictos desde esa página, o bien se puede cerrar la página. Las reglas en conflicto se marcan con unicono de signo de exclamación que indica su estado. La edición de una regla en conflicto en el editorde reglas se realiza por medio de un botón que, al hacer clic en él, muestra los detalles del conflictoen el caso de esa regla.

Importación de variablesEs posible importar un archivo de variables y cambiar su tipo. Si existen conflictos, la variable nuevase cambia de nombre automáticamente.

Antes de empezarConfigure el archivo que desee importar.

Administración de directivas y reglasOperaciones relacionadas con reglas 10



1 En el panel Tipos de regla del Editor de directivas, haga clic en Variable.

2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic enCargar.

Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores parainformar de cada problema.

3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas.


Exportación de reglasEs posible exportar reglas personalizadas o todas las reglas de una directiva y, después, importarlas aotro ESM.


1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar.

2 Acceda a una lista de las reglas personalizadas del tipo seleccionado:

a En el panel Filtros/etiquetado, asegúrese de que esté seleccionada la ficha Filtro.

b Haga clic en la barra Avanzadas en la parte inferior del panel.

c En la lista desplegable Origen, seleccione definido por el usuario.

dHaga clic en el icono Ejecutar consulta .

3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas.

4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas.

5 En la página Descargar, haga clic en Sí, seleccione la ubicación y, por último, haga clic en Guardar.

Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse.Para corregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma.

Configuración de reglas para la inclusión automática en la listanegraEs posible marcar las reglas para la inclusión automática en la lista negra. La dirección IP o bien ladirección IP y el puerto del equipo infractor se agregan a la lista negra cuando se cumplen lascondiciones establecidas.


1 En el panel Tipos de regla del Editor de directivas, amplíe IPS y seleccione el tipo de regla. Por ejemplo, afin de configurar las reglas de virus para la inclusión automática, seleccione DPI.

2 En la ficha Filtros del panel Filtros/etiquetado, seleccione el filtro. Siguiendo con el ejemplo anterior,seleccione Virus.



3 Haga clic en el icono Actualizar.

Las reglas filtradas aparecerán en el área de visualización de reglas.

4 Haga clic en el encabezado de la columna Lista negra o seleccione las reglas en la lista y, después,haga clic en IP o IP y puerto.

5Despliegue los cambios; para ello, haga clic en el icono Desplegar de la esquina superior derechay, después, cierre el Editor de directivas.

6 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS y haga clic en el

icono Propiedades .

7 Haga clic en Lista negra y, después, en Configuración.

8 En la página Configuración de lista negra automática, defina la configuración y haga clic en Aceptar.

Filtrado de reglas existentesCuando se selecciona un tipo de regla en el Editor de directivas, aparecen todas las reglas del tiposeleccionado por orden alfabético, de forma predeterminada. Es posible ordenarlas por hora o emplearetiquetas a fin de filtrar las reglas para poder ver solamente las que cumplen los criterios.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar.

2 Asegúrese de seleccionar la ficha Filtro en el panel Filtros/etiquetado.



Filtrar con varias etiquetas • Seleccione categorías o etiquetas y haga clic en el icono Ejecutar

consulta .

Solo se mostrarán las reglas que coincidan con todos los filtros.

Ver las reglas que seajustan a cualquiera de losfiltros seleccionados

1 Seleccione más de una categoría o etiqueta.

2 Haga clic en el icono OR y, después, en el icono Ejecutar consulta.

Los campos afectados por la herencia (Acción, Gravedad, Lista negra,Agregación y Copiar paquete) no se pueden filtrar mediante el iconoOR.

Buscar una etiquetaconcreta

1 Escriba el nombre de la etiqueta en el campo Escriba aquí para buscaruna etiqueta.

2 Seleccione la opción que prefiera en la lista de opciones.

Ordenar las reglas por suhora de creación

• Haga clic en el icono Ordenar por hora en la barra de herramientasy, después, en el icono Ejecutar consulta.

Ordenar las reglas pororden alfabético

• Haga clic en el icono Ordenar por nombre en la barra deherramientas y, después, en el icono Ejecutar consulta.




Borrar los filtros • Haga clic en el icono del filtro naranja en la barra de título delpanel de visualización de reglas .

Los filtros se borrarán y todas las reglas aparecerán de nuevo en elpanel de visualización de reglas.

Borrar las etiquetas defiltrado

• Haga clic en el icono Borrar todo de la barra de herramientas.

Las etiquetas se borrarán, pero la lista de reglas seguirá filtrada.

Filtrar por ID de firma 1 Haga clic en la barra Avanzadas en la parte inferior del panel Filtro.

2 Escriba el ID de firma y haga clic en el icono Ejecutar consulta.

Filtrar por nombre odescripción

1 En el panel Avanzadas, escriba el nombre o la descripción.

2 Para obtener resultados independientemente del uso demayúsculas o minúsculas, haga clic en el icono de no distinciónentre unas y otras .

Filtrar por tipo dedispositivo, ID normalizadoo acción

1 En el panel Avanzadas, haga clic en el icono Filtro .

2 En la página Variables de filtrado, seleccione la variable.

Comparar las diferenciasen la configuración dedirectiva de un tipo deregla y su elementoprincipal inmediato

• En el panel Avanzadas, seleccione Ver excepciones y, después, haga clicen el icono Ejecutar consulta.

Filtrar por Gravedad, Listanegra, Agregación, Copiarpaquete, Origen y Estadode regla

• Seleccione el filtro en la lista desplegable de cada uno de esoscampos.

Ver solo las reglaspersonalizadas

• Seleccione definido por el usuario en el campo Origen del panel Opcionesavanzadas y, después, haga clic en el icono Ejecutar consulta.

Ver las reglas creadas enun periodo de tiempoconcreto

1 Haga clic en el icono del calendario situado junto al campo Hora delpanel Avanzadas.

2 En la página Hora personalizada, seleccione las horas de inicio ydetención, haga clic en Aceptar y, después, haga clic en el iconoEjecutar consulta.

Visualización de la firma de una reglaSi accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma de unaregla. Esta opción está disponible para reglas de firewall, inspección profunda de paquetes (DPI) yorigen de datos.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver.

2 Seleccione una regla en el panel de visualización de reglas.



3 Haga clic en Operaciones y, después, seleccione Examinar referencia.

Se abrirá la pantalla Resumen de vulnerabilidades de NTAC en el navegador.

4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla.

Recuperación de actualizaciones de reglaEl equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo virtual o Nitro IPS a finde examinar el tráfico de red actualiza constantemente estas firmas, que se pueden descargarmediante el servidor central. Estas actualizaciones de reglas se pueden recuperar de forma automáticao manual.

Procedimiento

Véase Omisión de la acción en las reglas descargadas a fin de configurar las omisiones para las accionesrealizadas cuando se recuperan reglas del servidor.



2 En la línea Actualización de reglas, haga clic en Actualizar.

3 Establezca el ESM para que recupere las actualizaciones de forma automática o compruebe laexistencia de actualizaciones inmediatamente.

4Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar paraaplicarlas.

5 Para ver las actualizaciones manuales, haga lo siguiente:

a En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo dereglas actualizadas que desea ver.

cHaga clic en el icono Ejecutar consulta .

Las reglas actualizadas se mostrarán con el icono del estallido si se han agregado o con un signo

de exclamación si se han modificado.

Borrado del estado de regla actualizadoEsto puede resultar útil cuando se modifican reglas o se agregan reglas al sistema. Las marcascorrespondientes se pueden borrar una vez que se han revisado las actualizaciones.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee borrar.





Borrar todas lasmarcas de estado deregla

1 Haga clic en Operaciones y seleccione Borrar estado de regla actualizado.

2 Haga clic en Todo.

Borrar las reglasseleccionadas

1 En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

2 En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevopara indicar el tipo de marca que desea borrar.

3Haga clic en el icono Ejecutar consulta .Las reglas con las marcas seleccionadas se mostrarán en el panel devisualización de reglas.

4 Seleccione las reglas que desee borrar.

5 Haga clic en Operación | Borrar estado de regla actualizado | Selección.

Comparación de archivos de reglaEs posible comparar el estado de directiva (aplicada, actual, revertida o preparada) de los archivos deregla de Nitro IPS, Event Receiver, ADM y DEM.

Esto resulta útil si es necesario ver los cambios en caso de aplicar la directiva actual a un dispositivo.En este caso, se comparan las reglas actuales y las reglas aplicadas.


1 En el árbol de navegación del sistema, haga clic en un dispositivo Nitro IPS, Event Receiver, ADM oDEM.

2Haga clic en el icono del Editor de directivas en la barra de herramientas de acciones y, después,haga clic en Herramientas | Comparar archivos de regla.

3 En la página Comparar archivos de regla, realice las selecciones y, después, haga clic en Comparar.

Si los dos archivos resultantes son inferiores a 15,5 MB aproximadamente, aparecerán en la tablaComparar archivos de regla. Si cualquiera de los archivos tiene un tamaño superior, se le solicitará quedescargue ambos archivos.

Visualización del historial de cambios de reglasEs posible ver las reglas cambiadas, actualizadas o agregadas al sistema, así como la última versiónde cada regla.


1 En el Editor de directivas, haga clic en Herramientas | Historial de cambios de reglas.

2 En la página Historial de reglas, visualice los cambios realizados en las reglas o haga clic en la fichaVersión de regla para ver la última versión de cada regla.




Creación de una nueva lista de vigilancia de reglasUna lista de vigilancia es un conjunto de tipos específicos de información que se pueden utilizar amodo de filtros o como condición de alarma para que se le notifique si aparecen en un evento. Estaslistas de control pueden ser globales o específicas de un usuario o grupo del ESM.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla y, después, seleccione lasreglas que desee incluir en la lista de vigilancia.

2 Haga clic en Operaciones y seleccione la opción Crear nueva lista de control.

La página Agregar lista de control incluirá las reglas seleccionadas.

3 Escriba un nombre y asegúrese de que esté seleccionado el botón de opción Estática.

Véase Adición de una lista de vigilancia para agregar una lista de vigilancia dinámica.

4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuarioasignado.

Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuarioo grupo del sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas decontrol a sí mismo o a los grupos de los que sea miembro.

5 Existen las formas siguientes de agregar más valores a la lista de vigilancia:

• Para importar un archivo de valores separados por líneas, haga clic en Importar y seleccione elarchivo.

• Para agregar valores individuales, escriba un valor por línea en el cuadro Valores.

El número máximo de valores es 1000.

6 Si desea recibir una alarma cuando se genere un evento que contenga cualquiera de los valores dela lista de vigilancia, haga clic en Crear alarma.


Adición de reglas a una lista de vigilanciaTras crear una lista de vigilancia, podría ser necesario agregarle valores de regla. La opción Adjuntar alista de control proporciona una forma de hacerlo.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización dereglas.

3 Haga clic en el menú Operaciones y seleccione Adjuntar a lista de control.

4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar.



Asignación de etiquetas a reglas o activosEs posible asignar etiquetas a reglas para indicar sus atributos y, después, filtrar las reglas según susetiquetas. El ESM dispone de un conjunto predefinido de etiquetas, pero también ofrece la posibilidadde agregar etiquetas y categorías de etiquetas nuevas.

La ficha Etiquetas no está disponible para los tipos de reglas Variable, Preprocesador y Normalización.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar.

2 Haga clic en la ficha Etiquetas en el panel Filtros/etiquetado.



Agregar una nuevacategoría deetiqueta

1Haga clic en el icono Nueva categoría de etiqueta .

2 Escriba el nombre de la categoría.

3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad deeventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clicen Aceptar.

La categoría se agregará junto con una etiqueta de base. Es posible agregaretiquetas nuevas debajo de esta categoría.

Agregar una nuevaetiqueta

1 Haga clic en la categoría en la que desee agregar la etiqueta y, después,

haga clic en el icono Nueva etiqueta .

2 Escriba el nombre de la etiqueta.

3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad deeventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clicen Aceptar.

Editar una categoríao etiquetaexistentes

1 Haga clic en la categoría o la etiqueta que desee editar y, después, haga

clic en el icono Editar etiqueta .

2 Cambie el nombre o la configuración y haga clic en Aceptar.

Eliminar unaetiquetapersonalizada

1 Resalte la etiqueta que desee eliminar y haga clic en el icono Quitar etiqueta

.

2 Haga clic en Sí para confirmarlo.

Modificación de la configuración de agregaciónLos eventos agregados son eventos que tienen campos coincidentes.

La agregación está activada de forma predeterminada, y es posible elegir el tipo de agregación que seutilizará para todos los eventos generados en un dispositivo mediante la página Agregación de eventos decada dispositivo. Cabe la posibilidad de modificar la configuración de agregación de las reglasindividuales.

10 Administración de directivas y reglasAsignación de etiquetas a reglas o activos



1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione la regla cuya configuración de agregación desee modificar.

3 Haga clic en Operaciones en la barra de herramientas y seleccione Modificar configuración de agregación.


Los campos seleccionados deben ser de tipos distintos para que no se produzca un error.


6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntarási desea desplegar los cambios. Haga lo siguiente:

a Haga clic en Sí.

En la página Despliegue de excepciones de agregación, aparecerá el estado de los dispositivos afectadospor el cambio. Se marcarán todos los dispositivos no actualizados.

b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios.

c Haga clic en Aceptar para desplegar los cambios.

La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios.

Omisión de la acción en las reglas descargadasCuando se descargan reglas del servidor central de McAfee, tienen asignada una acciónpredeterminada.Es posible definir una acción de omisión para las reglas del tipo seleccionado cuando se descargan. Sino se define una acción de omisión, las reglas usan su acción predeterminada.


1 En el Editor de directivas, haga clic en Herramientas y después seleccione Nueva configuración de reglas.

La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada.

2 Configure las acciones de omisión y haga clic en Cerrar.

Ponderaciones de gravedadLa gravedad de los eventos se calcula en función de la ponderación de gravedad asignada a losactivos, las etiquetas, las reglas y las vulnerabilidades.

Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cadauna de las cuatro gravedades multiplicadas por sus ponderaciones respectivas. La página Ponderacionesde gravedad muestra las ponderaciones asociadas con los grupos de activos, etiquetas, reglas yvulnerabilidades. La suma de todas ellas debe equivaler a 100. Cuando se cambia un valor, se venafectados otros valores. A continuación se ofrece una descripción de cada tipo de gravedad:

Administración de directivas y reglasOmisión de la acción en las reglas descargadas 10


Tipo degravedad

Descripciones

Activo Un activo es una dirección IP, que puede tener una zona asignada o no. Lagravedad de activo de un evento se determina como sigue:1 La dirección IP y la zona de destino del evento se comparan con todos los activos.

Si se encuentra alguna coincidencia, la gravedad del activo se emplea comogravedad del evento.

2 Si no se encuentra ninguna coincidencia de dirección IP y zona de destino, secomparan la dirección IP y la zona de origen con todos los activos. Si seencuentra alguna coincidencia de dirección IP y zona de origen, se utiliza lagravedad de ese activo como gravedad para el evento.

3 Si no se encuentra ninguna coincidencia, la gravedad del activo será cero.

Etiqueta La gravedad de etiqueta se calcula mediante las etiquetas de McAfee y las definidaspor el usuario. A fin de emplear una etiqueta en el cálculo de gravedad, debedefinirse tanto para la regla como para el activo del evento. Si la regla o el activono tienen etiquetas definidas o si no se encuentran coincidencias de activos, lagravedad de etiqueta será cero. Para calcular la gravedad de etiqueta, el número deetiquetas coincidentes de regla y activo se multiplica por 10. La gravedad deetiqueta está limitada a 100.

Regla La gravedad de regla es la establecida para el evento cuando se creó. Se basa en lagravedad de regla del evento, que se define en el Editor de directivas, y en losenriquecimientos de datos configurados para el recopilador del evento.

Vulnerabilidad Si hay información de gravedad de evaluación de vulnerabilidades para el activo yla regla de un evento, se utiliza la gravedad de evaluación de vulnerabilidades másalta de todas las coincidencias de activos y reglas como gravedad devulnerabilidad; de lo contrario, se emplea cero.

Establecimiento de las ponderaciones de gravedadLas gravedades de activo, etiqueta, regla y vulnerabilidad se ponderan a la hora de calcular lagravedad de los eventos. Es necesario definir estas gravedades.


1En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad .


Visualización del historial de cambios de directivaExiste la posibilidad de ver o exportar un registro de los cambios que se han realizado en la directiva.Este registro puede albergar un máximo de 1 GB de datos. Cuando se alcanza el límite, se borran losarchivos más antiguos en caso de ser necesario.


1En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva .

2 Visualice o exporte el registro y, a continuación, haga clic en Cerrar.

10 Administración de directivas y reglasVisualización del historial de cambios de directiva


Aplicación de cambios de directivasCuando se realizan cambios en las directivas, es necesario desplegarlos a fin de que se apliquen. Loscambios realizados en el nivel de la directiva predeterminada se aplican a todas las directivas cuandose lleva a cabo el despliegue en todos los dispositivos.


1En el Editor de directivas, haga clic en el icono Desplegar .

2 Seleccione cómo desea que se produzca el despliegue.


Cuando todos los dispositivos finalicen el despliegue, el estado de la directiva indicará un desplieguecorrecto. Si el comando de despliegue no tiene un resultado correcto, aparecerá una página con unresumen de los comandos fallidos.

Administración del tráfico prioritarioEs posible configurar el tráfico para que pase por Nitro IPS sin comprobarlo con respecto a las reglas.

Por ejemplo, podría ser necesario configurar el tráfico del protocolo VoIP de forma que cruce eldispositivo Nitro IPS sin que se compruebe.


1 En el Editor de directivas, haga clic en el tipo de regla Variable.

2 Amplíe la categoría priority_traffic y haga clic en PRIORITY_TRAFFIC_LIST.

3 Haga clic en Editar y seleccione Modificar.

4 Administre la configuración y haga clic en Aceptar.

Administración de directivas y reglasAplicación de cambios de directivas 10


10 Administración de directivas y reglasAdministración del tráfico prioritario


Índice

Aacceder a dispositivo remoto 222

acceder a información detallada en la vista 307

acceso, otorgar a dispositivos 52

accionesagregar a DEM 162

alarmas 246

asociación 107

barra de herramientas 15, 35, 39

definir para DEM 161

orígenes de datos 107

ACEagregar un administrador de correlación de riesgos 141

calificación de correlación de riesgos, agregar 142

correlación histórica 142

motor de correlación 140

motor de correlación de riesgos 140

motores de correlación 140

resumen 14, 66

seleccionar tipos de datos que enviar desde el ESM 141

acerca de esta guía 9activar modo FIPS 27

Active Directoryautenticación de inicio de sesión 207

configurar opciones de autenticación 210

recuperar datos 341

activosadministrar 338

definir activos antiguos 338

gravedad 391

activos antiguos, definir 338

actualizacionesbuscar para reglas 30

recuperar para reglas 387

actualizarestado de dispositivos, ver directiva 381

software en varios dispositivos 61

actualizar árbol de navegación del sistema, detener 182

actualizar dispositivos 65

actualizar licencia de DEM 160

actualizar software de dispositivo 45, 51

actualizar software de ESM 29

acumulación, aumentar índices disponibles 202

acumulación, indización 204

Adiscon, configurar origen de datos 116

ADMconfiguración 143

eventos 143

resumen 14, 66

ADM, diccionarios 145

administrar 149

configurar 146

ejemplos 148

hacer referencia 150

ADM, mostrar contraseñas en visor de sesión 145

ADM, reglasadministrar personalizadas 377

agregar nuevas 372

anomalías de protocolo 158

aplicaciones y protocolos compatibles 363

conceptos clave 363

elementos lógicos 269, 373

elementos lógicos, editar 374

gramática de expresiones regulares 150

literales 150

módulos de protocolo de correo electrónico 157

módulos de protocolo de correo web 157

módulos de protocolo de transferencia de archivos 157

operadores 150

propiedades específicas de protocolos 157

protocolo DNA, anomalías en reglas de ADM 158

protocolo IP, anomalías en reglas de ADM 158

protocolo TCP, anomalías en reglas de ADM 158

referencias métricas 155

sintaxis 150

tipos de términos 153

administración de amenazas 345

administración de casosinformes, generar 335

panel, mostrar 36, 206

administración de configuración 338

administración de zonas 342

administrador de activos 345

administrador de correlación de riesgos, agregar 141

administrador de correlación, agregar 141

administrador de tareas 221, 222

admitidos, orígenes de datos 104


adquisición de datosactivar en McAfee Risk Advisor 169

McAfee Risk Advisor 169

agregaciónadministrar excepciones de eventos 56, 280

agregar excepciones 56, 279

configuración en dispositivo 55, 279

definición 55, 278

modificar configuración de reglas 390

modificar configuración en vista 307

agregar una subzona 344

agregar, tipos personalizados de tiempo 328

ajustaralarmas 255

alarmaadministrar consultas 221, 222

alarmas 237

acciones 246

activar 245, 246

agregar a regla 270

ajustar 255

alarmas de Threat Intelligence Exchange 170, 253

alertas de audio 243

archivos de audio 243

casos 251, 297

condiciones 246

confirmar 250, 251, 297

copiar 245

correo electrónico 238

crear 237, 244, 246, 255

crear nueva a partir de evento de vista 307

desactivar 245

destinatarios 241

destinatarios de mensajes 241

editar 251, 297

eliminar 251, 297

escalación 246

eventos de correlación 241

eventos de origen, correlación 241

fallo de alimentación 195, 272

filtro 251, 297

flujo de trabajo 237

gravedad 246

ID de firma del monitor de estado 259

informes 244, 254

mensajes 182, 239

mensajes, configurar 238

mensajes, servidor de correo 182, 243

notificaciones, agregar destinatarios 183

panel 15, 35

panel, mostrar 36, 206

personalizar resumen 273

plantillas 239

plantillas de mensajes 239

respuesta 250

alarmas 237 (continuación)servidor de correo, mensajes 182, 243

SMS 238

SNMP 238

supervisar 250

syslog 238

UCAPL, crear 256

usuario asignado 246, 251, 297

usuario asignado, cambiar 251, 297

ver 250

alarmas activadascasos 251, 297

confirmar 250, 251, 297

editar 251, 297

eliminar 251, 297

filtro 251, 297

usuario asignado 251, 297

alertasescalación de alarmas 246

alertas visualesacción de alarma 246

alias, agregar 48, 186

almacenamientoconfigurar datos de ESM 202

configurar datos de máquina virtual de ESM 202

almacenamiento de datosconfigurar ESM 202

configurar máquina virtual de ESM 202

unidad virtual local 133

almacenamiento de datos duplicado, agregar para ELM 129

almacenamiento de datos externo de ELM 131

almacenamiento de datos, agregar duplicado para ELM 129

almacenamiento de datos, duplicar para ELM 129

almacenamiento de datos, preparativos para almacenar datosen ELM 124

almacenamiento de ELM, estimar necesario 123

almacenamiento, ubicación alternativa para ELM 138

almacenar datos de ELM, preparativos 124

almacenar registros de ELM 126

Altiris, recuperar datos de servidor 341

amenazasactivar o desactivar para cálculo de riesgo 346

ver detalles 346

ampliarESM principal y redundante 222

receptor de disponibilidad alta 74

análisis, ejecutar McAfee Vulnerability Manager 178

analizador de syslog avanzadoagregar regla personalizada 360


reglas 360

analizador de syslog avanzado, origen de datoscodificación distinta de UTF-8 112

anomalías de protocolo, TCP 354

Índice


API externaadministrar consultas 221, 222

aplicar opciones de configuración al DEM 161

aprendizaje automático de orígenes de datos, configurar 102

árbol de navegación del sistemaactualización automática, detener 182

diagrama 39

organizar dispositivos 45

archivadoconfiguración, definir para receptor 77

archivoconfigurar particiones inactivas 203

archivos de audioalarmas 243

cargar 243

archivos de configuración, sincronizar en DEM 160

archivos de copia de seguridad, usar 214

ArcSight, agregar origen de datos 114

asignación de almacenamiento, reducir en ELM 128

asignación de datos, definir límites 204

Asistente de consultas 310

ASNbúsqueda desde vista 307

búsqueda, realizar 308

definir configuración de dispositivo 54, 278

ASP 360

auditoríasUCAPL, alarma 256

autenticación de ePO 168

Bbase de datos

administrar 201

administrar configuración de índice 204

estado 181

pistas de auditoría 378

pistas de auditoría, configurar regla e informe 378

servidor, agregar 165

utilización de memoria 205

base de datos de administración duplicada, sustituir para ELM139

base de datos de administración, restaurar ELM 137

base de datos, reglasagregar nuevas 372



buscar campos coincidentes alrededor de eventos 313

buscar ELM 307

CCAC

agregar usuarios 209

autenticación 207

cargar certificado raíz de CA 209

configuración 209

CAC (continuación)inicio de sesión, configurar 209

calificación de correlación de riesgos 142

cambios, ver en historial de reglas 388

camuflaje 219

capa 7, retraso de extracción de eventos 180

capturas SNMPUCAPL, alarma 256

cargararchivos de audio 243

casosacción de alarma 246

agregar 331

agregar eventos a un caso existente 332

cerrar 332

crear a partir de alarma activada 251, 297

editar 332

enviar caso seleccionado por correo electrónico 334

enviar correo electrónico al agregar o cambiar 334

estado, agregar 333

estado, agregar o editar 334

eventos de origen, ver 334

filtro 334

informes, generar 335

notificación por correo electrónico 334


ver detalles 333

ver todos 334

categoríaagregar nueva etiqueta 390

agregar nueva variable 353

editar 390

certificadofrase de contraseña, obtener para McAfee Vulnerability

Manager 178

instalar nuevo 192

certificado raíz de CA, cargar 209

certificado raíz, cargar para CAC 209

certificado, cargar raíz de CA para CAC 209

certificadosUCAPL, alarma 256

Check Point, configurar orígenes de datos 120

claveadministrar dispositivo 42

dispositivo 43

exportar 43

importar 44

claves de comunicación, exportar y restaurar 220

cliente, orígenes de datos 87

agregar 87

localizar 88

codificación de origen de datos ASP 112

coincidencia de campocondición de alarma 246

Índice


coincidencia de evento internocondición de alarma 246

comandos remotosacción de alarma 246

escalación de alarmas 246

comparar archivos de regla 388

comparar valores en gráficos de distribución 312

compatibilidad con la retransmisión de syslog 116

compilación, ver para software 52

componentesagregar parámetros 374

barra de herramientas 304

ejemplo de regla 375

enlazar 311

exportar 309

opciones de menú 307

personalizar 301

vista 299

vistas 300

compresión, administración en ELM 136

compresión, establecer en ELM 136

comprobación de integridad, ver resultados 136

condición, agregar para informe 287

condicionesalarmas 246

coincidencia de campo 246

coincidencia de evento interno 246

desviación 246

frecuencia de activación 246

monitor de estado 246

tasa de comprobación 246

tasa de eventos 246

umbral 246

conexionescambiar con ESM 54

configurar para McAfee Vulnerability Manager 178

configuración de ELM 123

configuración de filtrado, editar para reenvío de eventos 284

configuración de índice, base de datos 204

configuración de mensajes 182, 239

configuración de redIPMI, configurar puerto 188

configuración del sistemacrear copia de seguridad 212

guardar en ESM redundante 215

restaurar 212

configurar estaciones finales para descubrimiento de red 341

configurar opciones avanzadas de DEM 161

configurar ping para descubrimiento de red 341

confirmaralarma activada 251, 297

confirmar automáticamenteacción de alarma 246

conjuntos de filtrosadministrar 316

consolaagregar dispositivo 31, 42

cambiar aspecto 36, 206

diagrama 15, 35

tema de color 36

tiempo de espera 36

consola, preferencias 35

consultar informes en CSV 182, 239

consultasadministrar 221, 222

eliminar en ejecución 221, 222

contains, filtro 288

contraseñascambiar 36, 206

predeterminadas 27

contraseñas en visor de sesión, mostrar 145

control del tráfico de reddispositivos 45

ESM 189

convenciones tipográficas e iconos utilizados en esta guía 9copia de seguridad, restaurar 214

copiar y pegar reglas 382

correlación de riesgos, calificación 142

correlación histórica, ACE 142

correlación histórica, agregar filtro 142

correlación, orígenes de datos 106

correlación, reglasadministrar personalizadas 377

agregar nuevas 372



ver detallesconfiguradas para mostrar detalles 371

correo electrónicoalarmas 238

notificación de caso 334

servidor de correo, conectar 182, 243

crearalarmas 237

crear automáticamente orígenes de datos 83

crear copia de seguridadconfiguración de ESM 213

configuración del sistema 212

ELM 137

Credenciales de autenticación de ePO 168

credenciales de ePO 168

credenciales, obtención y adición para actualización de reglas29

Criterios comunes, configuración 26

DDAS, asignar para almacenar datos de ELM 132

datos de evaluación de vulnerabilidades, integrar 80

datos de evaluación de vulnerabilidades, recuperar 81

datos de registro, restaurar ELM 137

Índice


datos sin procesar, archivar 76

definidos por el usuario, tipos de orígenes de datos 103

DEMactualizar licencia 160

agregar acción 162

configuración avanzada 161

definir acciones 161

editar acción personalizada 162

establecer operación 163

identificación de usuarios 164

máscaras de datos confidenciales 163

opciones de configuración, aplicar 161

referencias de métricas de regla 367

reglas 365

resumen 14, 66

servidor de base de datos, agregar 165

sincronizar archivos de configuración 160

DEM, configuración específica 159

DEM, reglasadministrar personalizadas 377

desactivar comunicación SSH con ESM 54

desactivar dispositivo de duplicación de ELM 130

descargadas, omitir acción en reglas 391

descargareventos, flujos y registros 54, 276

descubrimiento de red 339

administración de configuración 338

descubrimiento de redestaciones finalesintervalo de barrido de ping 341

subredes en las que hacer ping 341

tiempo de espera de ping 341

descubrir endpoints 340

desfragmentador de IP basado en destino 355

DESM, resumen 14, 66

destinatariosagregar 183

mensajes de alarma 241

desviacióncondición de alarma 246

detalles de sesión, ver 292

detección de anomalíasasistente 174

variables, editar 175

detección de barrido de puertos 355

detener dispositivos 53

detener varios dispositivos 61

DHCP, configurar 191

direcciones IP de destino, mostrar nombre de host en informes287

direcciones IP de origen, mostrar nombre de host en informes287

directivaagregar 349

aplicar cambios 393

Árbol de directivas 348

árbol de directivas, iconos 348

directiva (continuación)cambiar nombre 349

copiar 349

directiva secundaria, agregar 349

eliminar 349

exportar 349

importar 349

localizar 349

ver reglas 349

diseño, agregar para informe 286

disponibilidad alta, receptores 67

dispositivo de almacenamiento SAN, aplicar formato para datosde ELM 132

dispositivo de almacenamiento, agregar en ELM 127

dispositivo de duplicación, desactivar en ELM 130

dispositivo iSCSI, agregar para almacenamiento de ELM 131

dispositivo remoto, acceder 222

dispositivosactualizar 65

actualizar software 45, 51

administrar claves 42

administrar claves de comunicación SSH 44

administrar varios 61

agregar a la consola 31, 42

agregar vínculo de URL 53, 62

ASN, definir configuración 54, 278

cambiar descripción 53

cambiar nombre 53

cambiar pantalla predeterminada 36, 206

campo de tipo de pantalla 39

clave 43

comandos Linux 51

compilación 52

conexión con ESM, cambiar 54

configuración de agregación 55, 279

configurar descargas de eventos, flujos y registros 54, 276

control del tráfico de red 45

datos de estado, descargar 50

desactivar orígenes de datos 36, 206

detener 53

eliminar 39

eliminar nodos 34, 65

estadísticas de dispositivo 50

exportar clave 43

geolocalización, definir configuración 54, 278

ID de equipo 52

importar clave 44

informe de recuento 181

informes de resumen 62

iniciar 53

IPMI, configurar puerto 188

modelo 52

nodo de grupo, eliminar 34, 65

número de serie 52

organizar 32, 45, 59

Índice


dispositivos (continuación)otorgar acceso 52

registro de mensajes 50

reiniciar 53

servidores NTP 49, 184

sincronizar con ESM 49

sincronizar relojes 192

software, actualizar 45, 51

supervisar tráfico 52

tipo de pantalla 39

ver información general 52

ver registro 62

versión 52

dispositivos ePOconsulta en el panel de Real Time for McAfee ePO 173

consultar para enriquecimiento de datos 173

consultas sobre informes o vistas 172

dispositivos simultáneos para descubrimiento de red 341

dispositivos virtuales 57

agregar a dispositivo 59

lista negra 176

modo de solo alertas 380

reglas de selección, administrar 58

reglas internas 359

documentaciónconvenciones tipográficas e iconos 9destinatarios de esta guía 9específica de producto, buscar 10

duplicados, eliminar nodos de dispositivo 34, 61

duplicar almacenamiento de datos de ELM 129

Eeditor de directivas

modo de sobresuscripción, configurar 381

ver estado de actualización de dispositivos 381

Editor de directivashistorial de cambios 392

ejecutarePolicy Orchestrator 307

ePolicy Orchestrator desde ESM 167

elementos lógicos para reglas de correlación, base de datos yADM 269, 373


eliminada, agregar o eliminar entrada eliminada en McAfeeNetwork Security Manager 179

eliminaralarma activada 251, 297

eventos o flujos 307

reglas personalizadas 382

ELMagregar almacenamiento de datos duplicado 129

agregar dispositivo de almacenamiento 127

agregar dispositivo iSCSI para almacenamiento 131

almacenamiento de datos duplicado, agregar 129

almacenamiento de datos externo 131

ELM (continuación)almacenar registros 126

aplicar formato a dispositivo SAN para almacenar datos 132

asignación de almacenamiento, reducir 128

base de datos de administración duplicada, sustituir 139

base de datos de administración, restaurar 137

búsqueda mejorada 296

compresión 136

compresión, establecer 136

comprobación de integridad, ver resultados 136

configurar comunicación 49

crear copia de seguridad 137

datos de registro, restaurar 137

definir ubicación de almacenamiento alternativa 138

desactivar dispositivo de duplicación 130

dispositivo DAS para almacenar datos de ELM 132

duplicar almacenamiento de datos 129

grupo de almacenamiento duplicado, reconstruir 130

grupo de almacenamiento, agregar o editar 128

migrar base de datos 138

mover grupo de almacenamiento 128

preparativos para almacenar datos 124

recuperar datos 139

restaurar 137

resumen 14, 66

sincronizar con dispositivo 49

trabajo de búsqueda 139

trabajo de búsqueda, crear 139

trabajo de búsqueda, ver resultados 136

trabajo de comprobación de integridad 139

trabajo de comprobación de integridad, crear 140

uso de almacenamiento, ver 138

vista de búsqueda 295

endpoints, descubrimiento 340

enlazar componentes 311

enmascarar direcciones IP 219

enriquecimiento de datos 225

agregar orígenes 226

consultar dispositivos ePO 173

ePOagregar credenciales de autenticación 168

transmisión de eventos, vista 67

ePolicy Orchestratoradquisición de datos de McAfee Risk Advisor, activar 169

configuración 167

configurar 4.0 114

ejecutar desde ESM 167

etiquetas, asignar a dirección IP 169

error de registro de seguridadUCAPL, alarma 256

errores de inicio de sesiónUCAPL, alarma 256

escalaciónalarmas 246

Índice


ESMactualizar software 29

administrar 217

almacenamiento de datos, configurar 202

ampliar principal y redundante 222

archivos de copia de seguridad 214

control del tráfico de red 189

copia de seguridad de la configuración 213

ESM redundante 213

funciones de seguridad 207

hora no sincronizada con origen de datos 85, 273

IPMI, configurar puerto 188

no sincronizado con origen de datos 85, 274

redundante, funcionamiento 215

registro, configurar 220

reglas 379

restaurar configuración 213

resumen 14, 66

sincronizar con dispositivo 49

sustituir redundante 216

ver información del sistema 181

ESM distribuidoagregar filtros 167

propiedades 166

ESM principal, ampliar 222

ESM redundanteampliar 222

cómo funciona 215

configurar 213

guardar configuración 215

sustituir 216

estadísticas, ver en dispositivo 50

estadodispositivos, ver actualización de directivas 381

inactivo 63


estado de casos, agregar 333

estado de dispositivo, descargar datos 50

estado de regla actualizado, borrar 387

estado del sistemaUCAPL, alarma 256

etiqueta de ePOacción de alarma 246

etiquetar, ePO 168

etiquetasagregar nuevas 390

asignar a reglas o activos 390

asignar de ePolicy Orchestrator a dirección IP 169

categoría, agregar ahora 390

editar existentes 390

eliminar personalizadas 390

gravedad 391

personalizadas, eliminar 390

Event Receiverconfigurar opciones 67

Event Receiver (continuación)resumen 14, 66

evento de correlación, ver eventos de origen 77

eventosadministrar excepciones de agregación 56, 280

agregar a lista negra 307

agregar a un caso 332

buscar campos coincidentes alrededor 313

comprobar 277

configurar descargas 54, 276

crear caso para rastrear 332

descripción 275

detalles de sesión, ver 292

eliminar 307


establecer umbral de inactividad 276

marcar como revisados 307

ponderaciones de gravedad, configurar 392

recuperar 277, 278

registro, administrar tipos de eventos 218

registros, establecer idioma 31, 220

ver hora exacta 329

eventos de correlaciónalarmas, eventos de origen 241

eventos de origen, alarmas 241

eventos de correlación histórica, descargar 143

eventos de metadatos 143

eventos de origenalarmas, correlación 241

correlación, alarmas 241

eventos de origen, ver para evento de correlación 77

eventos de transmisión para receptor, NSM y ePO 67

eventos, flujos y registroslimitar tiempo de recopilación 276

examinar referencia desde vista 307

excepciones a la configuración de agregación, agregar 56, 279

excepciones, agregar regla de firewall 357

exportarclave 43

claves de comunicación 220

componente 309

reglas 384

ver 307

exportar e importararchivo .exk 24

archivo .puk 24

exportar zonas 343

extensiones de archivo de archivos de exportación 23

Ffallo de alimentación

alarmas 195, 272

fecha, cambiar formato 36, 206

filtro contains 288

Índice


filtrosagregar al ESM distribuido 167

agregar reglas 360

alarma activada 251, 297

barra de herramientas 316

guardar valores actuales como predeterminados 316

opciones, agregar y quitar 316

panel 15, 35

reglas existentes 385

tipos personalizados 322

UCF 317

usar valores predeterminados 316

visibles para el usuario y todos, alternar 316

vistas 315

Windows, ID de evento 317

filtros, reenvío de eventos 284

filtrosID normalizado, seleccionar 318

FIPS, mododispositivo con clave aplicada, agregar 23

extensiones de archivo 23

terminología 23

firma, ver para reglas 386

flujo de trabajo, rastrear 332

flujoscomprobar 277


descripción 275

eliminar 307

establecer umbral de inactividad 276

recuperar 277, 278

vistas 295

formato de evento común, orígenes de datos 115

frase de contraseña y certificado, obtener para McAfeeVulnerability Manager 178

frecuencia de activacióncondición de alarma 246

fuentes de Cyber Threat 232, 253

fuentes de Internetcrear listas de vigilancia 320

funciones administrativasUCAPL, alarma 256

funciones de seguridad 207

Ggeolocalización, definir configuración del dispositivo 54, 278

Global Threat Intelligence, lista de vigilancia 319

gráfico de distribución, comparar valores 312

gramática de expresiones regulares para reglas de ADM 150

gravedadalarmas 246

asociación 107



ponderaciones 391

ponderaciones, configurar 392

gravedad de riesgoadministración del riesgoadministrar 345

vistas, personalizadas y predefinidas 345

grupo de almacenamiento duplicado, reconstruir 130

grupo de almacenamiento, agregar dispositivo dealmacenamiento para vincular 127

grupo de almacenamiento, agregar o editar 128

grupo de almacenamiento, mover 128

grupo de almacenamiento, reconstruir duplicado 130

grupo de dispositivos, administrar 33, 60

grupo de nombre/valor, agregar tipo personalizado 328

grupo de registro predeterminado, establecer 50

grupo de reglas 121

Grupo Hogar, desactivar uso compartido de archivos 127

gruposconfigurar usuarios 211

usuarios 205

grupos de reglas de McAfee 121

GTI, lista de vigilancia 319

HHadoop PIG 227

hardware 181

hardware, requisitos mínimos 19

historialcambios de directiva 392

ver cambios de reglas 388

historial de ejecución de TIE 307

hora del dispositivover para un evento 329

hora del eventover 329

hora del sistema, sincronizar 192

hora no sincronizada entre el ESM y el origen de datos 85, 273,274

IIBM ISS, origen de datos SiteProtector 119

icono de dispositivos, agregar 39

icono de obtención de eventos y flujos 39

iconos de inicio rápido 15, 35

ID de cliente 181

ID de equipo, ver para dispositivo 52

ID de firma del monitor de estado 259

alarmas 259

ID normalizadoseleccionar 318

identificación de usuariosadministrar 164

agregar regla 164

idioma, establecer para registros de eventos 31, 220

imágenesagregar a página de inicio de sesión 28

incluir en PDF e informes 287

Índice


importararchivo de normalización de cadenas 321

clave de dispositivo 44

lista de orígenes de datos 88

reglas 382

variable 353

importar configuración de zonas 343

importar hoja de cálculo de orígenes de datos 89

importar, nombres de host 190

inactivas, configurar archivo para particiones 203

inclusión automática en lista negra para reglas 384

inclusión en lista negra automática, configurar 177

indicadores de compromiso (IOC) 232, 253

indicadores de estado 39, 63

indicadores, dispositivo o sistema 63

índices de acumulación, aumentar disponibles 202

indización de acumulación, administrar 204

informativos, indicadores 63

informeadministrar consultas 221, 222

informe de análisis, generar para IPS 175

informe de hora de evento 181

informesacción de alarma 246

administración de casos, generar 335

agregar 286

agregar condición 287

alarmas 244, 254

análisis de IPS, generar 175

cancelar 244, 254

cola 244, 254


definidos por el usuario 285

descargar 244, 254

detener 244, 254

diseño 286

eliminar 244, 254


hora de evento 181

incluir imagen 287

mostrar nombres de host 287

notificaciones, agregar destinatarios 183

predefinidos 285

recuento de tipos de dispositivos 181

resumen de dispositivos 62

trimestrales, establecer mes de inicio 286

iniciar dispositivos 53

iniciar sesiónconsola, primera vez 27

definir configuración 207

lista de control de acceso 208

seguridad 207

iniciar varios dispositivos 61

intercambiar funciones de receptores de disponibilidad alta 73

interfazadministrar red 46, 185

configuración de red 46, 186

IPdirección, asignar etiquetas de ePolicy Orchestrator 169

IPMI, configurar puerto en ESM o dispositivos 188

IPMI, configurar puerto en la red 188

IPSasistente de detección de anomalías 174

configurar opciones 173

inclusión en lista negra automática, configurar 177

informe de análisis, generar 175

lista negra 176

lista negra, administrar 177

modo de solo alertas 380

reglas internas 359

variable de tráfico prioritario 393

variables de detección de anomalías, editar 175

Jjerarquía de ESM, enmascarar datos 219

LLDAP

autenticación de inicio de sesión 207

servidor, autenticar usuarios 211

licencia, actualizar en DEM 160

límites de asignación de datos, definir 204

límites de retención de datos, configurar 203

límites, configurar para retención de datos 203

Linuxcomandos 223

comandos disponibles 223

Linux, introducir comandos en dispositivo 51

lista de control de acceso, configurar 208

lista de exclusiones de IP, administrar 340

lista de vigilanciaadjuntar eventos 307

administrar consultas 221, 222

agregar 319

agregar reglas 389

crear en vista 307

crear nueva 389

descripción general 318

GTI 319

lista de vigilancia de Threat Intelligence Exchange 170, 253

lista negraa partir de evento en vista 307

administrar para IPS 177

agregar entrada de McAfee Network Security Manager 179

configuración de inclusión automática en la lista negra 177

configurar global 225

dispositivo virtual o IPS 176

Índice


lista negra (continuación)entrada, agregar o eliminar eliminada en McAfee Network

Security Manager 179

global 224

inclusión automática para reglas 384

lista negra global 224

configurar 225

listas de vigilanciaacción de alarma 246

fuentes de Internet 320

listas negrasacción de alarma 246

literales para reglas de ADM 150

logotipo, agregar a página de inicio de sesión 28

Mmantenimiento de archivos, administrar 215

mapa de red 340

máquina virtual, configurar almacenamiento de datos 202

máscaras de datos confidenciales 163

administrar 163

McAfee ePOcredenciales, configurar para usuarios 37, 210

McAfee ePO, orígenes de datos 118

McAfee Network Security Manageragregar o eliminar 179

configuración 179

entrada de lista negra eliminada 179

entrada de lista negra, agregar 179

McAfee Risk Advisoradquisición de datos 169

adquisición de datos, activar 169

McAfee ServicePortal, acceso 10

McAfee Vulnerability Manageranálisis, desde vista 307

certificado y frase de contraseña, obtener 178

conexiones, configurar 178

configuración 177

ejecutar análisis 178

McAfee, MIB 196

mejorada, búsqueda de ELM 296

memoria, utilización en base de datos 205

mensaje de syslogUCAPL, alarma 256

mensajesacción de alarma 246

alarmas 182, 239

alarmas, configurar 238

alarmas, destinatarios 241

alarmas, servidor de correo 182, 243

correo electrónico 238

destinatarios, alarmas 241


plantillas de alarma 239

servidor de correo, conectar 182, 243

mensajes (continuación)SMS 238

SNMP 238

syslog 238

MIBextraer de ESM 201

MIB de McAfee 196

migración de base de datosunidad virtual local 133

migrar la base de datos, ELM 138

migrar orígenes de datos a otro receptor 101

modelo, ver para dispositivo 52

modificar reglas 382

modo de sobresuscripción, configurar 381

modo de solo alertasactivar 380

directivas 380

modo FIPSactivar 21

comprobar integridad 22

comunicar con varios dispositivos ESM 24

copia de seguridad de información 23

funciones disponibles no conformes 21

funciones eliminadas 21

funciones solo disponibles en el modo FIPS 21

restaurar información 23

seleccionar 21

solucionar problemas 26

módulos de protocolo de correo electrónico para reglas de ADM157

módulos de protocolo de correo web para reglas de ADM 157

módulos de protocolo de transferencia de archivos para reglasde ADM 157

monitor de estadocondición de alarma 246

ID de firma 259

motor de correlación de riesgos, ACE 140

motor de correlación, ACE 140

mover grupo de almacenamiento 128

mover orígenes de datos a otro sistema 101

Nnavegación por el sistema

árbol 15, 35

barra 15, 35

NIC de omisiónconfigurar 48, 187

descripción general 47, 187

Nitro IPSresumen 14, 66

nodos de dispositivo duplicados, eliminar 34, 61

nombre/valor, tipos personalizados 328

nombres de hostadministrar 189, 190

nombres de host, importar lista 190

Índice


nombres de host, mostrar en informes 287

normalización 379

normalización de cadenasadministrar archivos 321

crear archivo que importar 321

normalización de RPC 355

normalización de solicitud web 355

notificación de fallos de alimentación 194, 270

notificación, configurar SNMP 48

NSMcapa 7 180

herramienta de configuración de NSM-SIEM 117


número de seriesistema 181

ver para dispositivo 52

Oomitir acción en reglas descargadas 391

opciones de configuración, aplicar al DEM 161

operación, establecer para DEM 163

operadores para reglas de ADM 150

origen de datosno sincronizado con ESM 85, 274

origen de evaluación de vulnerabilidades, agregar 81

orígenes de activos 341

administrar 341

agregar receptor 122

receptor 122


administrar 79

admitidos 104

agregar 78

agregar para ArcSight 114

agregar secundarios 86

analizador de syslog avanzado 108

aprendizaje automático, configurar 102

asociación de gravedades y acciones 107

ASP, codificación 112

Check Point, configurar 120

cliente 87

cliente, agregar 87

cliente, localizar 88

codificación para ASP 112

compatibilidad con la retransmisión de syslog 116

configuración de Adiscon 116

configurar ePolicy Orchestrator 4.0 114

correlación 106

crear automáticamente 83

formato de evento común 115

hoja de cálculo para importar 89

hora no sincronizada con ESM 85, 273

importar hoja de cálculo 89

importar lista 88

orígenes de datos 78 (continuación)McAfee ePO 118

migrar a otro receptor 101

mostrar desactivados 36, 206

mover a otro sistema 101

registros de seguridad de Windows 105

reglas de creación automática, agregar 84

Security Device Event Exchange (SDEE) 113

SiteProtector de IBM ISS 119

tipos definidos por el usuario 103

ver archivos generados 103

WMI Event Log 105

orígenes de datos secundarios, agregar 86

orígenes de datos, acciones de reglas 362

orígenes, agregar para enriquecimiento de datos 226

Ppágina de inicio de sesión, personalizar 28

panel de casos 15, 35

pantalla personalizada, agregar, editar, eliminar 32, 59

pantalla, seleccionar tipo 32, 60

parámetros, agregar a componente o regla de correlación 374

particiones inactivas, configurar archivo 203

PDF, incluir imagen 287

perfil de comando remoto, configurar 193

perfil de sistema de evaluación de vulnerabilidades, definir 80

perfiles, configurar 193

personalizadosfiltros de tipos 322


plantillas, mensajes de alarma 239

ponderaciones, configurar para gravedad 392

predefinidas, vistas 294

preferencias de la consola 35

preguntas más frecuentes 11, 16

propiedades específicas de protocolos para reglas de ADM 157

protocoloeventos de anomalía 143

protocolo DNA, anomalías en reglas de ADM 158

protocolo IP, anomalías en reglas de ADM 158

protocolo TCP, anomalías en reglas de ADM 158

proveedores de evaluación de vulnerabilidades disponibles enESM 82

puertosreceptor de disponibilidad alta, red 70

RRADIUS

autenticación de inicio de sesión 207

configuración de autenticación 208

rastrear un evento 332

rastreo de sesiones TCP/UDP 355

Real Time for McAfee ePOconsulta en el panel de ePO 173

Índice


Real Time for McAfee ePO (continuación)ejecutar acciones 170

receptororigen de activos, agregar 122



ampliar 74

comprobar estado 74

configurar dispositivos 71

intercambiar funciones 73

puertos de red 70

reinicializar dispositivo secundario 72

solucionar problemas si falla 76

sustituir receptor 76

receptor de disponibilidad alta secundario, reinicializar 72

receptoresarchivar datos sin procesar 76

configuración de archivado, definir 77

orígenes de activos 122


reconstruir grupo de almacenamiento duplicado 130

recopiladorSIEM Collector 79

recuperación de evaluación de vulnerabilidades, solucionarproblemas 82

recuperar actualizaciones de reglas 387

redadministrar interfaces 46, 185

componente de topología, agregar dispositivos 302

configurar opciones 185

interfaces, configurar en dispositivos 46, 186

puertos de receptor de disponibilidad alta 70

topología, detalles de dispositivos 303

red, descubrir 339

red, mapa 340

reducir asignación de almacenamiento en ELM 128

redundancia de ELMcambiar ELM 134

suspender la comunicación con el ELM en esperadesactivar la redundancia 134

ver detalles sobre la sincronización de datos 134

volver a poner el ELM en espera en servicio 134

reensamblado de TCP basado en destino 355

reenvío de eventosactivar o desactivar 283

agentes 282

agregar destinos 281

agregar filtros 284

configurar 280

editar configuración de filtrado 284

modificar configuración 283

referencia, diccionario de ADM 150

referencias métricasADM, reglas 155

DEM, reglas 367

registrar eventoacción de alarma 246

registroactivar para flujos 295

configurar ESM 220

establecer grupo predeterminado 50

ver de sistema o dispositivo 62

registro de flujos, activar 295

registro de mensajes, ver en dispositivo 50

registro del sistema, ver 62

registrosadministrar 218

comprobar 277


descripción 275

establecer idioma 31, 220

tipos generados 219

registros de seguridad de Windows 105

registros, almacenar en ELM 126

regla de rastreo de transacciones, agregar o editar 377

regla de selección para dispositivos virtuales, administrar 58

reglasactivar eventos 143

agregar a lista de vigilancia 389

agregar alarma 270

analizador de syslog avanzado 360

borrar estado de regla actualizado 387

buscar actualizaciones 30

comparar archivos 388

copiar y pegar 382

crear personalizadas a partir de evento 307

credenciales de actualización 29


estándar, acceso 175

eventos de Windows 363

exportar 384

filtrar existentes 385

firewall, acceso 175

gravedad 391

historial, ver cambios 388

importar 382

inclusión automática en lista negra 384

internas 359

modificar 382

modificar configuración de agregación 390

normalización 379

omitir acción en descargadas 391

origen de datos 362

preprocesador 355, 356

rastreo de transacciones, agregar o editar 377

recuperar actualizaciones 387

tipos y propiedades 351

variables 352

ver firma 386

ver personalizadas 382

Índice


reglas de acceso a datos, agregar o editar 376

reglas de ASPestablecer orden 361

formatos de hora, agregar 361

reglas de ASP personalizadas, agregar 360

reglas de correlación 371

agregar parámetros 374

conflictos al importar 383

ejemplo 375

reglas de Threat Intelligence Exchange 170, 253

reglas de creación automática de orígenes de datos, agregar 84

reglas de filtradoestablecer orden 361

orden de las reglas 359

orden de los datos 359

reglas de firewall 356

acceso 175

agregar excepciones 357

agregar personalizadas 357

crear a partir de evento o flujo 307

tipos 356

reglas de inspección profunda de paquetes (DPI) 358

agregar 358

atributos, agregar 358

reglas de origen de datos 362

aprendizaje automático, administrar 362

reglas de origen de datos de aprendizaje automático,administrar 362

reglas de preprocesador 355, 356

reglas estándar, acceso 175

reglas internas 359

administrar 359

reglas personalizadasver 382

reinicializar receptor de disponibilidad alta secundario 72

reiniciar dispositivos 53

reiniciar varios dispositivos 61

reloj de dispositivos, sincronizar 192

reloj del sistema 181

Remedyacción de alarma 246

configuración del servidor 181

ID de caso, agregar al registro de evento 309

ID de caso, establecer 307

requisitos mínimos de hardware y software 19

responderalarmas 250

restaurarclaves de comunicación 220

configuración del sistema 212

restaurar archivos de configuración con copia de seguridad 214

restaurar configuración de ESM 213

restaurar ELM mediante copias de seguridad 137

retención de datos, configurar límites 203

riesgoamenazas que incluir en el cálculo 346

rutas estáticas, agregar 47, 187

SSDEE, orígenes de datos 113

secuestro de sesiones, TCP 354

seguridad, claves de comunicación SSH 44

ServicePortal, buscar documentación del producto 10

servidor de correo,alarmas, conectar 182, 243

conectar 182, 243

servidores NTPestablecer para dispositivo 49, 184

ver estado 184

sesióncerrar en la consola 27

sesiones simultáneasUCAPL, alarma 256

sincronización de hora 192

sincronizar dispositivorelojes 192

sincronizar dispositivo con ESM 49

sincronizar hora del sistema 192

SMSalarmas 238

SNMPalarmas 238

configuración 193

configurar notificaciones 48

MIB 196

notificación de fallos de alimentación 194, 270

softwareactualizar en varios dispositivos 61

software, actualizar dispositivo 45, 51

software, actualizar ESM 29

software, requisitos mínimos 19

solución de problemasfallo de receptor de disponibilidad alta 76

solucionar problemas del modo FIPS 26

soporte técnico, encontrar información de productos 10

SSHclaves de comunicación, administrar para dispositivos 44

comunicación, desactivar con ESM 54

regenerar clave 221

subzonasagregar 344

supervisaralarmas 250

supervisar tráfico de dispositivo 52

sustituir receptor con problemas 76

sustituir receptor de disponibilidad alta 76

syslogalarmas 238

Índice


Ttasa de comprobación

condición de alarma 246

tasa de eventoscondición de alarma 246

TCPanomalías de protocolo 354

secuestro de sesiones 354

tema de color, consola 36

terminal, usar comandos Linux 223

Threat Intelligence Exchangeintegración con ESM

historial de ejecución 170, 253

tiempo de espera, consola 36

tipo de pantalla de dispositivos, seleccionar 32, 60

tipo de pantalla predeterminada, cambiar 36, 206

tipo personalizadoagregar grupo de nombre/valor 328

tipos de reglas 351

tipos de términos para reglas de ADM 153

tipos personalizadoscrear 324

de tiempo, agregar 328

nombre/valor 328

predefinidos 324

trabajo de búsqueda 139

trabajo de búsqueda, crear 139

trabajo de búsqueda, ver resultados 136

trabajo de comprobación de integridad 139

crear 140

tráfico prioritario, administrar 393

trimestrales, establecer mes de inicio de informes 286

UUCAPL

alarmas, crear 256

auditorías, alarma 256

capturas SNMP, alarma 256

certificados, alarma 256

error de registro de seguridad, alarma 256

errores de inicio de sesión, alarma 256

estado del sistema, alarma 256

funciones administrativas, alarma 256

mensaje de syslog, alarma 256

sesiones simultáneas, alarma 256

umbral de inactividad, alarma 256

UCF, filtros 317

umbralcondición de alarma 246

umbral de inactividadUCAPL, alarma 256

umbral de inactividad, establecer 276

unidad virtual local 133

uso compartido de archivos en el Grupo Hogar, desactivar 127

uso de almacenamiento, ver en ELM 138

usuario asignadoescalación de alarmas 246

usuariosagregar 206

agregar inicio de sesión CAC 209

autenticar mediante servidor LDAP 211

desactivar 211

nombre predeterminado 27

reactivar 211

uso 205

Vvariables 352

categoría, agregar ahora 353


importar 353

modificar 353

modificar tipo 353

personalizadas, agregar 353

priority_traffic 393

varios dispositivosadministrar 61

icono de administración 39

veradministrar consultas 221, 222

ver preferencias de panel 36

versión, ver para software 52

vincular componentes 311

vínculo de URLagregar información de dispositivo 53

vínculos de URLagregar a dispositivo 62

virtual, unidad local 133

visor de sesión, ver contraseñas 145

vista predeterminada, cambiar 314

vistasadministrar 313

agregar personalizadas 298

barra de herramientas 15, 35, 293

barra de herramientas de componentes 304

búsqueda de ELM mejorada 295

cambiar predeterminada 314

componentes 299

componentes, descripción 300

componentes, personalizar 301


datos de una vista 315

detalles de datos 304

filtrar 315

filtros 315

flujo 295

nombres de host, mostrar en lugar de direcciones IP 298

panel 15, 35

Índice


vistas (continuación)predefinidas 294

vistas de fábrica 294

VLANagregar 48, 186

cambiar 307

volcado de TCP 52

vulnerabilidadadministrar orígenes 342

evaluación 342

gravedad 391

WWHOIS

búsqueda desde vista 307

búsqueda, realizar 308

WindowsID de evento, filtros 317

Windows (continuación)reglas de eventos 363

WMI Event Log 105

Zzipzap 355

zona horariaformato, cambiar 36, 206

zonasadministrar 342

agregar 343

agregar una subzona 344

exportar configuración 343

importar configuración de zonas 343

Índice


0-02

Documents

McAfee Enterprise Security Manager 9.5 acompaÑan al paquete de software, o que haya recibido por separado como parte de la compra (por ejemplo, un manual, un