guia de instalação do mcafee enterprise security manager ... · separadamente como parte da...

Guia de instalação do McAfee EnterpriseSecurity Manager 10.2.0

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de instalação do McAfee Enterprise Security Manager 10.2.0 Guia de instalação

Conteúdo

1 Visão geral da instalação 5Componentes do McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . . 5Cenários de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Visão geral da instalação do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2 Configurar a VM 9Configurar a interface de rede de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Codificar o dispositivo VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3 Montar o ESM em uma máquina virtual 11Requisitos de sistema da VM do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Download da imagem da VM do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Montar o ESM em uma VM do VMware ESXi . . . . . . . . . . . . . . . . . . . . . . . . . 12

Requisitos de VM do VMware ESXi . . . . . . . . . . . . . . . . . . . . . . . . . 12Montar a máquina virtual de VMware ESXi . . . . . . . . . . . . . . . . . . . . . . 12

Montar o ESM em um KVM Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Requisitos da KVM Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Distribuir o software ESM para KVM Linux . . . . . . . . . . . . . . . . . . . . . . 13

Montar o ESM em uma VM AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Como usar o ESM com AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Criar o AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Criar a imagem de ESM e instalá-lo no AWS . . . . . . . . . . . . . . . . . . . . . . 16Configurar conexões do AWS do ESM . . . . . . . . . . . . . . . . . . . . . . . . 19

Montar o ESM em um HVM AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Instalar o ESM no AWS HVM . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4 Definir a configuração inicial do ESM 21Entrar no console do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . . . . . . 22Confirmar se todos os dispositivos aparecem no ESM . . . . . . . . . . . . . . . . . . . . . 23Codificar um dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

5 Atualizar um único dispositivo 25

6 Atualizar o sistema ESM 27Preparar para atualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Fazer download dos arquivos de atualização . . . . . . . . . . . . . . . . . . . . . 27Fazer backup do banco de dados . . . . . . . . . . . . . . . . . . . . . . . . . 28Fazer backup das configurações do McAfee ESM e dos dados do sistema . . . . . . . . . . . 29Verificar o status de alta disponibilidade do ERC . . . . . . . . . . . . . . . . . . . . 30

Identificar e solucionar casos especiais de atualização . . . . . . . . . . . . . . . . . . . . . 31Atualizar dispositivos (modo não FIPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Atualizar dispositivos (modo FIPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Atualizar receptores de alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . 36

Guia de instalação do McAfee Enterprise Security Manager 10.2.0 Guia de instalação 3

Índice 39

Conteúdo


1 Visão geral da instalação

Conteúdo Componentes do McAfee Enterprise Security Manager Cenários de configuração Visão geral da instalação do McAfee ESM

Componentes do McAfee Enterprise Security ManagerO McAfee ESM e seus componentes são instalados na rede e configurados para identificar vulnerabilidades eameaças.

Se houver uma ameaça, o ESM poderá:

• Notificá-lo usando a interface do usuário, e-mail, SNMP ou mensagem de texto.

• Salvar o histórico da ameaça para análise.

• Agir automaticamente na ameaça com base na política configurada.

Os componentes do McAfee ESM incluem:

• McAfee® Enterprise Security Manager (McAfee ESM) — disponível como um componente de hardware ouinstalação de software de máquina virtual (VM), o McAfee ESM exibe dados de ameaças, feeds de reputaçãoe status de vulnerabilidade. Ele também mostra uma visão dos sistemas, dados, riscos e atividades dentroda empresa.

• McAfee Event Receiver (ERC) — disponível como um componente de hardware ou instalação de software deVM, ele coleta dezenas de milhares de eventos por segundo, analisa esses dados e os envia para osdispositivos ESM.

• McAfee® Enterprise Log ManagerMcAfee Enterprise Log Manager (ELM) — disponível como um componentede hardware ou instalação de software de VM, ele coleta, compacta, assina e armazena eventos parafornecer uma trilha de auditoria de atividade comprovada.

• McAfee Enterprise Log Search (ELS) — Um componente de hardware que coleta, indexa e armazena todosos eventos para fornecer uma trilha de auditoria de atividade comprovada. O ELS pesquisa eventos commais rapidez do que o ELM, porque ele usa índices.

• McAfee Receiver/ELM (ELMERC) — Disponível como um componente de hardware ou instalação de softwarede VM que inclui o ELM e o ERC.

• McAfee® Advanced Correlation Engine (McAfee® ACE) — disponível como um componente de hardware ouinstalação de software de VM que simplifica a correlação de eventos e a inicialização para identificar epontuar eventos de ameaça no histórico ou em tempo real, usando a lógica baseada em regra e em risco.

• McAfee Application Data Monitor — um componente de hardware que monitora mais de 500 aplicativosconhecidos por meio da pilha inteira de camadas e captura detalhes de todas as violações da sessãocompleta.

1


• McAfee Database Event Monitor () — um componente de hardware que automatiza a coleta, ogerenciamento, a análise, a visualização e a geração de relatórios do acesso ao banco de dados para amaioria das plataformas de bancos de dados.

• McAfee Direct Attached Storage (DAS) — Um componente de hardware conectado ao ESM, ELM ou ELS paraexpandir o espaço de armazenamento.

Em soluções redundantes, é necessário um dispositivo DAS em cada sistema. Por exemplo, dois ELMsredundantes requerem dois dispositivos DAS.

• Console do ESM — um computador com um navegador usado por administradores de segurança paraconfigurar e gerenciar o ESM.

Use apenas uma combinação de ESM ou vários desses componentes, dependendo do seu ambiente.

Para obter informações detalhadas sobre configuração, consulte o Guia de produto do McAfee Enterprise SecurityManager.

Cenários de configuração Configure o McAfee ESM com apenas uma combinação de ESM ou adicione componentes para identificarameaças em uma grande rede empresarial.

Adicione componentes ao ambiente de rede para aumentar o desempenho, adicionar funcionalidade eaumentar a capacidade de armazenamento de eventos. Por exemplo, a inclusão dos componentes a seguir oude modelos mais avançados de um componente existente pode dimensionar a proteção da sua rede.

Os dispositivos da combinação de ESM instalados na máquina virtual têm limites de número de componentesque podem ser adicionados.

• McAfee ACE: aumenta a capacidade de eventos por segundo (EPS), logs, fluxos de rede e informaçõescontextuais enviadas ao ESM

• McAfee Application Data Monitor: escuta o tráfego da camada 7 na rede para monitorar aplicativos quenormalmente seriam perdidos com o uso apenas do log e rastreia os detalhes da transação do aplicativoque podem ser armazenados.

• DEM: aumenta as transações do banco de dados que podem ser armazenadas, o acesso a elas e descobrebancos de dados desconhecidos na rede como medida extra de segurança.

• ERC — ERCs adicionais aumentam a taxa de transferência de EPS dos segmentos da sua rede e as origensde dados conectadas.

A taxa de transferência de EPS de um ERC depende do modelo.

• ELM — Aumenta os registros brutos que você pode compactar e armazenar. O ELM é o único dispositivoque armazena os registros em "Formato bruto" compatível.

• ELS — Comparado com o ELM, o ELS acelera a pesquisa de dados de evento usando suas tags de índice.Mas sua taxa de compactação é bem menor do que a do ELM e pode não atender às exigências deconformidade.

• ESM: a adição de ESMs permite que você aprimore o desempenho fragmentando dados e impeça a perdade dados replicando dados.

Cenário de ESM simples

A figura mostra que um dispositivo do ESM fornece visibilidade dos eventos da rede.

1 Visão geral da instalaçãoCenários de configuração


Cenário de ESM complexo

Essa figura mostra como vários componentes do ESM lhe dão visibilidade de eventos em uma rede empresarialde grande porte. Adicione componentes do ESM à medida que a rede crescer e o número de eventosaumentar.

Visão geral da instalaçãoCenários de configuração 1


Visão geral da instalação do McAfee ESMEste fluxograma apresenta uma visão geral das etapas necessárias para instalar a solução ESM.

1 Visão geral da instalaçãoVisão geral da instalação do McAfee ESM


2 Configurar a VM

Conteúdo Configurar a interface de rede de VM Codificar o dispositivo VM

Configurar a interface de rede de VM

Tarefa1 Conecte um monitor e um teclado ao dispositivo e ligue-o.

O processo de inicialização é concluído em aproximadamente dois minutos, e é exibida a página dessa telade cristal líquido (LCD).

2 Pressione Esc duas vezes, role para baixo até Config. de IP de GER. e pressione Enter.

3 Defina o endereço IP da VM do ESM.

a Role para baixo até Ger1 e pressione Enter.

b Role para baixo até Endereço IP e pressione Enter.

c Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois de concluído,pressione Enter.

4 Defina o endereço IP da máscara de rede.

a Role para baixo até Máscara de rede e pressione Enter.

b Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois de concluído,pressione Enter.

2


5 Defina o endereço IP do gateway da rede.

a Role para baixo até IP do gateway e pressione Enter.


6 Defina o endereço IP do DNS.

a Role para baixo até IP de DNS1 e pressione Enter.


7 Configure o DHCP.

a Role para baixo até DHCP e pressione Enter.

b Ative/desative a configuração entre S(im) e N(ão) e em seguida pressione Enter para selecionar aconfiguração correta.

8 Encerre e salve as alterações.

a Role para baixo até Concluído e pressione Enter para retornar à Config. de IP de GER.

b Role para Salvar alterações e pressione Enter.

9 (Opcional) Se você estiver usando o modo FIPS, altere a porta de comunicação.

a Pressione a seta para baixo duas vezes, depois pressione Enter.

b Role para baixo até Porta de comunicação e pressione Enter.

c Altere o número da porta e pressione Enter.

Anote o novo número da porta, pois ele será necessário no momento de codificar o dispositivo.

Codificar o dispositivo VMCodifique o dispositivo para estabelecer um vínculo entre ele e o ESM.

Antes de iniciarConecte fisicamente o dispositivo à rede.

Tarefa1 Na árvore de navegação do sistema, clique no sistema ou grupo e no ícone Adicionar dispositivo no painel

de ações.

2 Insira as informações solicitadas em cada página do Assistente de adição de dispositivo.

2 Configurar a VMCodificar o dispositivo VM


3 Montar o ESM em uma máquina virtual

Conteúdo Requisitos de sistema da VM do ESM Download da imagem da VM do ESM Montar o ESM em uma VM do VMware ESXi Montar o ESM em um KVM Linux Montar o ESM em uma VM AWS Montar o ESM em um HVM AWS

Requisitos de sistema da VM do ESMA máquina virtual (VM) que você usa para o McAfee ESM deve ser configurada com alguns requisitos mínimos.

• Processador — 8 núcleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/DualOpteron64 ou superior

• RAM — Depende do modelo (4 GB ou mais)

• Espaço em disco — Depende do modelo (250 GB ou mais)

• ESXi 5.0 ou posterior

• Configuração ampla ou reduzida: escolha os requisitos de disco rígido para seu servidor. O requisito mínimoé de 250 GB. Consulte as especificações de seu produto de VM.

Download da imagem da VM do ESM

Antes de iniciarVocê deve ter o Número de concessão da McAfee para fazer download do software do ESM.

Tarefa

1 Use o navegador para acessar o site de downloads da McAfee.

2 Clique em Downloads, digite seu Número de concessão da McAfee e o código Captcha, depois clique emEnviar.

3 Na página Meus produtos, role a lista para baixo e selecione um arquivo de download de VM** do McAfeeEnterprise Security Manager.

O número no nome do arquivo de download indica o número de núcleos que a imagem do ESM aloca para aVM. Por exemplo, o arquivo "VM32" aloca 32 núcleos para a VM.

3


4 Selecione a guia Versão atual e selecione a imagem de VM do McAfee Enterprise Security Manager.

5 Selecione um arquivo de imagem e o salve em seu sistema local. Anote o nome do arquivo e o local. Vocêprecisará dessas informações para montar a imagem.

Montar o ESM em uma VM do VMware ESXi

Conteúdo Requisitos de VM do VMware ESXi Montar a máquina virtual de VMware ESXi

Requisitos de VM do VMware ESXiA VM do VMware ESXi precisa atender a esses requisitos mínimos.

• Processador — 4 núcleos, dependendo do modelo, 64 bits, Dual Core2/Nehalem ou superior ou AMD DualAthlon64/Dual Opteron64 ou posterior

O número de núcleos da CPU que a imagem suporta está indicado no nome do arquivo da imagem. Porexemplo, a imagem "McAfee Enterprise Security Manager VM4" oferece suporte a 4 núcleos. Não é possíveladicionar ou subtrair processadores da VM nem alterar o número do ID da VM.

• RAM – 4 GB (depende do modelo)

• Disco – 250 (depende do modelo)

Compartilhar a CPU ou a RAM com outras VMs afeta o desempenho da VM do ESXi.

• ESXI: 5.0 ou posterior

Você pode selecionar as necessidades de requisitos de disco rígido para o servidor. Mas o requisito de VMdepende do modelo do dispositivo (pelo menos 250 GB). Caso não haja pelo menos 250 GB disponíveis, seráexibida uma mensagem de erro quando a VM for distribuída.

Esse espaço em disco é para o sistema operacional e não inclui o espaço necessário ao banco de dados ouregistros.

A VM usa muitos recursos que requerem o uso de CPU e RAM. Se o ambiente do ESXi compartilhar osrequisitos de CPU ou RAM com outras VMs, o desempenho da VM será afetado.

A McAfee recomenda definir a opção de configuração como Ampla.

Montar a máquina virtual de VMware ESXiDepois que você montar e codificar uma VM do VMware ESXi, o funcionamento será igual ao do ESM.

Tarefa

1 Acesse a raiz da unidade de CD (para instalação de CD) ou faça download dos arquivos .ova do ESX do sitede downloads.

2 No vSphere Client, clique no endereço IP do servidor na árvore de dispositivos.

3 Clique em File (Arquivo) e selecione Deploy OVF Template (Distribuir modelo OVF).

4 Designe o nome, a pasta para montagem da VM, a definição da configuração de disco e a opção Rede VM.

5 Distribua os arquivos para o servidor ESXi, selecione a VM e defina a configuração de Editar máquina virtual.

3 Montar o ESM em uma máquina virtualMontar o ESM em uma VM do VMware ESXi


http://www.mcafee.com/us/downloads/downloads.aspx

http://www.mcafee.com/us/downloads/downloads.aspx

6 Selecione as configurações de rede corretas para os switches/adaptadores da rede VMware ESXi e clique emReproduzir para inicializar a VM.

7 Usando o menu VM, defina o endereço IP de GER1, a máscara de rede, o gateway e os endereços DNS, epressione Esc para ativar o menu.

8 Configure a interface de rede na VM, salve as alterações antes de sair da janela Menu e codifique odispositivo. Para obter detalhes sobre como codificar os dispositivos, consulte o Guia de produto do McAfeeEnterprise Security Manager.

Montar o ESM em um KVM Linux

Conteúdo Requisitos da KVM Linux Distribuir o software ESM para KVM Linux

Requisitos da KVM LinuxA KVM Linux, onde o software ESM é instalado, deve atender aos requisitos mínimos.

Requisitos mínimos

• Processador — 4 núcleos ou mais, dependendo do modelo, 64 bits, Dual Core2/Nehalem ou superior ouAMD Dual Athlon64/Dual Opteron64 ou posterior (para processadores)

O número de núcleos da CPU que a imagem suporta está indicado no nome do arquivo da imagem. Porexemplo, a imagem "McAfee Enterprise Security Mgr VM4" suporta 4 núcleos. Não é possível adicionar ousubtrair processados da VM nem alterar o número do ID da VM.

• RAM — Depende do modelo (4 GB ou mais)

• Espaço em disco — Depende do modelo (250 GB ou mais)

Compartilhar a CPU ou a RAM com outras VMs afeta o desempenho da KVM.

• 2 interfaces Virtio Ethernet para o ESM

• Dispositivos de classe Receptor/3 para dispositivos de classe IPS

Essas interfaces usam endereços MAC sequenciais.

• 1 controlador de disco Virtio/Virtio-SCSI, que controle o disco rígido virtual do Virtio

Distribuir o software ESM para KVM LinuxPara executar o McAfee ESM em um ambiente KVM Linux, é necessário importar a imagem do disco rígido dotarball (arquivo .tgz).

Tarefa1 Obtenha o arquivo tarball (.tgz) atual na página de download do McAfee Enterprise Security Manager.

O tarball contém arquivos de configuração de exemplo.

2 Mova o arquivo tarball para o diretório onde você deseja colocar o disco rígido virtual.

Montar o ESM em uma máquina virtualMontar o ESM em um KVM Linux 3


https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us

3 Extraia o tarball executando este comando: tar –xf McAfee_ETM_VM4_250.tgz

tar –xf McAfee_ETM_VM4_250.tgz

Para distribuir várias VMs do mesmo tipo no mesmo local, altere o nome do disco rígido virtual.

ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw para my_first_erc.raw, my_second_erc.raw, porexemplo.

4 Crie uma VM no hipervisor KVM usando:

(libvirt, qemu-kvm, proxmox, virt-manager, ovirt)

5 Aponte a imagem da VM para o disco rígido virtual existente (arquivo .raw do disco Virtio) onde você extraiuo tarball.

Montar o ESM em uma VM AWS

Conteúdo Como usar o ESM com AWS Criar o AWS Criar a imagem de ESM e instalá-lo no AWS Configurar conexões do AWS do ESM

Como usar o ESM com AWSUm servidor virtual AWS (Amazon Web Services) fornece os mesmos recursos e desempenho de uma VM doMcAfee ESM configurado localmente.

As etapas básicas para criar um servidor AWS em sua rede com o McAfee ESM incluem:

1 Obtenha uma conta da AWS em http://aws.amazon.com/.

2 Entre no Console de gerenciamento da AWS e configure sua instância do AWS.

3 Instale o software do ESM, ERC, ELM, ELS ou ACE.

4 Configure o dispositivo ESM.

Criar o AWSAntes de instalar o ESM em um servidor AWS, crie o servidor com as configurações adequadas e crie tambémuma conexão com a rede da sua empresa.

Antes de iniciarÉ preciso ter uma conta do Amazon Web Services.

Este exemplo e os valores selecionados descrevem um servidor ESM simples. Os valores que você selecionapodem ser diferentes.

Tarefa

1 Entre no console do AWS para abrir a página Console do AWS.

2 Defina a região do data center do AWS como o local mais próximo à maioria de suas redes.

3 Montar o ESM em uma máquina virtualMontar o ESM em uma VM AWS


http://aws.amazon.com/

3 Em Computação, clique duas vezes em EC2 (Amazon Elastic Compute Cloud) para abrir a Etapa 1: EscolherAmazon Machine Image (AMI) e selecionar a instância do servidor Amazon Linux AMI.

Esse tipo tem as ferramentas AWS/EC2 pré-instaladas. Se você escolher outros tipos Linux, precisará instalaras ferramentas AWS/EC2.

4 Abra a Etapa 2: Escolher tipo de instância, selecione m3.large e clique em Avançar: Configurar detalhes dainstância.

Ao escolher o tipo de instância para um dispositivo McAfee, certifique-se de selecionar a contagem de CPUcorreta.

5 Clique em Avançar: Configurar detalhes da instância para selecionar a rede a ser usada durante a execução dainstância.

É necessário que você consiga se conectar à sua instância usando:

• Endereço público

• Endereço privado

Você pode criar sua própria Nuvem privada virtual (VPC) no AWS. Para obter mais informações, consulte VPCnos serviços da lista suspensa.

6 Clique em Avançar: Adicionar armazenamento para abrir a Etapa 4: página Adicionar armazenamento. Deixeos padrões selecionados para a instância de "compilação" da Amazon.

O padrão para dispositivos McAfee é 250 GB. Você pode adicionar mais volumes, caso precise.

7 Clique em Avançar: Instância de marca para abrir a Etapa 5: Página Instância de marca. Digite um nome parapoder localizar a instância na coluna "Valor".

8 Clique em Avançar: Configurar grupo de segurança para abrir a Etapa 6: Página Configurar grupo desegurança, em seguida, selecione:

• Criar um novo grupo de segurança — Um novo grupo de segurança limita quem pode entrar para acessara instância.

Adicione a faixa de endereços IP externos.

• Selecionar um grupo de segurança existente.

9 Clique em Verificar e iniciar para abrir a Etapa 7: Verificar e iniciar instância e clique em Iniciar.

Desconsidere este aviso caso ele seja exibido: A configuração de sua instância não está qualificada para acamada de uso livre.

10 Selecione um par de chaves ou crie um novo par, pois ele será necessário para entrar em sua novainstância.

11 Clique em Iniciar instância e Exibir instâncias para confirmar o status do servidor AWS.

Pode levar de 20 a 30 minutos até a sua instância ficar pronta para ser acessada. Quando a colunaVerificações de status, ao lado da nova instância, exibe 2/2 verificações, você está pronto para iniciar oprocesso de instalação.

12 Anote o endereço IP público. Mostrado neste exemplo como: cc.dd.ee.ff.

Esse endereço IP é necessário para transferir o instalador para a instância e para entrar.

Você criou seu servidor AWS. Continue com o processo de instalação e criação da imagem do AWS.

Montar o ESM em uma máquina virtualMontar o ESM em uma VM AWS 3


Criar a imagem de ESM e instalá-lo no AWSInstalar o ESM em um servidor AWS é diferente de instalar o software em um servidor físico. Estas etapasdescrevem o processo.

Antes de iniciarÉ preciso que você tenha criado o servidor AWS e conectado ao servidor.

É preciso saber o endereço IP configurado do servidor AWS.

Tarefa1 Use scp ou pscp (PuTTY Secure Copy Client) para converter o arquivo .pem em .ppk.

Por exemplo, ao usar o Secure Copy Client, use este comando para converter o arquivo de chave etransfira-o para a nova instância do AWS:

scp -i mykeypair.pem siem_install.sh [email protected]:

Ao usar o PuTTY Secure Copy Client, use este comando para converter o arquivo:

pscp -i mykeypair.pem siem_install.sh [email protected]>:

Estas são as variáveis dos exemplos anteriores:

• siem_install.sh — Nome do arquivo de conversão

• ec2-user — Nome do usuário

• cc.dd.ee.ff — Endereço IP

No Windows, use WinSCP para copiar o arquivo em sua instância, convertendo o arquivo .pem para .ppkpara PuTTY ou WinSCP.

2 Entre na nova instância de AWS usando SSH ou PuTTY com este comando:

ssh -i mykeypair.pem [email protected] são as variáveis do exemplo:

• mykeypair.pem — Nome do arquivo SSH de conversão

• ec2-user — Nome do usuário

• cc.dd.ee.ff — Endereço IP

3 Digite este comando para alterar para raiz e pressione Enter:

sudo su

4 Execute aws configure como raiz e forneça a ID da chave de acesso e a Chave de acesso secreta que vocêrecebeu, usando estes comandos:

[root@<IP address> <ec2-user name>]# aws configure

AWS Access Key ID [None]: <Access Key ID>

AWS Secret Access Key [None]: <Secret Access Key>

Default region name [None]: (Deixe em branco e pressione Enter)

Default output format [None] (Deixe em branco e pressione Enter)



5 Confirme se o script de instalação é executável. Se for necessário, use chmod. Por exemplo:

chmod u+x siem_install.sh

6 Crie uma imagem de AMI e uma instância com este comando:

./siem_install.sh

Se for emitido um erro indicando que as chaves não foram definidas, você poderá adicionar as chaves nalinha de comando. Por exemplo:

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ETM_VM8.sh

A chave de acesso ou a chave secreta de AWS não foi definida

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ERU_VM8.sh -O <ID da chave deacesso> -W

<Chave de acesso secreta>

Para acessar a Ajuda, as opções de saída:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh -h

install_McAfee_ETM_VM8.sh - instalar SIEM no Amazon EC2

install_McAfee_ETM_VM8.sh [opções]

opções:

-h, --help mostram ajuda breve

-O chave AWS

-W Chave secreta de AWS

A criação da imagem de AMI leva cerca de 20 minutos e não é um processo interativo. Este é um exemplo dasaída:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh Descompactando arquivos Executando o instalador Criando volume Anexando volume formatando volume 1+0 registros de entrada 1+0 registros de saída 4194304 bytes (4,2 MB) copiados, 0,0467013 s, 89,8 MB/s mke2fs 1.42.9 (28-Dez-2013) mke2fs 1.42.9 (28-Dez-2013) montando partição principal copiando arquivos principais montando partição de inicialização copiando arquivos de inicialização Atualizando fstab Atualizando grub desmontando partição de inicialização desmontando partição principal desconectando volume Criando instantâneo (isso levará algum tempo) Criando AMI Criada a AMI "ami-bb8afc81". Para executar, inicie uma instância dessa AMI Excluindo volume (temporário) Cliente.VolumeInválido.NãoEncontrado: o volume "vol-9eb2ae81" não existe. Concluído

7 Quando a imagem for criada, saia do shell principal, saia da instância, vá para o Dashboard EC2 e finalize ainstância em execução.

A finalização da instância destrói a instância.

8 Entre no AWS, clique na barra lateral AMIs e encontre a AMI que você criou.

Agora essa AMI tem o nome do script de instalação. Neste exemplo, McAfee_ETM_VM8.

9 Clique com o botão direito no nome da AMI e clique em Iniciar.

10 Percorra as opções de inicialização e clique em Iniciar. Para os dispositivos de tipo McAfee, a etapa do parde chaves não é necessária. Selecione Prosseguir sem um par de chaves e clique na confirmação.



11 Quando a AMI tiver sido iniciada e passado pelas "verificações de status", abra um navegador e navegue atéo endereço IP atribuído. Para este exemplo, digite http:\\172-31-6-172\ no navegador.

Todos os dispositivos McAfee no AWS são ativados usando o DHCP e o endereço IP é atribuído a elesautomaticamente.

O endereço IP de navegação depende de como você configurou a rede no AWS. Você pode ter um endereçoIP privado ou público. Para uso de longo prazo, recomendamos o uso de um endereço IP privado.

Em seu primeiro acesso ao ESM, esse aviso é exibido indicando que você está na nuvem e precisa confirmaros recursos dos quais tem licença para usar.

Neste exemplo, o hash foi ocultado.

12 Clique em Enviar hash por e-mail para preencher seu cliente de e-mail padrão com o hash criado.



13 Adicione seu número de concessão ao e-mail e o envie.

É exibida a caixa de diálogo Hash aceito, indicando que o hash foi enviado com êxito.

Um representante do suporte examina seu número de concessão e verifica os recursos para os quais vocêtem licença. Em seguida, ele envia de volta a você uma cadeia de hash para substituir a exibidaanteriormente. Quando você clicar em Enviar, poderá entrar pela primeira vez.

14 Ao entrar no AWS novamente, substitua o hash existente pelo hash enviado pela McAfee e clique em Enviar.

Agora, você pode entrar no AWS do ESM sem problemas, além de configurar, codificar e começar a usar odispositivo AWS.

Configurar conexões do AWS do ESMDepois de configurar o hash para o AWS do ESM, conecte-se e adicione dispositivos.

Antes de iniciarÉ preciso que você tenha criado o AWS e instalado o ESM no AWS.

Tarefa

1 Após a verificação de hash com a McAfee, você pode usar seu endereço IP configurado para entrarinicialmente no ESM. Para obter detalhes, consulte Entrar no console do McAfee ESM.

2 Conecte os dispositivos físicos e virtuais ao ESM.

3 Confirme se todos os dispositivos ESM aparecem no ESM antes de configurá-los.

4 Codifique os dispositivos para concluir a configuração.



Montar o ESM em um HVM AWS

Instalar o ESM no AWS HVMO McAfee ESM é instalado no AWS HVM usando scripts. Os scripts de instalador SIEM Amazon EC2 criamimagens da máquina Amazon (AMIs) do qual você pode iniciar instâncias de VM de dispositivos. Há uminstalador separado para cada dispositivo (ETM, ERC, McAfee ACE etc.), e cada instalador produz uma AMI paraesse dispositivo específico.

Antes de iniciarCertifique-se de que você tenha o(s) script(s) do instalador.

Tarefa1 No dashboard Amazon EC2, selecione Instances (Instâncias) na barra de menu esquerda e clique em Launch

Instance (Iniciar instância).

2 Selecione Amazon Linux AMI.

3 Na tela Choose Instance Type (Escolher tipo de instância), escolha m3.medium ou m4.large e clique em Next(Próximo).

4 Na tela Configure Instance Details (Configurar detalhes da instância), clique em Next (Próximo).

5 Na tela Add Storage (Adicionar armazenamento), clique em Next (Próximo).

6 Na tela Add Tags (Adicionar marcas), clique em Next (Próximo).

7 Na tela Configure Security Group (Configurar grupo de segurança), selecione Create (Criar) ou selecione umgrupo de segurança que permita acesso SSH à instância.

8 Clique em Review And Launch (Revisar e iniciar).

9 Clique em Launch (Iniciar).

10 Selecione um par de chaves ao qual você tem acesso e clique em Launch Instances (Iniciar instâncias).

11 No prompt de comando, digite scp -i ~/my_key.pem install_hvm_etm_16.shec2-user@instance_ip_address:

O script do instalador é copiado para a máquina virtual.

12 Para entrar, digite ssh -i ~/my_key.pem ec2-user@instance_ip_address.

13 Torne-se raiz digitando sudo su.

14 Digite aws configure.

a Insira a chave de acesso da AWS.

b Insira a chave secreta da AWS.

c Deixe os outros campos em branco.

15 No prompt de comando, digite # ./install_hvm_ace_16.sh.

Quando o script do instalador for concluído (15 a 20 minutos) uma nova AMI estará registrada em sua contaAWS. Você pode usar essa AMI para iniciar uma VM.

A instância do Amazon Linux usada para executar o instalador não é mais necessária e pode ser encerrada.

3 Montar o ESM em uma máquina virtualMontar o ESM em um HVM AWS


4 Definir a configuração inicial do ESM

Conteúdo Entrar no console do McAfee ESM Adicionar dispositivos ao console do ESM Confirmar se todos os dispositivos aparecem no ESM Codificar um dispositivo

Entrar no console do McAfee ESMEntre no console para começar a definir as configurações de sistema e dispositivo.

Antes de iniciarVerifique a necessidade de operar o sistema no modo FIPS (Federal Information ProcessingStandard). O FIPS consiste em padrões públicos desenvolvidos pelo governo federal dos EstadosUnidos. Caso seja necessário atender a essas normas, você deverá operar o sistema no modo FIPS.

Tarefa1 Abra um navegador da Web e vá até o endereço IP que você definiu ao configurar a interface de rede do

ESM. Por exemplo, se o endereço IP do ESM for 172.016.001.140, digite o seguinte em seu navegador:

https:\\172.016.001.140\

2 Clique em Prosseguir para o site, se for exibido um erro de certificado autoassinado para o navegador.

3 Clique em Entrar, selecione o idioma para o console e digite a senha e o nome de usuário padrão.

• Nome de usuário padrão: NGCP

• Senha padrão: security.4u

4 Clique em Login, leia o Contrato de licença do usuário final e clique em Aceitar.

5 Quando solicitado, altere o nome do usuário e a senha e clique em OK.

6 Selecione se deseja ativar ou não o modo FIPS e, caso selecione Sim, clique na confirmação adicional.

Se houver necessidade de trabalhar no modo FIPS, ative-o ao entrar pela primeira vez para que todas ascomunicações futuras com dispositivos McAfee sejam no modo FIPS. Não ative o modo FIPS se não fornecessário.

7 Em Acesso a atualizações de regras, clique em OK e siga as instruções exibidas para obter seu nome deusuário e senha, que são necessários para acessar as atualizações de regras.

4


8 Defina a configuração inicial do ESM:

a Selecione o idioma que será usado para os registros do sistema.

b Selecione o fuso horário do ESM e o formato de data a serem usados nesta conta e clique em Avançar.

9 Digite as informações de servidor para o ESM.

a Digite os endereços IPv4 primário e da máscara de rede ou o IPv6. Se necessário, clique em Avançado.

b (Opcional) Digite os endereços IPv4 secundário e da máscara de rede ou o IPv6. Se necessário, clique emAvançado.

c Em Configurações gerais, digite o gateway, os servidores DNS e quaisquer outras informaçõesnecessárias para conectar o ESM a sua rede.

d Clique em Avançar.

10 (Opcional) Se for necessária a conexão por meio de um servidor proxy, digite seu endereço IP, número daporta e credenciais, defina a configuração de rede local e clique em Avançar.

11 (Opcional) Se necessário, insira rotas estáticas de que o ESM necessita para comunicar-se com a rede. Aoconcluir, clique em Avançar.

12 Adicione seus servidores NTP (Network Time Protocol) para sincronizar a hora do sistema ESM. Defina estasconfigurações conforme necessário:

• Endereço IP do servidor NTP

• Chave de autenticação

• ID da chave

Para obter melhores resultados no ESM, é importante ter uma referência de hora comum em toda aempresa. Por padrão, o ESM usa um conjunto de servidores NTP baseados na Internet. Insira o servidor NTPpróprio da empresa e clique em Avançar.

13 Para verificar automaticamente o servidor ESM quanto a atualizações de regras:

• Digite o seu ID de cliente e senha para verificar a sua identidade.

• Configure o intervalo de verificação automática em horas e minutos.

• Clique em Verificar agora ou Atualização manual.

14 Clique em Finalizar.

15 Na caixa de diálogo Alteração nas configurações de rede, clique em Sim para reiniciar o serviço do ESM.

O reinício leva cerca de 90 segundos para ser concluído. Em seguida, você poderá ser solicitado a entrarnovamente no ESM.

Adicionar dispositivos ao console do ESMDepois de configurar e instalar dispositivos físicos e virtuais, adicione-os ao console do ESM.

Antes de iniciarInstale e configure os dispositivos.

Conclua as etapas a seguir apenas para uma instalação complexa do ESM com vários dispositivos do ESM. Nãoconclua essa tarefa para uma instalação simples do ESM usando um ESM de combinação.

4 Definir a configuração inicial do ESMAdicionar dispositivos ao console do ESM


Tarefa1 Na árvore do sistema de navegação, clique em ESM local ou em um grupo.

2 Clique em .

3 Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.

4 No campo Nome do dispositivo, insira um nome exclusivo nesse grupo e clique em Avançar.

5 Forneça as informações solicitadas:

• Para dispositivos do McAfee ePO — Selecione um Receptor, digite as credenciais necessárias para entrarna interface da Web e clique em Avançar. Digite as configurações a serem usadas na comunicação com obanco de dados.

Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome de usuárioe senha para o dispositivo.

• Para todos os outros dispositivos — Digite o endereço IP ou URL de destino do dispositivo.

6 Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em Avançar.

7 Digite uma senha para esse dispositivo e clique em Avançar.

O ESM testa a comunicação do dispositivo e informa o status da conexão.

Confirmar se todos os dispositivos aparecem no ESMNo console do ESM, confirme se todos os dispositivos ESM aparecem antes de iniciar a configuração detalhadadeles.Para obter informações detalhadas sobre como executar essas etapas de confirmação, consulte o Guia deproduto do McAfee Enterprise Security Manager.

Tarefa

1 Entre no console do McAfee ESM e localize o painel de navegação do sistema para visualizar os dispositivosdo sistema.

2 Clique em Menu | Configuração para ver a exibição física.

3 Para confirmar, clique no ícone Adicionar dispositivos e veja os dispositivos que você instalou nos racks ecuja rede configurou.

Depois que os dispositivos forem adicionados, codifique-os para permitir a comunicação e conclua a instalação.Consulte o Guia de produto do McAfee Enterprise Security Manager para obter a configuração detalhada dodispositivo.

Codificar um dispositivoCodifique o dispositivo para estabelecer um vínculo entre o dispositivo e o ESM.

Antes de iniciarConecte fisicamente o dispositivo à rede.

Definir a configuração inicial do ESMConfirmar se todos os dispositivos aparecem no ESM 4


Tarefa1 Entre no console do ESM usando um navegador. Para obter detalhes, consulte Entrar no console do McAfee

ESM.

2 Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades .

3 Clique em Gerenciamento de chaves | Codificar dispositivo.

Se o dispositivo tem uma conexão estabelecida e consegue se comunicar com o ESM, é aberto o Assistentede codificação de dispositivo.

4 Digite uma nova senha para o dispositivo e clique em Finalizar.

4 Definir a configuração inicial do ESMCodificar um dispositivo


5 Atualizar um único dispositivo

Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a partir de umarquivo no ESM ou no computador local.

Antes de iniciarSe você já tem o sistema há mais de 30 dias, é preciso obter e instalar as credenciais permanentespara acessar as atualizações.

Se seu sistema requer atualizações offline, faça download do arquivo de atualização no site dedownload da McAfee.

Se for necessário cumprir com o Common Criteria e normas FIPS, não faça upgrade do ESM dessamaneira. Entre em contato com o Suporte técnico para obter uma atualização certificada FIPS.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades .

2 Clique em <dispositivo> Gerenciamento e selecione a guia Manutenção.

3 Selecione uma atualização na tabela ou clique em Procurar para localizar o software de atualização nosistema local.

4 Clique em OK.

Se você está atualizando um dispositivo usando a opção Atualizar dispositivo do gerenciamento dedispositivos, o processo de atualização será iniciado. Se você estiver atualizando vários dispositivos usandoa opção Gerenciamento de vários dispositivos, retornará à página Gerenciamento de vários dispositivos.

O dispositivo será reiniciado com a versão de software atualizada.

5


5 Atualizar um único dispositivo


6 Atualizar o sistema ESM

Conteúdo Preparar para atualização Identificar e solucionar casos especiais de atualização Atualizar dispositivos (modo não FIPS) Atualizar dispositivos (modo FIPS) Atualizar receptores de alta disponibilidade

Preparar para atualização

Conteúdo Fazer download dos arquivos de atualização Fazer backup do banco de dados Fazer backup das configurações do McAfee ESM e dos dados do sistema Verificar o status de alta disponibilidade do ERC

Fazer download dos arquivos de atualizaçãoQuando o sistema estiver pronto para o upgrade, faça download dos arquivos de upgrade para o sistema local.

Antes de iniciarVocê deve ter um número de concessão.

Tarefa1 Vá para o site de download de produtos da McAfee.

2 Clique em Download, insira seu número de concessão, digite as letras exibidas e envie.

3 Selecione McAfee Enterprise Security Manager e clique na guia Todas as versões.

4 Faça download do arquivo de lançamento no sistema local.

Tipo de dispositivo Arquivo

McAfee Enterprise Security Manager independente (ESM) ESS_Update_10.2.0.signed.tgz

McAfee Enterprise Security Manager com um receptor incorporado(ESMREC)

ESSREC_Update_10.2.0.signed.tgz

McAfee Enterprise Security Manager com um receptor incorporado eENMELM (McAfee Enterprise Log Manager), também conhecido comoCaixa de combinação

ESSREC_Update_10.2.0.signed.tgz

6


Fazer backup do banco de dados1 Confirme se o banco de dados do ESM recompilado de uma compilação anterior (9.6.x ou posterior) está

concluído e se é possível agendar a janela de interrupção para essa atualização.

2 Conclua um backup do banco de dados do ESM. Exporte ou faça backup dos seguintes itens para garantir afacilidade de recuperação se uma atualização inutilizar uma regra, um evento ou outro tipo de conteúdo:

Alarmes: Em Propriedades do sistema, clique em Alarmes, destaque cada alarme, clique emExportar e salve o arquivo.

Listas deobservação:

Em Propriedades do sistema, clique em Listas de observação, selecione cada lista, cliqueem Exportar e salve o arquivo.

Regraspersonalizadas:

Em Política padrão do Editor de políticas, siga este processo para cada tipo de regra,exceto Origem de dados, Eventos do Windows, ESM, Normalização, Variável ePré-processador.1 No painel Tipos de regras, clique em um tipo de regra.

2 No painel Filtros/Marcação, clique na guia Avançado, selecione definido pelo usuáriono campo Origem e clique em Atualizar .

3 Destaque as regras, clique em Arquivo | Exportar | Regras, e salve-as no formatoXML.

Políticas: Em Política padrão no Editor de políticas, clique em Arquivo | Exportar | Política eselecione Todas as regras personalizadas e variáveis personalizadas.

Tipo deinformação

Detalhes

Tipos de dispositivocompatíveis

O ESM, ESM/Event Receiver ou ESM/Log Manager (ENMELM) somente se comunica comdispositivos que executam o ESM 9.6.x e versões superiores. Para verificar o modelo doseu dispositivo, emita o comando cat /proc/cpuinfo. O resultado inclui o número daCPU na linha nome do modelo.

Salvar asconfigurações doreceptor

Garanta que todas as configurações do Receptor sejam salvas antes de atualizar. Se asconfigurações não forem salvas, poderão surgir problemas no receptor e em outrosdispositivos. Todas as configurações de todos os dispositivos precisam ser salvas antesde atualizar para qualquer versão.

Tempo derecompilação

O tempo de recompilação da tabela varia para o ESM, o Event Receiver e o ENMELM.Para agilizar a atualização do banco de dados do ESM:

• Defina a duração da coleta de eventos, fluxos e registros com um tempo de pullmaior, dando mais tempo para a recompilação. No console do ESM, clique emPropriedades do sistema | Eventos, fluxos e registros. Depois, defina o Intervalo deverificação automática.

• Desative a coleta de eventos, fluxos e registros até a recompilação terminar. Concluaessa etapa somente se o número de eventos e fluxos enviados ao ESM for baixo. Noconsole do ESM, clique em Propriedades do sistema | Eventos, fluxos e registros. Depois,desmarque Intervalo de verificação automática.

Caminhos deupgrade

É necessário atualizar as versões anteriores à 9.6 ou versões superiores antes deatualizar para a 10.2.0.

Upgrade dedispositivos doReceptor-HA

Para fazer upgrade de dispositivos do Receptor-HA, é preciso primeiramente verificar ostatus de alta disponibilidade do Receptor.

Garanta que todas as configurações do dispositivo sejam salvas antes de atualizar.

6 Atualizar o sistema ESMPreparar para atualização


Fazer backup das configurações do McAfee ESM e dos dados do sistema

Antes de iniciarExecute um backup completo antes de qualquer atualização importante de versão para evitarperda de dados. Um backup completo contém:

• Configurações para os dispositivos ESM, ERC, DEM, ADM e ACE.

Os backups completos de ELM incluem somente definições de configuração. Faça um backupseparado das configurações do banco de dados ou perderá todas as conexões do banco dedados com compartilhamentos locais e remotos e com SANs.

• Interrompa o CPService e, em seguida, o DBServer. Crie uma cópia do conteúdo de: /usr/local/ess/data/, /etc/NitroGuard e outras pastas em um compartilhamento remoto.

Se você tiver problemas durante a atualização, poderá:

• Reinstalar o software na versão existente.

• Reinstalar os arquivos de backup.

• Tentar atualizar para a próxima versão novamente.

Os backups são compatíveis apenas com a versão atual do dispositivo ESM. Não é possível instalarum backup de uma versão anterior em um dispositivo do ESM atualizado.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM |

Manutenção | Backup.

2 Defina as configurações para o backup e clique em OK.

Opção Definição

Frequência debackup

Quando os novos dispositivos do ESM são adicionados ao sistema, a função de Backup erestauração é ativada para executar um backup a cada sete dias. É possível alterar afrequência ou desativar o backup.

Fazer backup dedados

Selecione o que você deseja incluir no backup.

Local de backup Selecione onde você deseja que o backup seja salvo:• ESM: ele é salvo no McAfee ESM e pode ser acessado na página Manutenção do

arquivo.

• Local remoto: ele é salvo no local definido nos campos que ficam ativos. Se você salvaruma cópia do ESM e de todos os dados do sistema manualmente, deverá selecionaressa opção.

Ao fazer backup para um compartilhamento de CIFS, use uma barra (/) no campo docaminho remoto.

Atualizar o sistema ESMPreparar para atualização 6


Opção Definição

Fazer backupagora

Faça backup manual das configurações do ESM e dos eventos, fluxos e logs (seselecionado). Clique em Fechar quando o backup for concluído com êxito.

Fazer backupcompleto agora

Salve manualmente uma cópia das configurações do dispositivo e dos dados dosistema. Não é possível salvá-los no McAfee ESM, portanto, selecione Local remoto nocampo Local de backup e insira as informações de local.

O uso do tipo de compartilhamento CIFS (Common Internet File System) com versões deservidor Samba posteriores a 3.2 pode resultar na perda de dados.

Verificar o status de alta disponibilidade do ERCSe o sistema incluir receptores de alta disponibilidade, verifique para garantir que os endereços IP não sejamduplicados.

Antes de iniciarVocê precisa ter privilégios de administrador para concluir essa tarefa.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo ERC-HA primário e clique no ícone Propriedades

.

2 Nos campos Status e Status secundário, verifique se o status é OK; Status HA: on-line.

3 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ha_status na interface de linha decomando nos dois ERCs. As informações resultantes mostram o status desse ERC e como ele interpreta ostatus do outro ERC. Assemelha-se ao seguinte:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Verifique o seguinte no status:

• A primeira linha da resposta é OK.

• Host name corresponde ao nome do host na linha de comando menos o número do modelo do ERC.

• Mode será primary (primário) se o valor de sharedIP for o nome do host desse ERC, caso contrário, omodo será secundário.

• As próximas duas linhas mostram os nomes do host dos ERCs no par de HA e o status em execução decada ERC. O status de ambos é online.

• corosync= mostra o status da execução de corosync, que deve ser running (em execução).

• hi_bit é no (não) em um ERC e yes (sim) no outro.

Certifique-se de que somente um dos ERCs-HA esteja definido com o valor hi_bit. Se os dois ERCs-HAestiverem definidos com o mesmo valor, ligue para o Suporte da McAfee antes de fazer o upgrade paracorrigir essa configuração.

5 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ifconfig nos dois ERCs.

6 Atualizar o sistema ESMPreparar para atualização


6 Verifique o seguinte nos dados gerados:

• Os endereços MAC em eth0 e eth1 são únicos nos dois ERCs.

• O ERC primário tem o endereço IP compartilhado em eth1 e o ERC secundário não tem qualquerendereço IP em eth1.

Se os dois ERCs-HA estiverem definidos com o mesmo valor, ligue para o Suporte técnico antes de fazero upgrade para corrigir essa configuração.

Essa verificação confirma se o sistema está funcionando e se não existem endereços IP duplicados, o quesignifica que os dispositivos podem ser atualizados.

Identificar e solucionar casos especiais de atualizaçãoEm situações especiais, é preciso realizar etapas adicionais antes ou depois da atualização.

Tarefa1 Se você estiver instalando um novo modelo do McAfee ESM:

a Registre o hardware dentro de 30 dias para ter certeza de que receberá atualizações de política,analisador e regra como parte do contrato de manutenção. Se não registrá-lo, não poderá receberatualizações.

b Para obter o nome de usuário e senha permanentes, envie um e-mail para [email protected] as seguintes informações:

• Número de concessão da McAfee • Nome do contato

• Nome da conta • Endereço de e-mail do contato

• Endereço

2 Se você precisar de atualizações de regra offline:

a Abra um navegador da Web e vá para http://www.mcafee.com/us/downloads/downloads.aspx.

b Clique em Fazer download, insira seu número de concessão, digite as letras exibidas e envie.

c Selecione McAfee Enterprise Security Manager e clique na guia Todas as versões.

d Faça o download das regras da sua versão do McAfee ESM.

3 Se houver problemas de comunicação do dispositivo durante o processo de atualização:

Se você tiver atualizado um dispositivo McAfee antes de atualizar o McAfee ESM ou o ESM estiver no meiodo processo, esta mensagem poderá ser exibida: Este dispositivo precisa ser atualizado para a operação serrealizada). Verifique se a versão do McAfee ESM está correta.

a No console do McAfee ESM, selecione o dispositivo na árvore de navegação do sistema e clique no ícone

Propriedades .

b Clique em Conexão e em Status.

c Tente novamente a operação que resultou na mensagem.

Atualizar o sistema ESMIdentificar e solucionar casos especiais de atualização 6


4 Se o sistema inclui um McAfee ePO com o Policy Auditor, atualize-o.

a Se você não estiver usando um dispositivo completo, faça upgrade do McAfee Event Receiver em que odispositivo McAfee ePO está conectado.

b No console do McAfee ESM, clique em Propriedades de ePO | Gerenciamento de dispositivose em Atualizar.

É possível definir a recuperação automática na guia Gerenciamento de dispositivos.

c Clique em Propriedades do Receptor e selecione a guia Avaliação de vulnerabilidade.

d Clique em Gravar.

e Repita a etapa para obter os dados de VA no McAfee ESM.

f Saia do console do McAfee ESM e entre novamente.

5 Verifique o status do processo de recompilação do banco de dados do ELM.

A indexação do banco de dados de gerenciamento do ELM pode exigir um tempo adicional, dependendo domodelo do ELM. Por exemplo, o número de listas de armazenamento que você tem, a quantidade de dadosenviados ao registrar dispositivos e a largura de banda de rede podem aumentar o tempo de conclusão daindexação. No entanto, essa tarefa em segundo plano tem impacto mínimo no desempenho e, quandoconcluída, aprimora a consulta de dados históricos.

a Vá para Propriedades do ELM | Informações do ELM.

b Se a mensagem O banco de dados está sendo recompilado for exibida no campo Status ativo, nãointerrompa nem inicie o banco de dados do ELM. O sistema indexa todos os dados novos do ELM nodispositivo de envio antes de enviar os dados ao ELM.

c Se você tiver um receptor de eventos criando logs no ELM e a capacidade deles estiver próxima do limitemáximo, entre em contato com o Suporte.

6• Cuidado

• Se você desligar o dispositivo durante uma recompilação, poderá perder dados.

• Nunca desligue um dispositivo durante uma recompilação.

Se você estiver atualizando um ELM redundante:

a Faça upgrade do ELM de espera.

b Atualize o ELM ativo.

c Na árvore de navegação do sistema, selecione o ELM de espera e vá para Propriedades do ELM |Redundância do ELM | Retomar serviço.

d Vá para Propriedades do ELM | Informações do ELM e clique em Atualizar. Os ELMs ativos e de esperaexibem o status OK.

e Se o ELM de espera exibir o status Não é seguro, clique em Atualizar novamente. Após alguns minutos, ostatus do ELM de espera mudará para OK, a ressincronização do ELM redundante está 100% concluído.Talvez seja necessário clicar em Atualizar várias vezes.

6 Atualizar o sistema ESMIdentificar e solucionar casos especiais de atualização


Atualizar dispositivos (modo não FIPS)Atualize o ESM e seus dispositivos, em seguida, regrave as configurações do dispositivo e distribua a política.

Antes de iniciar• Leia as notas de versão.

• Verifique se o sistema está executando a versão 9.6 ou posterior.

• Se você fez upgrade recentemente, certifique-se de que a reconstrução do banco de dados foiconcluída.

• Certifique-se de que haja comunicação com cada dispositivo do sistema.

• Obtenha o arquivo de atualização manual de regras no site de download da McAfee.

Na atualização, todos os coletores ativos param de coletar dados até que você regrave as configurações dodispositivo e distribua a política.

Tarefa1 Atualize os dispositivos ESM independentes primeiro, e depois os dispositivos ESM combinados.

a No dashboard, selecione o ESM na árvore de navegação do sistema e clique no ícone Propriedades .

b Clique em Gerenciamento do ESM e, em seguida, selecione a guia Manutenção.

c Clique em Atualizar ESM.

d Selecione uma atualização na tabela ou clique em Procurar para localizar o software de atualização nosistema local.

e Clique em OK.

2 Aguarde até a conclusão da compilação do banco de dados.

3 Atualize o ELM.

a No dashboard, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Propriedades.

b Clique em <dispositivo> Gerenciamento e selecione a guia Manutenção.

c Clique em Atualizar ELM.


e Clique em OK.

4 Atualize os dispositivos do receptor, ACE, DEM e ADM.

Se o sistema inclui receptores de alta disponibilidade, use o processo Atualizar receptores de altadisponibilidade.



c Clique em Atualizar <dispositivo>.

Atualizar o sistema ESMAtualizar dispositivos (modo não FIPS) 6



e Clique em OK.

O processo de atualização será iniciado e poderá levar várias horas.

5 Aplique as regras atualizadas.

a Na árvore de navegação do sistema, selecione o ESM e clique no ícone Propriedades .

b Na página Informações do sistema, clique em Atualização de regras e em Atualização manual.

c Procure o arquivo de atualização, clique em Fazer upload e em OK.

6 Regrave as configurações combinadas do McAfee Event Receiver ou ESM/Event Receiver.


b Clique em Origens de dados | Gravar.

c Clique em Avaliação de vulnerabilidade | Gravar.

7 Regrave as configurações de ACE.


b Clique em Gerenciamento de correlação de risco | Gravar.

c Clique em Histórico | Ativar correlação histórica | Aplicar. Se já estiver marcada, desmarque-a, selecione-anovamente e clique em Aplicar.

d Clique em Correlação de regras, selecione Ativar correlação de regras e clique em Aplicar. Se já estivermarcada, desmarque-a, selecione-a novamente e clique em Aplicar.

8 Regrave as configurações do DEM ou do ADM.


b Clique em Dispositivos virtuais | Gravar.

c Para os servidores de banco de dados: clique em Servidores de banco de dados | Gravar.

9 Distribua a política para todos os dispositivos atualizados.

10 Para tirar o dispositivo selecionado do modo de desvio, clique em Configuração do dispositivo | Interfaces.

11 Se um você tiver um ELM ou ELMERC que colete registros de algum dispositivo, sincronize o ELM(Propriedades do dispositivo | Configuração do dispositivo | Sincronizar ELM).

Atualizar dispositivos (modo FIPS)

Antes de iniciar• Leia as notas de versão.

• Verifique se o sistema está executando a versão 9.6 ou posterior.

6 Atualizar o sistema ESMAtualizar dispositivos (modo FIPS)


• Se você tiver atualizado recentemente, verifique se a reconstrução do banco de dados foiconcluída.

• Obtenha o arquivo de atualização manual de regras no site de download da McAfee.

Na atualização, todos os coletores ativos (como Windows, eStreamer e Checkpoint) param de coletar dados atéque você regrave as configurações do dispositivo e distribua a política.

Se os dispositivos não forem atualizados antes de atualizar o ESM no modo FIPS, a coleta de logs do ELM poderáser afetada.

Tarefa1 Atualize os dispositivos ELM independentes.


b Clique em Gerenciamento do ELM e selecione a guia Manutenção.

c Clique em Atualizar ELM.


e Clique em OK.

2 ProcurarAtualizar o McAfee Event Receiver, ACE, DEM e ADM.

Se o sistema inclui receptores de alta disponibilidade, use o processo Atualizar receptores de altadisponibilidade.



c Clique em Atualizar <dispositivo>.


e Clique em OK.

3 Atualize os ESMs e a combinação de dispositivos.


b Clique em Gerenciamento do ESM e, em seguida, selecione a guia Manutenção.

c Clique em Atualizar ESM.


e Clique em OK.

O processo de atualização será iniciado e poderá levar várias horas.

4 Verifique se há comunicação com os dispositivos.

Atualizar o sistema ESMAtualizar dispositivos (modo FIPS) 6


5 Aplique as regras atualizadas.

a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades .

b Na página Informações do sistema, clique em Atualização de regras e em Atualização manual.

c Procure o arquivo de atualização, clique em Fazer upload e em OK.

6 Regrave as configurações combinadas do McAfee Event Receiver ou ESM/Event Receiver.


b Clique em Origens de dados | Gravar.

c Clique em Avaliação de vulnerabilidade | Gravar.

7 Regrave as configurações de ACE.


b Clique em Gerenciamento de correlação de risco | Gravar.

c Clique em Histórico | Ativar correlação histórica | Aplicar. Se já estiver marcada, desmarque-a, selecione-anovamente e clique em Aplicar.

d Clique em Correlação de regras, selecione Ativar correlação de regras e clique em Aplicar. Se já estivermarcada, desmarque-a, selecione-a novamente e clique em Aplicar.

8 Regrave as configurações do DEM ou do ADM.


b Clique em Dispositivos virtuais | Gravar.

c Para os servidores de banco de dados: clique em Servidores de banco de dados | Gravar.

9 Distribua a política para todos os dispositivos atualizados.

10 Para tirar o dispositivo selecionado do modo de desvio, clique em Configuração do dispositivo | Interfaces.

11 Se você tem um ELM ou ELMERC que coleta logs de um dispositivo, sincronize o ELM (Propriedades dodispositivo | Configuração do dispositivo | Sincronizar ELM ).

Atualizar receptores de alta disponibilidadeAtualize os dois receptores, começando com o receptor secundário.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone Propriedades

.

2 Defina o receptor primário como Sem preferência, o que lhe permite usar a opção Failover.

3 Atualize o receptor secundário.

a Clique em Gerenciamento do receptor e em Secundário.

b Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.

O Receptor é reiniciado, e a versão do software é atualizada.

6 Atualizar o sistema ESMAtualizar receptores de alta disponibilidade


c Em Propriedades do Receptor, clique em Alta disponibilidade | Retomar serviço.

d Selecione o Receptor secundário e clique em OK.

4 Altere o Receptor secundário para primário clicando em Alta disponibilidade | Recuperação de falhas.

5 Atualize o outro receptor.

a Clique em Gerenciamento do receptor e em Secundário.

b Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.

O Receptor é reiniciado, e a versão do software é atualizada.

c Em Propriedades do Receptor, clique em Alta disponibilidade | Retomar serviço.

d Selecione o Receptor secundário e clique em OK.

Atualizar o sistema ESMAtualizar receptores de alta disponibilidade 6


6 Atualizar o sistema ESMAtualizar receptores de alta disponibilidade


Índice

AAmazon Web Services

configurar conexões 19

criar o AWS 14

visão geral da instalação 14

Analista de segurançaem cenários do ESM 6

AWS, consulte Amazon Web Services

Cchave

configuração inicial do dispositivo 23

consoleadicionar dispositivo 22

Ddispositivos

adicionar ao console 22

adicionar dispositivo 22

EEPS, consulte eventos por segundo

ERCcenários de redes simples e complexas 6

eventos por segundodetermina a taxa de transferência de ERC 6

KKVM

distribuir 13

Mmáquina virtual

configurar 9requisitos 12

RRequisitos de

KVM 13


guia de instalação do mcafee enterprise security manager ... · separadamente como parte da...

Documents